「NAC」- 终端认证

  CREATED BY JENKINSBOT

终端认证基本流程

1)NAC-TRM 接入网络,认证前都具有认证前域网络权限,包括访问准入控制服务器、DHCP、DNS等。
2)对 NAC-TRM 进行身份认证,通过后, NAC-SRV 下发网络权限到 NAC-DEV ,允许该用户访问认证后域网络。对于一些合法但是不安全的用户,身份认证后, NAC-SRV 下发隔离域网络权限到 NAC-DEV ,仅允许该用户访问隔离域网络,用户安全修复后,重新下发认证后域网络权限。在隔离域时,用户可以根据需要进行终端代理软件安装,补丁安装,杀毒软件安装、升级等操作。
3)当认证通过后,用户便能够访问认证后域;对于非法用户及未认证用户,仅允许访问认证前域或隔离域网络资源;

用户认证(认证方式)

三种认证方式(概述)

NAC 包括三种认证方式:802.1X 认证、MAC 认证、Portal认证;

AAA 负责最后的认证,可以通过多种协议来实现。在实际应用中,最常使用 RADIUS 协议:

 802.1X -------*
               |
    MAC -------*======> RADIUS Server
               |
 Portal -------*

由于三种认证方式认证原理不同,各自适合的场景也有所差异。在实际应用中:
1)可以根据场景部署某一种合适的认证方式,
2)也可以部署几种认证方式组成的混合认证,混合认证的组合方式取决于设备的实际支持情况。

三种认证方式(对比)

802.1X 认证:
1)适合场景:新建网络、用户集中、信息安全要求严格的场景
2)终端要求:需要(主要原因是客户端简化操作,简化用户交互)
3)优点:安全性高
4)缺点:部署不灵活,复杂度高;

MAC 认证:
1)适合场景:打印机、传真机等哑终端接入认证的场景;
2)终端要求:不需要;
3)优点:无需安装客户端;
4)缺点:需登记MAC地址,管理复杂;

Portal认证:
1)适合场景:用户分散、用户流动性大的场景
2)终端要求:不需要;
3)优点:部署灵活
4)缺点:安全性不高

免认证(free-rule)

用户认证成功之前,为满足用户基本的网络访问需求,譬如下载802.1X客户端、更新病毒库等,需要用户免认证就能获取部分网络访问权限。

免认证规则模板(free-rule-template)
方式1:普通的免认证规则,由IP地址、MAC地址、源接口、VLAN等参数确定。
方式2:关联ACL,使用ACL方式配置免认证规则时,使用的ACL编号范围:6000~6031。

终端安全

WIP