新华三数字大赛复赛知识点 网络访问控制

news2024/11/16 10:32:23

EAD解决方案、portal认证、以太网访问控制列表

EAD:

网络安全从本质上讲是管理问题,(End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端,安全策略服务器,网络设备及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效加强了用户终端的主动防御能力,为企业网络管理人员提供有效易用的管理工具和手段。
方案概述:
对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信息等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:
在这里插入图片描述
功能特点:
全方位准入控制:EAD解决方案提供完善的接入控制,可以支持局域网、广域网、VPN、无线各种接入方式,支持包括HUB在内的各种复杂网络,思科等异构网络环境下的部署,保证从任何地点,任何方式下的接入安全。
严格的身份认证:除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证、增强身份认证的安全性。
完备的安全状态评估:根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资产管理等。
精细化的权限控制:在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
灵活方便的执行方式:EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式。用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全策略执行方式。
桌面资产及外设管理:EAD解决方案提供了对终端资产全方位的监控和管理的功能,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程桌面控制,实现对桌面资产的有效管理。EAD解决方案还提供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,同时提供U盘文件的监控功能,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。
易于部署的无客户端:EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障。
多种层次的高可用性:EAD解决方案提供了双机冷备和双机热备功能,可以避免单台EAD服务器当机引起的认证中断,同时还支持单机故障的逃生方案,临时允许客户端不用认证就可以使用网络,保证了经济敏感用户的利益。
扩展开放的解决方案:EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
局域网安全准入防护:在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。
广域网安全准入防护:大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在分支机构出口路由器、企业入口路由器或网关中实施EAD准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。
VPN安全准入防护:一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
WLAN无线安全准入防护:对于外来访客和企业内部的移动用户,使用WLAN无线网卡接入企业网络的情况越来越多,这带来了许多安全问题,EAD通过与FAT AP、AC无线控制器等无线设备的联动,强制用户在使用无线网络之前,必须先进行身份认证、安全状态检查,在享受便捷的无线网络同时,大大减少了来自空中的安全威胁。

portal认证

定义:portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
优点:
一般情况下,客户端不需要安装额外的软件,直接在web页面上认证,简单方便。
便于运营,可以在Portal页面上进行业务拓展,如广告推送,企业宣传等。
技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。
部署位置灵活,可以在接入层或关键数据的入口作访问控制。
用户管理灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
认证系统:Portal认证主要包括四个基本要素:客户端(安装有运行HTTP/HTTPS
协议的浏览器的主机)、接入设备(交换机、路由器灯接入设备的统称,主要有三方面作用:在认证之前将认证网段内用户的所有HTTP/HTTPS请求都重定向到Portal服务器;在认证过程中,与Portal服务器、认证服务器交互。完成对用户身份认证、授权与计费的功能;在认证通过后,允许用户访问被管理员授权的网络资源)、Portal服务器(接受客户端认证请求的服务器系统,提供免费门户服务和认证界面、与接入设备交互客户端的认证信息)与认证服务器(与接入设备交互,完成对用户的认证、授权与计费)。
在这里插入图片描述
Portal协议包括Portal接入协议和Portal认证协议:
Portal接入协议:HTTP/HTTPS协议,描述了客户端和Portal服务器之间的协议交互。
Portal认证协议:Portal协议(描述了Portal服务器和接入设备之间的协议交互,可以用来传递用户名和密码等参数。)HTTP/HTTPS协议(描述了客户端可接入设备之间的协议交互,可以用来传递密码和用户名)
HTTP/HTTPS协议可以作为Portal接入协议,也可以作为Portal认证协议。
Portal认证授权:
认证用于确认尝试接入网络的用户身份是否合法,而授权则用于指定身份合法的用户所能拥有的网络访问权限,即用户能够访问哪些资源。授权最基础也是最常使用的参数是ACL和UCL组(用户控制列表UCL组是网络成员的集合,其成员可以是PC、手机等网络终端设备)。

以太网访问控制列表

访问控制列表ACL:是一种基于包过滤的访问控制技术,他可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。广泛的应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度的保障网络安全。
工作原理:
当一个数据包进入一个端口,路由器检查这个数据包是否可路由
如果是可以路由的,路由检查这个端口是否有ACL控制进入数据包
如果有,根据条件指令,检查这个数据包
如果数据包是被允许的,就查询路由表,决定数据包的目标端口
路由器检查目标端口是否存在ACL控制流出的数据包
若不存在,这个数据包就直接发送到目标端口
若存在,就再根据ACL进行取舍,然后转发到目的端口
安全策略:通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
访问控制列表ACL是有一条或者多条规则组成的集合。规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址,目的地址,端口号等。
每个ACL中可以定义多个规则,根据规则的功能可以分为:基本ACL、基本ACL6、高级ACL、高级ACL6、二层ACL和用户自定义ACL。
基本ACL、基本ACL6二层ACL属于level-1级别
高级ACL、高级ACL6、用户自定义ACL属于level-2级别
基于ACL规则定义的ACL分类
配置方法:
配置ACL 2001,允许源地址是192.168.32.1的报文通过。
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1284643.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

nginx对多个服务器的高可用,容易出现鉴权失败

高可用简单测试正常,但是出现高概率401鉴权错误 抓包发现,确实是401 , 而鉴权是两次交互: 抓包发现鉴权到不同服务器上了,导致鉴权没有完成。 此时就需要我们的ip_hash,把同一IP地址的请求,都分配给同一台后端服务器&…

【mysql】基于binlog数据恢复指令和坑

文章目录 1.binlog相关配置是否开启binlogbinlog日志格式 2.导出binlog日志mysqlbinlog指令updateinsertdeletebinlog中的事件 3.数据恢复4.特别注意的坑为什么bash脚本执行mysqlbinlog,无法找到指令为什么执行mysqlbinlog,无法数据恢复 1.binlog相关配置…

互联网Java工程师面试题·Spring Boot篇·第一弹

目录 1、什么是 Spring Boot? 2、Spring Boot 有哪些优点? 3、什么是 JavaConfig? 4、如何重新加载 Spring Boot 上的更改,而无需重新启动服务器? 5、Spring Boot 中的监视器是什么? 6、如何在 Sprin…

stm32一种步进电机查表法驱动

文章目录 一、定时器基础频率二、驱动原理三、关键代码 对于stm32芯片来说,步进电机的驱动由于要在中断中不断计算下一次脉冲的时间而极其消耗算力,使用计算的方法对于芯片的算法消耗更高,特别是在f1这种算力比较低的芯片上,这时候…

【数电笔记】25-mos管的开关特性

目录 说明: mos管的符号 1. N沟道增强型 2. P沟道增强型 3. N沟道耗尽型 4. P沟道耗尽型 mos管的静态开关特性 1. N沟道增强型MOS管 2. P沟道增强型MOS管 说明: 笔记配套视频来源:B站;本系列笔记并未记录所有章节&#…

(C语言)判定一个字符串是否是另一个字符串的子串,若是则返回子串在主串中的位置。

要求: (1)在主函数中输入两个字符串,调用子函数cmpsubstr()判断,并在主函数输出结果。 (2)子函数的返回值为-1表示未找到,否则返回子串的位置(起始下标)。 …

883重要知识点

(1)程序结构分三种:顺序结构,选择结构,循环结构。 (2)该程序都要从main()开始,然后从最上面往下。 (3)计算机的数据在电脑中保存以二…

微信小程序uni.chooseImage()无效解决方案

Bug场景: 微信小程序在上传图片时可以通过 uni.chooseImage()方案进行上传,这里不再赘述具体参数。一直项目都可以正常使用,突然有一天发现无法使用该方法,于是查了一下,发现是用户隐私协议问题。故记录一下解决方案。…

11、pytest断言预期异常

官方用例 # content of test_exception_zero.py import pytestdef test_zero_division():with pytest.raises(ZeroDivisionError):1/0# content of test_exception_runtimeerror.py import pytestdef test_recursion_depth():with pytest.raises(RuntimeError) as excinfo:def…

STM32上模拟CH340芯片的功能 (一)

#虚拟串口模拟CH340# 后续代码更新放gitee 上 一、思路 1. 确定通信接口:CH340是一款USB转串口芯片,因此您需要选择STM32上的某个USB接口来实现USB通信。通常情况下,STM32系列芯片都有内置的USB接口,您可以根据您的具体型号选择…

Excel 实现在某一列中循环合并多行单元格

在 Excel 中,使用 VBA(Visual Basic for Applications)宏可以轻松实现多行合并单元格的操作。下面是一个简单的 VBA 代码实现循环合并3行单元格的示例: 1. 打开 Excel 在你的 Excel 文件中,按下 Alt F11 打开 VBA 编…

Raspberry Pi 2, 2 of n - Pi 作为 IoT 消息代理

目录 介绍 环境 先决条件 - 设置静态 IP 地址 安装 Mosquitto 启动/停止 Mosquitto 配置先决条件 - 安装 mqtt_spy 配置 Mosquitto 配置 Mosquitto - 无安全性 测试 Mosquitto 配置 - 无安全性 配置 Mosquitto - 使用密码身份验证 Mosquitto 测试 - 带密码验证 概括 介绍 在本文…

创建conan包-Understanding Packaging

创建conan包-Understanding Packaging 1 Understanding Packaging1.1 Creating and Testing Packages Manually1.2 Package Creation Process 本文是基于对conan官方文档Understanding Packaging翻译而来, 更详细的信息可以去查阅conan官方文档。 1 Understanding …

1. 了解继承的概念,掌握派生类的定义。2. 掌握派生类构造方法的执行过程。3. 掌握方法的重载与覆盖。4. 掌握抽象类的概念及上转型对象的使用

1、定义一个抽象类Shape,类中封装属性name指定图形名称,定义用于求面积的抽象方法。定义3个子类:圆形类Circle、梯形类Trapezoid和三角形类Triangle,都继承Shape类,子类中各自新增属性,定义构造方法、设置属…

中缀表达式转后缀表达式(详解)

**中缀表达式转后缀表达式的一般步骤如下: 1:创建一个空的栈和一个空的输出列表。 2:从左到右扫描中缀表达式的每个字符。 3:如果当前字符是操作数,则直接将其加入到输出列表中。 4:如果当前字符是运算符&a…

PyQt实战 创建一个PyQt5项目

前后端分离 参考链接 PyQt5实战(二):创建一个PyQt5项目_pyqt5实战项目_笨鸟未必先飞的博客-CSDN博客 项目目录 创建一个QT项目 调用pyuic工具将dialog.ui文件编译为Python程序文件ui_dialog.py。 # -*- coding: utf-8 -*-# Form implemen…

【专题】【中值定理-还原大法】

1)构造辅助函数 2)罗尔定理: 闭区间连续,开区间可导 F(a)F(b) 3)F‘(ξ)0,原命题得证 极限保号性:

Selenium启动Chrome插件(Chrome Extensions)

Selenium启动Chrome插件(Chrome Extensions) 需求描述: 在使用WebDriver启动Chrome浏览器时式启动一个默认设置(比较干净)的浏览器,但是我在自动化测试的过程中需要用到插件。 实现方法: 其一:启动浏览器的同时直接取安装包.cr…

3.5毫米音频连接器接线方式

3.5毫米音频连接器接线方式 耳机插头麦克风插头 绘制电路图注意事项 3.5毫米音频连接器分为单声道开关型和无开关型如下图: sleeve(套筒) tip(尖端) ring(环) 耳机插头 麦克风插头 绘制电路图…

玩转大数据6:实时数据处理与流式计算

引言 在当今的数字化时代,数据正在成为一种新的资源,其价值随着时间的推移而不断增长。因此,实时数据处理和流式计算变得越来越重要。它们在许多领域都有广泛的应用,包括金融、医疗、交通、能源等。本文将探讨实时数据处理和流式…