王曉紅

（中國飛機強度研究所，陜西 西安 710065）

1 引言

隨著企業(yè)信息化建設的不斷深入，在帶來高效率、高便利的同時，也給企業(yè)局域網信息安全帶來了巨大的挑戰(zhàn)。而局域網計算機終端的違規(guī)接入和違規(guī)操作是網絡信息安全的主要隱患之一。事實證明，80%的安全問題是由網絡內部引起的，例如：內部終端的非法接入、從內部發(fā)起的惡意攻擊以及內部重要數(shù)據(jù)被盜用等。而加強內部網絡的準入控制是解決網絡安全問題的有效手段，只有通過完善的準入控制和終端安全管理才能夠真正從源頭上控制各種安全事件的發(fā)生，遏制由局域網內發(fā)起的攻擊和破壞。

本文通過對基于802.1x身份認證技術的研究，實現(xiàn)對局域網內用戶終端的準入控制和管理，從而提升局域網安全管理水平，保障信息系統(tǒng)安全。

2802.1x協(xié)議

802.1x身份認證協(xié)議起源于802.11協(xié)議，后者是標準的無線局域網協(xié)議。802.1x協(xié)議的主要目的是為了解決無線局域網用戶接入認證問題，但由于它的原理對于所有符合IEEE 802標準的局域網具有普適性，因此后來在有線局域網中也得到了廣泛的應用。

802.1x協(xié)議是一種基于端口的網絡接入控制協(xié)議，它是指在局域網接入控制設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以訪問局域網中的資源；如果不能通過認證，則無法訪問局域網中的資源。

3 系統(tǒng)設計與實現(xiàn)

為了解決本單位局域網終端管理中存在的問題，有效防護內部網絡安全，結合自身網絡體系結構，部署實施了基于802.1x認證的準入控制系統(tǒng)。

3.1 系統(tǒng)功能

通過采用基于802.1x身份認證的準入控制技術，對進入局域網的所有終端進行嚴格的身份識別和安全檢查，只有通過嚴格安全檢查的合法終端才可接入局域網，訪問相應的業(yè)務系統(tǒng)；當非法終端進入局域網時，將被嚴格隔離，在隔離區(qū)域內進行修復后方可進入局域網，從而為內部網絡構建起一道堅不可摧的防線，整個系統(tǒng)架構如圖1所示。

圖1 系統(tǒng)架構圖

如圖1所示，該系統(tǒng)可以有力提升網絡的安全防護能力，有效保護局域網內部數(shù)據(jù)的安全，其功能特點主要有以下三個方面：

(1)網絡準入認證

支持802.1x身份接入認證：通過對支持此協(xié)議的華為、H3C、銳捷等交換機進行管理，配合RADIUS服務器和認證客戶端，實現(xiàn)LAN端口的設備認證，對于無法通過身份認證的終端進行隔離或限制其訪問。

(2)終端安全檢查

對于通過身份驗證的終端再進行全面的安全檢查，包括：第三方安全軟件的安裝、終端進程的運行、系統(tǒng)補丁的檢查、Windows各類安全設置等，以保證通過網絡準入的終端均保持統(tǒng)一的內部安全標準，對于無法通過身份認證的終端進行隔離或限制其訪問。

(3)自動隔離修復

通過VLAN劃分建立專門的隔離修復區(qū)，引導被隔離的終端訪問指定的安全服務器，自動安裝各類安全軟件、修復安全設置，使其滿足準入要求，最終正常訪問網絡資源。

3.2 系統(tǒng)部署

為了實現(xiàn)以上功能，基于802.1x身份認證的準入控制系統(tǒng)主要從以下幾個方面進行部署：

(1)劃分區(qū)域

根據(jù)不同的功能劃分出用戶區(qū)、服務器區(qū)和隔離修復區(qū)，如圖2所示。用戶區(qū)客戶端通過安裝認證軟件進行注冊登記，在接入網絡時，系統(tǒng)會檢查其用戶賬戶、安全設置和終端合法性，如果發(fā)現(xiàn)該客戶端不符合安全規(guī)定，則將其放入“隔離修復區(qū)”，同時引導被隔離的客戶端修復安全設置，最終使其可以訪問服務器區(qū)各類應用系統(tǒng)。

圖2 系統(tǒng)部署圖

(2)RADIUS認證服務器

用于接收客戶端認證請求信息，并進行驗證。

(3)RADIUS認證交換機

支持802.1x協(xié)議的網絡交換機，由該交換機接受客戶端的認證請求，并與RADIUS認證服務器完成認證過程。

(4)客戶端軟件

在客戶端上安裝的軟件，能夠根據(jù)用戶名和密碼向RADIUS認證服務器發(fā)起認證，并根據(jù)服務器的安全策略對客戶端進行安全檢查，配合交換機的802.1x認證，實現(xiàn)客戶端從用戶區(qū)到隔離修復區(qū)的自動切換。

3.3802.1x協(xié)議配置示例

為了完成以上部署，實現(xiàn)基于802.1x協(xié)議的準入控制，系統(tǒng)要求局域網交換機必須支持802.1x協(xié)議，在前期對交換機進行相應的配置。此處以華為交換機為例，說明如何在交換機上配置802.1x認證功能，以實現(xiàn)對終端用戶的網絡訪問權限控制，具體配置如下：

(1)創(chuàng)建并配置RADIUS服務器模板、AAA認證方案以及認證域

#創(chuàng)建并配置RADIUS服務器模板“rd1”

[Switch]radius-server template rd1

[Switch-radius-rd1]radius-server authentication 192.168.2.301812

[Switch-radius-rd1]radius-server shared-key cipher test

[Switch-radius-rd1]quit

#創(chuàng)建AAA方案“abc”并配置認證方式為RADIUS

[Switch]aaa

[Switch-aaa]authentication-scheme abc

[Switch-aaa-authen-abc]authentication-mode radius

[Switch-aaa-authen-abc]quit

#創(chuàng)建認證域“isp1”，并在其上綁定AAA認證方案“abc”與

RADIUS服務器模板“rd1”

[Switch-aaa]domain isp1

[Switch-aaa-domain-isp1]authentication-scheme abc

[Switch-aaa-domain-isp1]radius-server rd1

[Switch-aaa-domain-isp1]quit

[Switch-aaa]quit

#配置全局默認域為“isp1”。用戶進行接入認證時，以格式“user@isp1”輸入用戶名即可在isp1域下進行aaa認證。如果用戶名中不攜帶域名或攜帶的域名不存在，用戶將會在默認域中進行認證。

[Switch]domain isp1

(2)在交換機上配置802.1x認證

#在全局和接口下使能802.1x認證

system-view

[Switch]dot1x enable

[Switch]interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1]dot1x enable

4 結束語

通過對基于802.1x身份認證技術的研究和應用，結合身份認證、安全檢查、主動隔離和安全策略等方法實現(xiàn)對局域網終端用戶最細粒度的準入控制，保證終端用戶符合內網安全規(guī)范，有效杜絕各種潛在攻擊和違規(guī)行為對內部網絡所帶來的安全風險。隨著今后網絡技術的不斷發(fā)展和新技術的不斷出現(xiàn)，準入控制技術也應不斷改進和繼續(xù)完善。