802.1x是一套標(biāo)準(zhǔn)的協(xié)議規(guī)范，是局域網(wǎng)主機(jī)接入認(rèn)證和授權(quán)手段。實(shí)施端口控制的主體是802.1x接入交換機(jī)。在交換機(jī)開(kāi)啟802.1x功能后，主機(jī)終端所連接的端口將只允許特定的認(rèn)證數(shù)據(jù)幀通過(guò)，基于其認(rèn)證結(jié)果確定是否開(kāi)放主機(jī)所連的端口接入網(wǎng)絡(luò)，接入后在終端可信狀態(tài)不變的情況下，將不再進(jìn)行認(rèn)證和檢查。

基于802.1x的可信網(wǎng)絡(luò)接入框架由接入請(qǐng)求點(diǎn)、網(wǎng)絡(luò)接入控制點(diǎn)和可信接入服務(wù)器組成?；谧C書(shū)策略的終端準(zhǔn)入控制過(guò)程如下：

1.網(wǎng)絡(luò)準(zhǔn)入控制組件通過(guò)802.1x協(xié)議將主機(jī)終端用戶身份證書(shū)信息發(fā)送到接入交換機(jī)。

2.接入交換機(jī)將用戶身份證書(shū)信息通過(guò)RADIUS協(xié)議，發(fā)送給RADIUS認(rèn)證組件。該組件通過(guò)認(rèn)證服務(wù)器對(duì)用戶身份證書(shū)進(jìn)行有效性判定，并把認(rèn)證結(jié)果返回給交換機(jī)，交換機(jī)將認(rèn)證結(jié)果傳給網(wǎng)絡(luò)準(zhǔn)入控制組件。

3.用戶身份認(rèn)證通過(guò)后，終端系統(tǒng)檢測(cè)組件根據(jù)準(zhǔn)入策略管理組件制定的安全準(zhǔn)入策略對(duì)終端安全狀態(tài)進(jìn)行檢測(cè)。終端的安全狀態(tài)符合安全策略的要求則允許準(zhǔn)入流控中心系統(tǒng)網(wǎng)絡(luò)。

4.如終端身份認(rèn)證失敗，網(wǎng)絡(luò)準(zhǔn)入控制組件通知接入交換機(jī)關(guān)閉端口；如終端安全狀態(tài)不符合安全策略要求，終端系統(tǒng)檢測(cè)組件將隔離終端到非工作VLAN。

5.在非工作VLAN終端，終端系統(tǒng)檢測(cè)組件會(huì)自動(dòng)進(jìn)行終端安全狀態(tài)的修復(fù)，在修復(fù)完成后，系統(tǒng)自動(dòng)將終端重新接入正常工作VLAN。

交換機(jī)認(rèn)證設(shè)置

由于不同廠家和型號(hào)系列的交換機(jī)啟用802.1x功能的設(shè)置可能不完全相同，需要網(wǎng)管員根據(jù)交換機(jī)用戶手冊(cè)進(jìn)行相應(yīng)部署操作。目前Nortel、思科、華為等主流交換機(jī)設(shè)備均支持802.1x協(xié)議。準(zhǔn)入交換機(jī)的配置基本步驟：開(kāi)啟全局802.1x和端口的802.1x功能；正確配置RADIUS服務(wù)器的IP地址、認(rèn)證端口以及共享密鑰；選擇802.1x認(rèn)證方法為EAP；選擇基于MAC的認(rèn)證方式或Single-Host認(rèn)證方式，并設(shè)置端口和MAC地址的綁定關(guān)系，以防止多臺(tái)主機(jī)（或虛擬機(jī)）通過(guò)同一交換機(jī)端口接入網(wǎng)絡(luò)；對(duì)于應(yīng)用服務(wù)器類(lèi)設(shè)備，由于其對(duì)于網(wǎng)絡(luò)穩(wěn)定性要求比較高，不能機(jī)械套用PC機(jī)接入控制方式，可通過(guò)IP-MAC綁定技術(shù)，利用“白名單”制度實(shí)施管控，防止出現(xiàn)網(wǎng)絡(luò)通斷對(duì)業(yè)務(wù)系統(tǒng)造成重大影響；對(duì)于網(wǎng)絡(luò)特殊IP設(shè)備，如網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)攝像頭、IP電話等，由于這些終端無(wú)法通過(guò)802.1x認(rèn)證方法實(shí)施準(zhǔn)入控制，可采用MAC地址認(rèn)證方法，把其MAC地址作為身份進(jìn)行統(tǒng)一認(rèn)證，且在準(zhǔn)入控制系統(tǒng)上配置其權(quán)限，根據(jù)授權(quán)VLAN或ACL限制其訪問(wèn)范圍。

圖1 分發(fā)準(zhǔn)入策略

以思科網(wǎng)絡(luò)交換機(jī)為例，認(rèn)證配置命令如下：

以上配置中設(shè)定192.168.1.100為準(zhǔn)入服務(wù)器的IP地址。

準(zhǔn)入策略設(shè)置

準(zhǔn)入策略設(shè)置通過(guò)控制服務(wù)端管理軟件實(shí)施。管理軟件完成基于主機(jī)或用戶的準(zhǔn)入策略管理，負(fù)責(zé)對(duì)準(zhǔn)入交換機(jī)或執(zhí)行入網(wǎng)請(qǐng)求進(jìn)行認(rèn)證和響應(yīng)，驗(yàn)證入網(wǎng)主機(jī)特征標(biāo)識(shí)正確性和用戶身份合法性，基于認(rèn)證結(jié)果對(duì)其入網(wǎng)端口進(jìn)行控制。

設(shè)置時(shí)，以“管理員”身份登錄主機(jī)安全監(jiān)控系統(tǒng)管理控制臺(tái)，在“準(zhǔn)入策略”界面可進(jìn)行準(zhǔn)入策略的新建、修改和刪除操作。錄入“策略名稱(chēng)”，選擇“認(rèn)證方式”，通常支持三種類(lèi)型：

用戶名口令認(rèn)證。以主機(jī)硬盤(pán)序列號(hào)作為用戶標(biāo)識(shí)，以主機(jī)硬盤(pán)序列號(hào)作為口令標(biāo)識(shí)，均自動(dòng)獲取和計(jì)算，具備基本安全性。

主機(jī)證書(shū)認(rèn)證。利用簽名驗(yàn)證機(jī)制，對(duì)主機(jī)特征信息（IP、MAC）進(jìn)行驗(yàn)證，具備較高的安全級(jí)別。

用戶Key認(rèn)證。利用簽名驗(yàn)證機(jī)制，同時(shí)對(duì)主機(jī)特征信息（IP、MAC）和主機(jī)與UKEY間的綁定關(guān)系進(jìn)行驗(yàn)證，具備更高的安全級(jí)別。

完成準(zhǔn)入策略的設(shè)置后，可通過(guò)“主機(jī)管理”或“用戶管理”界面完成，右鍵單擊某臺(tái)主機(jī)選擇“分發(fā)準(zhǔn)入策略”進(jìn)行分發(fā)（如圖1所示）。

部署實(shí)施后，通過(guò)控制管理軟件，網(wǎng)絡(luò)中心可對(duì)所有用戶終端進(jìn)行管理控制。用戶端必需通過(guò)入網(wǎng)終端軟件進(jìn)行認(rèn)證方可連接網(wǎng)絡(luò)；同時(shí)終端軟件可同步實(shí)施安全檢測(cè)，對(duì)綜合評(píng)估分值過(guò)低（即風(fēng)險(xiǎn)較高）的用戶終端，通過(guò)隔離和下線等手段，阻止用戶端潛在的風(fēng)險(xiǎn)，確保入網(wǎng)終端可信、安全和可控。