终端认证基本流程
/3_Campus_Netwrok_Security/1_Network_Admission_Control_(NAC)/P1.TRM-AUTHENTICATION/pasted_image002.png)
1)NAC-TRM 接入网络,认证前都具有认证前域网络权限,包括访问准入控制服务器、DHCP、DNS 等;
2)对 NAC-TRM 进行身份认证,通过后, NAC-SRV 下发网络权限到 NAC-DEV ,允许该用户访问认证后域网络。对于一些合法但是不安全的用户,身份认证后, NAC-SRV 下发隔离域网络权限到 NAC-DEV ,仅允许该用户访问隔离域网络,用户安全修复后,重新下发认证后域网络权限。在隔离域时,用户可以根据需要进行终端代理软件安装,补丁安装,杀毒软件安装、升级等操作;
3)当认证通过后,用户便能够访问认证后域;对于非法用户及未认证用户,仅允许访问认证前域或隔离域网络资源;
用户认证(认证方式)
三种认证方式(概述)
NAC 包括三种认证方式:802.1X 认证、MAC 认证、Portal 认证;
AAA 负责最后的认证,可以通过多种协议来实现。在实际应用中,最常使用 RADIUS 协议:
802.1X -------*
|
MAC -------*======> RADIUS Server
|
Portal -------*
由于三种认证方式认证原理不同,各自适合的场景也有所差异。在实际应用中:
1)可以根据场景部署某一种合适的认证方式,
2)也可以部署几种认证方式组成的混合认证,混合认证的组合方式取决于设备的实际支持情况;
三种认证方式(对比)
802.1X 认证:
1)适合场景:新建网络、用户集中、信息安全要求严格的场景
2)终端要求:需要(主要原因是客户端简化操作,简化用户交互)
3)优点:安全性高
4)缺点:部署不灵活,复杂度高;
MAC 认证:
1)适合场景:打印机、传真机等哑终端接入认证的场景;
2)终端要求:不需要;
3)优点:无需安装客户端;
4)缺点:需登记 MAC 地址,管理复杂;
Portal 认证:
1)适合场景:用户分散、用户流动性大的场景
2)终端要求:不需要;
3)优点:部署灵活
4)缺点:安全性不高
免认证(free-rule)
用户认证成功之前,为满足用户基本的网络访问需求,譬如下载 802.1X 客户端、更新病毒库等,需要用户免认证就能获取部分网络访问权限;
/3_Campus_Netwrok_Security/1_Network_Admission_Control_(NAC)/P1.TRM-AUTHENTICATION/pasted_image004.png)
免认证规则模板(free-rule-template)
方式 1:普通的免认证规则,由 IP 地址、MAC 地址、源接口、VLAN 等参数确定;
方式 2:关联 ACL,使用 ACL 方式配置免认证规则时,使用的 ACL 编号范围:6000~6031;
终端安全
WIP