[互联网]DLink安全接入认证解决方案.ppt

金炜,D-Link安全接入解决方案,提纲,为什么需要网络安全接入网络安全接入建设目标D-Link网络安全接入解决方案案例分析,未授权网络存在诸多问题,传统的安全审查机制都是在网关出口处。-内网安全无保障传统的安全审查机制都是基于IP地址的。-IP地址是可修改的内部用户未经许可，就可接入网络中去。-重要资源无保障,金融服务器,ERP系统,R&D服务器,在网络接口上缺乏控制,其它用户,客人,雇员,不用授权，客户端能访问任何网络资源,网络安全接入建设目标,财务系统,ERP系统,研发资源系统,客人,销售,会计,研发人员,研发部门只能访问研发资源服务器和Internet资源,销售人员只能访问ERP系统和Internet资源,客人用户只能访问Internet资源,会计部门只能访问财务系统和ERP系统,现有网络面临的一些问题和挑战,1、ARP攻击及病毒泛滥，常常引起大面积上网中断2、用户上网行为不可控（乱发言论、乱用网络资源现象严重）3、内网接入的安全问题,目 标,1、双向防御ARP攻击及病毒对网络的侵犯2、对用户的上网行为进行有效的控制3、全面、丰富的认证计费手段,让我们的网络环境更舒适、更安全,一、双向防御ARP攻击及病毒对网络的侵犯,原 因,导致用户上网掉线的最大原因就是arp攻击其次是病毒等的攻击最后是网络本身的瓶颈问题,上网不稳定总是掉线,方案逻辑拓扑,1、DPF构成高性能出口网关、病毒攻击过滤。2、认证计费完成本身功能以外，同时兼顾内网安全（arp防御）。3、整网交换机过滤常见病毒端口，防止交叉感染,Arp的防范,单一的IP+MAC+端口绑定，DHCP snooping都不能完全解决问题我们需要：认证计费客户端、交换机、radius server组成三位一体，共同完成对arp攻击的防御,1、认证前会有一个arp防御的小程序驻留在系统内，对发出的arp进行有效的侦测和隔离2、认证开始后，客户端清除arp后，会用所使用的网卡发送arp，并进行绑定3、每15秒，会发一次arp，帮助网关维护arp4、这个过程中radius server要对用户的ip进行绑定,解决方法,支持微软新一代操作系统的网络访问保护（NAP）技术,NAP是一项政策强制性技术，构筑在Windows Vista和Windows Server“Longhorn”操作系统之中，使用户能更好地预防来自不安全电脑对网络设备的袭击，强制实施网络安全政策。D-Link xStack DES-3500,DES-3800,DGS-3400 or DGS-3600 系列支持NAP,访问请求.这是我新的健康状况,NAP工作过程,Microsoftnetworkpolicy server,终端,802.1xSwitch/AP,Remediation servers,我现在能访问网络吗?这是我的健康状况,根据它的健康状况，这个终端应该被受限吗?,策略更新到 NPS Policy Server,你被赋予受限访问权限，直到完成修补,我能升级吗?,到这边,根据策略，这个终端不是最新的，进行隔离，并要求升级,公司网络,受限制网络,客户端被授权访问整个网络,System health servers,根据策略，已经是最新，授权访问,不受限制网络,解决方法,网络访问保护（NAP）技术 带来的好处,能够对终端健康状况做检测可检测的项目包括：是否打了最新补丁，是否装了防病毒软件，是否装了个人防火墙等如果不是合法用户，只能访问有限的网络资源，增强网络的安全性,解决方法,病毒防范、补丁更新,1、通过在网络设备上关闭常见的病毒端口，切断扫描通道2、在网络上部署IPS功能的设备进行攻击预防3、和杀毒软件进行联合，形成三位一体的防御工事认证计费客户端内建安全检查功能，系统补丁、杀毒软件等不符合预定义的安全策略的主机不能访问网络,1,2,3,Radius服务器,补丁更新服务器,802.1x,三、全面、丰富的认证计费手段,D-Link dot1x switch,D-Link dot1x switch,D-Link dot1x switch,D-Link DSA-4000,二次认证计费解决方案,D-Link DRS-5000,internet,核心 swtich,ftp server,mail server,vod server,D-Link 独创的二次认证解决，接入层可采用D-Link或其它厂商支持dot1x的switch，DSA-4000高可靠性接入网关位于网络出口部分并结合后台D-Link DRS-5000认证计费运营平台，实现一次拨号二次认证方案，用户可采用此方案针对内网资源免费，上外部网络收费的策略,内网,外网,D-Link绿色Client,internet,1、专用客户端防止私接和代理2、能融合现有所有支持802.1x的交换机，避免垄断3、可定义时长、流量等多种计费策略4、和现有一卡通系统完美结合，实现计费、收费人性化管理5、锁定用户的上网地点 实现一个帐号全网漫游,优 点,网络安全接入解决方案,校园网认证、计费解决方案：纯802.1x的认证、计费解决方案纯BAS网关的认证、计费解决方案802.1xBAS二次认证、计费解决方案企业网认证解决方案：802.1x认证解决方案WAC认证解决方案MAC认证解决方案,1、这套方案相对性价比很高，很多学校都使用过这套方案。方案的组成部分有：接入层802.1x交换机、客户端802.1x软件、Radius系统DRS-5000。2、这套系统可满足学校的认证、计费运营管理，可以防止网络中IP地址冲突，安全性比较高。,校园网认证计费解决方案,优点：可实现多元素绑定认证，安全可靠；通过端口来控制，安全性较高，不会发生IP地址冲突等；非网关架构，没有网络瓶颈问题；由于控制流和业务流完全分离，设备负荷较小；支持组播等新业务防止代理,弱点：802.1x技术对流量计费、P2P限制等控制能力较弱；不能提供区分内外网计费等学校需要的特色服务。,校园网认证计费解决方案,此方案共由几部分组成：BAS设备DSA-4000、客户端软件、Radius系统DRS-5000、日志系统DRS-100。此方案对接入层交换机不做特别要求。,校园网认证计费解决方案,优点：采用网关认证，支持PPPoE、WEB和Client认证方式，接入方式灵活多样，充分满足不同用户需求；兼容性好，保护用户投资。对交换机的选择不受限制，避免了选择认证系统后对交换机选型的束缚；对用户的管控能力比较强，支持P2P限制、支持用户带宽限制、支持上网日志记录等；计费方式灵活多样，可提供流量计费、时间计费、区分内外网计费等；持组播等新业务。,弱点：成本高；无法管控到交换机端口，安全性欠佳；由于采用网关式网络拓扑结构，如果设计不当，可能会造成网络瓶颈。,校园网认证计费解决方案,1、此方案是D-Link 独创的二次认证解决方案，共由几部分组成：接入层802.1x交换机、BAS设备DSA-4000、客户端802.1x软件、Radius系统DRS-5000、日志系统DRS-100。2、这套系统可实现高校的认证、计费运营平台，实现一次拨号二次认证，此方案可实现内网资源免费，上外部网络收费的计费策略。,校园网认证计费解决方案,优点：可兼容任何厂家交换机，保护用户投资；接入方案灵活，可选择PPPoE方式接入、802.1x方式接入、web接入、client等接入方式；它是结合802.1x认证与BAS认证的优点，采用了802.1x技术中最具价值的根本上杜绝IP地址冲突的功能，屏弃私有的不兼容的属性，在BAS上实现网络元素的绑定及各种灵活的控制功能。在接入层采用802.1x认证方式，用户可访问内网；在外网出口采用bas网关型认证，用户可访问外网。灵活的计费模式，可按时长、按流量灵活计费；并可通过二次认证，内外网区别计费。灵活设置不同时段上网可控机制，杜绝学生长时间上网可对用户带宽进行限制、可限制P2P下载完全记录上网用户行为日志灵活支持“即时消息”、“广告消息”及通知发布具备网络自助服务模式，并可与校园“一卡通”实现对接，解决学生缴费问题,校园网认证计费解决方案,网络安全接入解决方案,校园网认证、计费解决方案：纯802.1x的认证、计费解决方案纯BAS网关的认证、计费解决方案802.1xBAS二次认证、计费解决方案企业网认证解决方案：802.1x认证解决方案非802.1x认证解决方案WAC认证解决方案MAC认证解决方案,DES-3528,DES-3526,DES-3028,internet,核心交换机,这套方案相对性价比很高，适合企业应用。方案的组成部分有：接入层802.1x交换机、Windows 2003 Server。,企业网认证解决方案,财务系统,ERP系统,研发资源系统,客人,销售,会计,研发人员,研发部门只能访问研发资源服务器和Internet资源,销售人员只能访问ERP系统和Internet资源,客人用户只能访问Internet资源,会计部门只能访问财务系统和ERP系统,企业网认证解决方案,这种认证方式，需要交换机具备几个功能：认证：802.1x授权：Guest VLAN、动态VLAN分配（Dynamic VLAN Assignment）关于认证数据库这一端，有两种选择：采用Windows 2003 Server的Radius功能。需要每次接入网络时输入网络授权密码；采用Windows AD域认证。用户每次登录Windows时输入的用户名和密码，可同时对网络的接入进行认证，也就是说一套用户名和密码可同时登录Windows电脑系统和网络系统。关于授权：如果用户认证成功，则根据用户身份，自动归置到相应部门VLAN之中，可以访问相应的网络资源；如果用户网络认证失败，则自动归置到Guest VLAN之中，只能对Internet资源访问。,企业网认证解决方案,802.1X与 Windows AD 认证的无缝整合，其配置说明如下：1.在 Windows AD上安装 IAS server.IAS 是 Radius 服务器，可以读取 AD 中的用户信息。2.在交换机上启用 802.1X+Guest VLAN.3.若使用 MS-CHAPv2,你可以配置用户计算机,使用 Windows Domain 的用户名和密码来进行 802.1X 登入。当用户完成 Windows Logon,Windows 会自动开始 802.1X MS-CHAPv2 对交换机端口做认证。注意你必须将 AD 放在 Guest VLAN,所以在端口未认证前，用户仍能登入网域。这是较简单的方式。4.若不想把 AD 放在 Guest VLAN,可以用 EAP-TLS。未 Windows Logon 之前,用户计算机会用 Computer cert 对端口做802.1X认证，并可被配置到一个 VLAN,你可以将AD放置在此VLAN上.Windows Logon 之后,Windows 会使用 User cert.对端口再做一次认证，此时可以拿到此用户的 VLAN。5.无论是使用 PEAP-MSCHAPv2 还是 EAP-TLS,非域管理范围的用户都会归属到 Guest VLAN.,企业网认证解决方案,同理，对于无线交换机的认证，也可以采用IAS来进行整合，使用户在登录Windows系统时就能对网络进行认证。交换机的配置并不复杂，参考 PMD 上：Product LiteratureSwitchManagement Switch Configuration Examples2007_OBU_Training_-_802-1x_GuestVLAN_WAC_MACWindows 部分较为复杂。请看下列网站:http:/,企业网认证解决方案,网络安全接入解决方案,校园网认证、计费解决方案：纯802.1x的认证、计费解决方案纯BAS网关的认证、计费解决方案802.1xBAS二次认证、计费解决方案企业网认证解决方案：802.1x认证解决方案WAC认证解决方案MAC认证解决方案,1、该方案适合企业用户使用，通过Windows自带的IE浏览器就可以做认证，不需要安装额外的软件。方案的组成部分有：支持WAC认证的交换机、Radius系统（DRS-5000，也可以是Windows Server自带的Radius）。2、这套方案简单高效，可以实现不同部门人员访问不同资源的控制。用户只需打开IE浏览器即可认证。3、如果采用右图方案需要DES-3528的R2版本支持，请特别留意！,企业网认证解决方案,应用场景：通过用户认证来实现用户身份控制，可以做到不同用户访问不同资源；是基于用户身份做的授权，与用户所在位置和连接的设备没有多大影响。优点:灵活性:用户可以获取指定的网络访问特权，而不管他是在哪里或使用什么样设备。没有客户端:易于配置，易于使用(通过IE浏览器即可进行认证)较好的安全管理：把安全控制推进到接入层，所有用户进入网络时，必须通过认证。,企业网认证解决方案,这种认证方式，需要交换机具备几个功能：认证：WAC认证授权：Guest VLAN、动态VLAN分配（Dynamic VLAN Assignment）关于认证数据库这一端：采用Windows 2003 Server的Radius功能。用户访问网络时，需先打开IE浏览器进行认证。关于授权：如果用户认证成功，则根据用户身份，自动归置到相应部门VLAN之中，可以访问相应的网络资源；如果用户网络认证失败，则自动归置到Guest VLAN之中，只能对Internet资源访问。具体配置请参考 PMD 上资料：Product LiteratureSwitchManagement Switch Configuration Examples2007_OBU_Training_-_802-1x_GuestVLAN_WAC_MAC,企业网认证解决方案,网络安全接入解决方案,校园网认证、计费解决方案：纯802.1x的认证、计费解决方案纯BAS网关的认证、计费解决方案802.1xBAS二次认证、计费解决方案企业网认证解决方案：802.1x认证解决方案WAC认证解决方案MAC认证解决方案,1、该方案适合小型企业使用，不需要用户名和密码，根据终端的MAC地址就可以认证。方案的组成部分有：支持MAC认证的交换机、数据库（可以是交换机自带的数据库，也可以是外部Radius数据库）。其中外部Radius可采用Windows Server自带的Radius。其中DES-3528本机自带的数据库最多支持128个用户的记录。2、基于MAC的认证，必须是在一个二层的网络环境下做，不能跨三层设备的。另外，如果要实现右图方案，接入层交换机必须是8端口或16端口的交换机。因为DES-3528在基于MAC认证的模式，每端口最大支持16用户的认证。,企业网认证解决方案,应用场景：主要应用于VOIP电话、打印机、路由器、网络摄像机、AP等没有web浏览器或不能安装802.1x客户端的设备。严格控制用户接入设备。特别适合校园网络、公共网络或需要设备控制的企业。一般小型企业可以采用这样的方案。优点:无客户端:易于配置。对客户端完全透明 设备管理:只允许合法设备连接到网络所有的客户端都是自动认证的，而且每个客户端都可以作为特定的角色来访问网络资源,企业网认证解决方案,这种认证方式，需要交换机具备几个功能：认证：MAC认证授权：Guest VLAN、动态VLAN分配（Dynamic VLAN Assignment）关于认证数据库这一端：采用Windows 2003 Server的Radius功能。用户访问网络时，通过MAC地址进行认证，用户不需要任何操作。关于授权：如果用户认证成功，则根据用户身份，自动归置到相应部门VLAN之中，可以访问相应的网络资源；如果用户网络认证失败，则自动归置到Guest VLAN之中，只能对Internet资源访问。交换机和Windows的配置都不复杂，请参考 PMD 上：Product LiteratureSwitchManagement Switch Configuration Examples2007_OBU_Training_-_802-1x_GuestVLAN_WAC_MAC,企业网认证解决方案,认证方案总结,针对校园网，介绍了D-Link的三种认证计费解决方案，分别是纯802.1x认证方案、纯BAS认证方案、802.1x+BAS二次认证计费解决方案针对企业网，介绍了D-Link的三种认证方案，分别是802.1x认证方案、WAC认证方案、MAC认证方案,交换机认证技术：认证：802.1x、WAC、MAC授权：Guest VLAN、动态VLAN分配（Dynamic VLAN Assignment）关于认证：802.1x认证，这是常见的认证方式，不过需要在客户端安装802.1x客户端软件的，或者采用WindowsXp自带动客户端软件。认证相对安全性高，但是由于要安装客户端软件，部署比较麻烦。WAC认证，也叫基于WEB的认证，对用户端而言，只需打开IE浏览器，输入用户名和密码即可认证。现在大多数企业采用这样的方式。WAC认证有两种做法，一种是基于端口的，一种是基于MAC的（也叫基于Host）。后者认证方式，必须交换机支持基于MAC的VLAN功能。如果采用基于端口的认证，一般交换机会放在接入层使用；如果采用基于Host的认证，交换机可以放在接入层，也可以放在汇聚或核心层。DES-3528系列这两种认证方式都支持。MAC认证，这种认证是基于客户端的MAC地址做认证的，常用于一些小型企业，或特殊应用，比如网络摄像机、网络电话等设备的认证，因为这些设备都不带IE浏览器，无法输入用户名和密码，因此做MAC认证是最合适的了。关于授权：Guest VLAN，这是目前交换机常见的做法，用户在未通过认证的时候，把用户归到Guest VLAN组里，用户认证通过后交换机会自动把用户归到另外一个指定组；这个功能很重要，在很多认证的场合都有使用。动态VLAN分配，也有妙用，当用户未通过认证时，自动把用户归到Guest Vlan里；当用户认证通过后，会根据用户的身份自动归到所属VLAN组里。,认证方案总结,总结：用户数在几千几万的网络，选用DSA-4000/8000设备用户数在几十几百的网络，可选用交换机做认证设备如果用户采用交换机做认证设备，可根据实际情况，选择802.1x、WAC、MAC这三者中任何一种作为认证方式。关于用户数据库，如果用户数比较小可以采用交换机内置数据库，一般推荐采用外置的Radius系统。有一些特殊用户，除了需要认证、授权之外，可能还需要进行计费，此时需要配合DRS-5000系统来设计网络。并且根据用户对计费的精确度不同，所设计的网络方案也不同。基于MAC的认证方案中，不能跨三层设备的，也不能使用DRS-5000计费系统的。可以采用Windows Server自带的Radius系统。,认证方案总结,成功案例华硕项目,说明：主要采用了802.1x+Guest VLAN的认证方式公司所有用户认证前都归属到Guest VLAN里，认证后根据各自的身份归属到相应部门VLAN中。,教育行业案例,其他行业案例,休息&讨论!,