HCIE-datacom | 网络准入控制

news2024/11/23 2:01:37

一、前言

         之前提供网络技术咨询服务时,有一位实习生同学向我咨询了有关网络准入的相关情景,在这里我结合华为HCIE-datacom中“网络准入控制”这一节等相关资料,对网络准入技术进行一下简单的理论性说明,与资料的讲解思路相同,本篇文章也会按照网络准入控制概述、用户认证技术、 用户授权与下线、NAC配置实现、策略联动部五分讲述,当然,最后会给一个简单的总结。

 二、网络准入控制概述

        网络准入控制以“只有合法的用户、安全的终端才可以接入网络”为主导思想,通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力。

——华为HCIE-datacom 官方文档

        网络准入控制是一种旨在确保只有合法用户和安全终端可接入网络的防护机制。其主要目标是通过多种手段,包括用户认证、权限管理、安全检查和修复升级等措施,提升企业网络的整体终端安全防护能力。

        首先,网络准入控制依赖于用户认证。通过用户认证技术,例如用户名和密码、双因素认证或证书认证,只有经过身份验证的合法用户才能成功接入网络。这种认证过程确保了用户的身份合法性,防止未经授权的访问和潜在的安全威胁。

        其次,权限管理是网络准入控制的关键组成部分。通过为不同用户或用户群体分配适当的权限和访问级别,可以确保用户只能访问其所需的网络资源和功能,并限制对敏感数据和系统设置的访问。权限管理的细致配置可以提高网络的保密性和数据安全性。

        此外,网络准入控制还涉及对终端设备的安全检查。这包括对终端设备进行安全性评估、漏洞扫描和安全策略合规性检查等,以确保终端设备的安全状态和合规性。对存在安全风险的设备进行修复和升级,可以防止安全漏洞被利用,提升整体网络的安全性。

        网络准入控制的综合实施可以有效降低组织面临的网络风险,并提升企业网络整体终端安全防护能力。通过验证用户身份、管理访问权限、进行安全检查和修复升级等关键措施,组织可以建立一种安全可靠的网络环境,保护敏感数据、预防未经授权的访问和减少网络威胁的风险。

三、用户认证技术

        用户认证技术是网络准入控制的核心组成部分,它用于验证和确认用户的身份,并授予其相应的访问权限。用户认证技术涵盖了多种方式和方法,以下是一些常见的用户认证技术:

        ① 用户名和密码

        这是最常见和基本的用户认证方式。用户提供一个唯一的用户名和与之对应的密码,系统通过验证这些凭证来确认用户的身份。然而,这种方式并不是最安全的,因为密码可能被猜测、盗取或破解。为了增强安全性,用户可以使用复杂的密码,并定期更改密码。

        ② 双因素认证

        双因素认证要求用户同时提供两种不同的凭证进行身份验证。通常结合密码和另一种因素,例如短信验证码、指纹识别、硬件令牌或生物特征识别(如面部识别或指纹识别)。通过引入第二种因素,双因素认证提供了更高级别的安全性,即使密码被泄露,仍然需要额外的认证途径才能访问网络资源。

        ③ 证书认证

        证书认证是一种使用数字证书进行身份验证的方法。数字证书由可信的证书颁发机构(CA)签发,包含了用户的公钥和身份信息。用户在向系统进行认证时,系统会验证证书的有效性和完整性,以确认用户的身份。这种方式通常用于安全敏感性较高的环境,如电子商务和金融领域。

        ④ 单点登录(SSO)

        SSO技术允许用户使用一组凭证(例如用户名和密码)来访问多个应用或系统,而无需为每个应用单独进行认证。用户只需登录一次,系统会自动将其认证信息传递给其他相关应用。SSO提高了用户体验的同时,也简化了认证管理。该技术通常与标准协议(如SAML或OAuth)结合使用。

        ⑤ 多因素认证

        多因素认证是进一步加强用户身份验证的方法,它要求用户提供多个独立的认证因素。除了密码之外,还可以结合生物特征、位置信息、时间戳或安全问题等多种因素进行认证。这种方式提供了极高的安全性,但可能增加了用户的认证复杂性和成本。

        需要注意的是,用户认证技术应根据组织的安全需求和资源可用性进行选择和实施。根据不同的应用场景和用户需求,可以结合多种认证技术来提供更综合和灵活的认证解决方案。同时,认证技术也应定期审查和更新,以适应新的威胁和安全标准,确保网络的可靠性和安全性。

三、用户授权与下线

        在华为的官方文档中,对于用户授权和用户下线的描述如下:        

        ① 用户授权

        认证用于确认尝试接入网络的用户身份是否合法,而授权则用于指定身份合法的用户所能拥有的网络访问权限,即用户能够访问哪些资源。 以RADIUS服务器授权为例,常见的授权信息有:

        VLAN:为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后,认证服务器将指定VLAN授权给用户。

        ACL:用户认证成功后,认证服务器将指定ACL授权给用户,则设备会根据该ACL对用户报文进行控制。

         UCL组:UCL(User Control List,用户控制列表)组是网络成员的集合。UCL组里面的成员,可以是PC、手机等网络终端设备。借助UCL组,管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略,满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略,基于UCL组的网络控制方案能够极大的减少管理员的工作量。

——华为HCIE-datacom 官方文档

        ② 用户下线

        当用户已下线,而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时,会产生以下问题: RADIUS服务器仍会对该用户进行计费,造成误计费。 存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险。 已下线用户数量过多的情况下,还会占用设备用户规格,可能会导致其他用户无法接入网络。 因此,接入设备要能够及时感知到用户已下线,删除该用户表项,并通知RADIUS服务器停止对该用户进行计费。 用户下线方式分为客户端主动下线,接入设备控制用户下线和服务器控制用户下线。

——华为HCIE-datacom 官方文档

        用户授权与下线是网络准入控制的两个重要方面,它们确保只有被授权的用户可以访问组织的网络资源,并在不再需要访问时及时断开与网络的连接,从而增强网络的安全性。

        授权是基于用户的身份、角色和权限确定用户可以访问的资源和进行的操作。通过授权策略,组织可以精确地定义用户能够访问的敏感数据、关键系统和网络资源的范围。通过分配角色和权限,组织可以按照不同的需求和职责限制用户的访问权限。例如,高级管理人员可以被授予更高级别的权限,而普通员工则只能访问特定的资源。授权策略应该根据组织的安全策略和业务需求而定,并定期进行评估和更新,以确保只有合法的用户能够访问网络资源。

        用户下线是另一个关键方面,它确保在用户不再需要访问网络资源时能够及时断开与网络的连接。用户下线可以通过自动注销或定时退出系统来实现。这样做的目的是防止未经授权的长时间访问,减少安全风险。例如,当员工离开工作区域或超出特定时间范围时,系统可以自动将其下线,以保护组织的敏感数据和资源。对于特殊情况下的紧急下线,例如丢失或泄露了用户凭证,组织应当及时采取措施来中止用户的访问权限,以防止未经授权的访问和数据泄露。

        用户授权与下线需要与其他安全控制措施相结合,以提供更强大的网络安全保护。例如,当一个用户成功通过认证后,他们的访问权限应该与防火墙策略相匹配,只能访问与其角色和权限相符的资源。当用户下线时,系统应及时通知其他安全设备和系统,以确保用户的访问权限得到全面终止。

        需要指出的是,用户授权需要与隐私保护原则相协调。组织应该遵守相关法律和法规,在授权过程中妥善处理用户的个人信息,并确保用户的隐私得到保护。

        综上所述,用户授权与下线是网络准入控制的关键步骤。通过确保用户只能访问其授权的资源,并在不再需要访问时及时终止用户的访问权限,组织可以降低未经授权访问和数据泄露的风险,增强网络的安全性和可靠性。用户授权策略应根据组织的安全需求和业务流程进行制定,并与其他安全措施相协调,以提供全面的网络安全保护。

四、NAC配置实现

        在华为官方的文档中,对于该部分主要是配置流程,在用户接入认证配置时,其配置思路如下图:

        经过对于网络资料的查找等,归纳的理论如下:

        NAC配置实现是网络准入控制的核心组成部分,它通过定义和管理网络准入策略,确保只有合法和授权的用户可以访问组织的网络资源。NAC配置包括多个方面的设置和配置,旨在提供高效的网络准入控制和安全性保障,其中NAC存在如下几种形式:

        ① 认证服务器

        在NAC配置实现中,认证服务器的设置是非常重要的。认证服务器负责管理和验证用户的身份凭证,确保用户提供的用户名和密码是有效的。认证服务器还可以支持其他认证方式,例如双因素认证或生物特征识别。通过合理配置认证服务器,组织可以实现强大的用户认证,增强网络的安全性。

        ② 访问控制列表(ACL)

        访问控制列表(ACL)的配置也是NAC配置实现的关键部分。ACL是一种设置和管理网络流量的方式,用于限制特定用户或设备对网络资源的访问。通过合理配置ACL,可以根据用户的身份、角色和权限,控制用户能够访问的网络资源和操作。ACL可以设置在网络设备、防火墙或路由器上,以确保只有经过授权的用户可以访问特定的网络资源。

        ③ 入侵检测和防御系统(IDS/IPS)

        入侵检测和防御系统(IDS/IPS)的配置也是NAC配置实现的一部分。IDS/IPS可以监控网络流量,并检测和阻止潜在的入侵行为。通过与NAC系统的集成,IDS/IPS可以根据用户的身份和权限,自动调整其行为和规则,以提供更高级别的入侵检测和防御。合理配置IDS/IPS可以提供实时的威胁感知和响应,增强网络准入控制的能力。

        ④ 其他安全措施

        NAC配置实现还可以包括其他安全措施的设置和配置。例如,组织可以配置日志管理系统来监控和记录网络访问事件,以便进行审计和调查。还可以使用网络流量分析工具来识别和隔离异常网络流量,以提供额外的安全保护。

        需要注意的是,NAC配置的实施和管理需要一定的专业知识和技能。组织应该依赖专业的网络安全人员或合作伙伴来确保NAC配置的正确性和有效性。此外,NAC配置应定期进行审查和更新,以适应不断变化的网络威胁和业务需求。

        综上所述,NAC配置实现是网络准入控制的关键环节。通过配置认证服务器、ACL、IDS/IPS等安全措施,组织可以定义和管理网络准入策略,并确保只有经过认证和授权的用户可以访问网络资源。NAC配置的实施需要专业的知识和技能,并应与其他安全措施相协调,以提供全面的网络安全保护。

五、策略联动 

        策略联动是通过在网关设备上统一管理用户的访问策略,并且在网关设备和接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

——华为HCIE-datacom 官方文档

        在华为的官方文档中,对于策略联动的整体概述如下: 

         策略联动是网络准入控制的重要方面,它通过与其他安全策略和技术的协同工作,提供全面的网络安全防护和响应能力。策略联动确保网络准入控制与其他安全措施相一致,以提供更高级别的安全性,策略联动主要可以与其他几个方面的策略相联动。

        ① 与防火墙联动

        首先,策略联动可以与防火墙策略相结合。防火墙作为网络安全的第一道防线,可以限制网络流量和阻止异常的连接。当一个用户成功通过认证后,其访问权限应与防火墙策略相匹配,只能访问与其角色和权限相符的资源。这样可以减少未经授权的访问和潜在的网络威胁,提高整体的网络安全性。

        ② 与IDS及IPS联动

        策略联动可以与入侵检测系统(IDS)和入侵防御系统(IPS)相结合。IDS/IPS可以监测和检测网络流量中的入侵行为,并采取相应的防御措施。与NAC系统的联动可以根据用户的身份和权限,自动调整IDS/IPS的行为和规则,以提供更高级别的入侵检测和防御。例如,当一个用户的行为异常或涉及到敏感数据时,NAC系统可以立即通知IDS/IPS系统,以触发相应的防御措施。

        ③ 与SIEM联动        

        策略联动还可以与安全信息和事件管理系统(SIEM)相结合。SIEM系统用于集中管理和分析网络的安全事件和日志信息。通过与NAC系统的集成,SIEM系统可以获取用户认证和访问的相关信息,进行实时的威胁分析和事件响应。这样可以加强对网络准入控制的监管。

六、总结

        总结起来,网络准入控制是一种通过用户认证、权限管理、安全检查和修复升级等手段,确保只有合法用户和安全终端可接入网络的防护机制。其核心目标是提升企业网络的终端安全防护能力,防止未经授权的访问和潜在的安全威胁。通过验证用户身份、管理访问权限、进行安全检查和修复升级,组织可以建立一个安全可靠的网络环境,保护敏感数据、预防安全漏洞利用,并降低组织面临的网络风险。网络准入控制是保障网络安全的重要措施,应该根据组织的安全需求和资源可用性进行综合实施。        

        最后,引用华为官方文档中的一段话:

        用户的准入控制是网络的第一道“大门”。为了把守好这扇大门,可以在网络中部署802.1X认证、MAC认证与Portal认证等用户认证协议。这些技术的实现方式与应用场景不尽相同,需要根据网络的特点及需求进行选择与部署。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/725721.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于matlab使用AprilTag标记进行相机校准(附源码)

一、前言 AprilTags被广泛用作物体检测、定位应用的视觉标记,并作为相机校准的目标。AprilTags类似于QR码,但旨在编码更少的数据,因此可以更快地解码,这对于实时机器人应用程序非常有用。使用 AprilTags 作为校准模式的优点包括更…

Docker学习笔记21

案例三:使用容器运行一个wordpress应用: 语言开发环境(PHP) 数据库 第一步:创建一个工程目录: mkdir wordpress cd wordpress 第二步:创建一个docker-compose.yaml文件: [rootnode…

Mybatis进阶(2)——为什么用mybatis? 多表查询解决 延迟加载 mybatis缓存 【未完待续】

目录 引出一、为啥用mybatis?二、多表查询之一对多【待续】1.一对多的情况方案一:采用多表联查的方式(1)resultMap(2)查询的java接口和xml的SQL语句(3)对应关系分析(4&am…

使用docker搭建minio分布式对象存储系统

使用docker搭建minio分布式对象存储系统 这里我简单的和大家介绍一下什么是minio ? 附上Minio官网链接:https://minio.org.cn/ MinIO是一种开源的对象存储服务器,通过使用标准的HTTP/REST API来访问和管理数据。它采用分布式架构&#xff0c…

【SAP UI5 控件学习】DAY02 Input组PartII

1. CheckBox控件 1.1 最普通的CheckBox <CheckBox text"Option a" selected"true" />如果需要设置选中状态&#xff0c;需要设置selected属性为true 1.2 部分选中CheckBox <CheckBox text"Option partially selected" selected"t…

【ElasticSearch】DSL查询语法

文章目录 1、DSL查询分类2、DSL基本语法3、全文检索查询4、精确查询5、地理查询6、复合查询--相关性打分算法7、复合查询之Function Score Query8、复合查询之BooleanQuery 1、DSL查询分类 Elasticsearch提供了基于JSON的DSL&#xff08;Domain Specific Language&#xff09;…

【ARM Coresight 系列文章 2 - ARM Coresight 介绍】

文章目录 1.1 ARM Coresight 介绍1.1.1 ARM Coresight 发展历史 1.2 ARM Coresight 框架介绍1.1.1 Trace 通路1.1.3 Debug 通路1.1.4 Trigger 通路 1.1 ARM Coresight 介绍 ARM Coresight是ARM公司提供的一种调试和跟踪技术&#xff0c;用于ARM处理器的调试和性能分析。它通过…

Java中规模软件开发实训——简单的文本编辑器(代码注释详解)

✨博主&#xff1a;命运之光 &#x1f338;专栏&#xff1a;Python星辰秘典 &#x1f433;专栏&#xff1a;web开发&#xff08;html css js&#xff09; ❤️专栏&#xff1a;Java经典程序设计 ☀️博主的其他文章&#xff1a;点击进入博主的主页 前言&#xff1a;在现代社会中…

k8s如何伸缩应用程序和执行滚动更新

一、伸缩应用程序 我们创建了一个 Deployment (opens new window)&#xff0c;然后通过 服务 (opens new window)提供访问 Pod 的方式。我们发布的 Deployment 只创建了一个 Pod 来运行我们的应用程序。当流量增加时&#xff0c;我们需要对应用程序进行伸缩操作以满足系统性能…

第五章:L2JMobius学习 – 快速部署L2JMobius汉化版

L2JMobius是一套开源的 LineageII 的服务器端代码&#xff0c;使用Java语言编写。在前面的章节中&#xff0c;我们安装了mariadb10数据库以及jdk17运行环境&#xff0c;这两个是必须的。紧接着&#xff0c;我们又安装了eclipse开发工具&#xff0c;然后创建了“L2J_Mobius”Jav…

按键输入实验(stm32)

目录 按键的相关代码key.ckey.h LED的相关代码BEEP的相关代码beep.cbeep.h main.c代码的相关说明相关硬件说明实验结果 说明&#xff1a;以下内容参考正点原子资料 按键的相关代码 key.c void KEY_Init(void) //IO初始化 { GPIO_InitTypeDef GPIO_InitStructure;RCC_APB2Peri…

ModaHub魔搭社区:可视化的AI原生云向量数据库 Milvus 2.2.9 :JSON、PartitionKey、Dynamic Schema

目录 新特性 功能增强 其他优化 问题修复 亮点颇多、精彩程度堪比大版本的 Milvus 2.2.9 来啦&#xff01; 随着 LLM 的持续火爆&#xff0c;众多应用开发者将目光投向了向量数据库领域&#xff0c;而作为开源向量数据库的领先者&#xff0c;Milvus 也充分吸收了大量来自社…

ROS:话题名称设置

目录 一、 前言二、rosrun设置话题重映射三、launch文件设置话题重映射四、编码设置话题名称4.1C4.1.1全局名称4.1.2相对名称4.1.3私有名称 4.2Python 实现4.2.1全局名称4.2.2相对名称4.2.3私有名称 一、 前言 在ROS中节点名称可能出现重名的情况&#xff0c;同理话题名称也可…

[攻防世界] [RE] [APK] app2

解题思路 导入jadx查看manifest.xml 查看主函数并未发现有价值的东西&#xff0c;于是查看manifest.xml中主函数下一个<activity> 截取FileDataActivity代码 package com.tencent.testvuln;import android.os.Bundle; import android.widget.TextView; import com.tence…

2022年真题 - 15 - 磁盘管理(vdo磁盘)

磁盘管理 - vdo磁盘 题目配置验证配置题目 StorageSrv - 磁盘管理 在 storagesrv 上新加一块 10G 磁盘;创建 vdo 磁盘,并开启 vdo 磁盘的重删和压缩;名字为 vdodisk,大小为150G,文件系统为 ext4;并设置开机自动挂载。挂载到 /vdodata。配置 新加一块 10G 磁盘; 安装…

驱动 作业 day4

编写LED灯的驱动&#xff0c;创建三个设备文件&#xff0c;每个设备文件和一个LED灯绑定&#xff0c;当操作这个设备文件时只能控制设备文件对应的这盏灯。 此时没有安装led2 和led3的驱动所以会打开设备文件失败 装完以后就可以正常控制了 以下是设备现象 head.h ubuntuu…

docker 的整体架构及各模块组件 《深入docker底层原理》

1.Docker 整体架构 Docker 是一个 C/S 模式的架构&#xff0c;后端是一个松耦合架构&#xff0c;模块各司其职。 1、用户是使用 Docker Client 与 Docker Daemon 建立通信&#xff0c;并发送请求给后者。 2、Docker Daemon 作为 Docker 架构中的主体部分&#xff0c;首先提供…

Windows如何设置自动关闭未响应的程序?Windows设置自动关闭未响应的程序方法,带图详解

Windows系统程序经常出现程序未响应现象&#xff0c;如何通过注册表使其自动关闭呢 1、首先快捷键winR唤出【运行】 输入regedit 2、确定后就打开了注册表编辑器&#xff0c;定位到【HKEY_CURREnT_UsER\Control panel\desktop】项下 3、在右侧找【AutoEndTasks】数值数据&#…

yolo.h5文件问题的解决 - 吴恩达深度学习:目标检测之YOLO算法

1.下载下载yad2k: git clone https://github.com/allanzelener/yad2k.git 这里面顺便有yad2k.py文件 2.下载yolov2.cfg https://github.com/pjreddie/darknet/tree/master/cfg 3.下载yolov2.weights http://pjreddie.com/media/files/yolo.weights 需要这三个文件 自己去githup…

易模为真人3D手办制作带来了创新

3d打印技术是一项近年来迅速发展的先进制造技术&#xff0c;逐渐在各个领域展现出无限的潜力。其中&#xff0c;3d打印真人手办成为了一个备受关注的领域。在市面上&#xff0c;我们常常可以看到一些热门动漫角色或明星的真人3d手办&#xff0c;逼真的细节和完美的再现度让人们…