美章網(wǎng) 資料文庫(kù) 網(wǎng)絡(luò)接入認(rèn)證模式范文

網(wǎng)絡(luò)接入認(rèn)證模式范文

本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)接入認(rèn)證模式參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

網(wǎng)絡(luò)接入認(rèn)證模式

摘要:網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)整體安全的先決條件,也是其重要的一環(huán),目前在實(shí)際生產(chǎn)實(shí)踐活動(dòng)中可以在多個(gè)環(huán)節(jié)用不同的方式來保證網(wǎng)絡(luò)的安全,現(xiàn)就將在網(wǎng)絡(luò)接入環(huán)節(jié)闡述如何基于802.1X協(xié)議來把好網(wǎng)絡(luò)安全的入口關(guān)。

關(guān)鍵詞:接入認(rèn)證;分析;實(shí)現(xiàn)

網(wǎng)絡(luò)安全至關(guān)重要,現(xiàn)將介紹使用802.1X實(shí)施端口級(jí)的接入認(rèn)證。802.1X認(rèn)證,又稱基于端口的訪問控制協(xié)議認(rèn)證,是由IEEE提出的一個(gè)符合802協(xié)議集的局域網(wǎng)接入控制協(xié)議。802.1X最初是為無線局域網(wǎng)認(rèn)證設(shè)計(jì)的,但對(duì)有線網(wǎng)來說只要接入交換機(jī)支持802.1X協(xié)議也是可行的。

在802.1X協(xié)議中,必須同時(shí)具備客戶端、接入認(rèn)證交換機(jī)和認(rèn)證服務(wù)器才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。認(rèn)證過程如下:

(1)當(dāng)用戶有上網(wǎng)需求時(shí)客戶端將請(qǐng)求認(rèn)證的報(bào)文信息發(fā)給接入認(rèn)證交換機(jī),開始啟動(dòng)一次全新的認(rèn)證過程。

(2)接入認(rèn)證交換機(jī)收到請(qǐng)求認(rèn)證的報(bào)文信息后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⒂脩裘蜕蟻怼?/p>

(3)客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶名信息通過數(shù)據(jù)幀送給接入認(rèn)證交換機(jī),接入認(rèn)證交換機(jī)將客戶端發(fā)送過來的數(shù)據(jù)幀經(jīng)過封包處理后傳送給認(rèn)證服務(wù)器進(jìn)行處理。

(4)認(rèn)證服務(wù)器收到接入認(rèn)證交換機(jī)傳送過來的用戶名信息后,將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì),找到該用戶名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給接入認(rèn)證交換機(jī),由接入認(rèn)證交換機(jī)傳給客戶端程序。

(5)客戶端程序收到由接入認(rèn)證交換機(jī)傳過來的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理,并通過接入認(rèn)證交換機(jī)傳送給認(rèn)證服務(wù)器,此過程中的加密算法為不可逆算法,充分地保障了網(wǎng)絡(luò)上敏感信息的安全度。

(6)認(rèn)證服務(wù)器將送過來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行比對(duì),如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息,并向交換機(jī)發(fā)出打開端口的指令,允許用戶的數(shù)據(jù)流通過端口訪問網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài)。

基于RADIUS方式的IAS認(rèn)證服務(wù)器+Foundry接入交換機(jī)的模式來描述整個(gè)認(rèn)證系統(tǒng)的基本設(shè)置過程。

1IAS的安裝配置過程

第一步:在DC上安裝IAS服務(wù)。

第二步:定義認(rèn)證客戶端。在IAS管理界面中,在客戶端上右擊,選擇創(chuàng)建新的客戶端為交換機(jī)輸入名稱及其IP地址或DNS名稱在客戶端-供應(yīng)商中選擇“RADIUSStandard”,輸入用于識(shí)別交換機(jī)的共享密碼,這個(gè)密碼必須與交換機(jī)中確定RADIUS服務(wù)器的密碼一致,勾選“請(qǐng)求必須包括消息消息驗(yàn)證程序?qū)傩浴薄?/p>

第三步:創(chuàng)建遠(yuǎn)程訪問策略實(shí)施訪問管理。在IAS管理界面中,右擊“遠(yuǎn)程訪問策略”,創(chuàng)建新的遠(yuǎn)程訪問策略并選擇連接類型雙擊新建的策略,添加“Day-and-Time-Restriction”設(shè)置許可訪問的時(shí)段。

第四步:開啟遠(yuǎn)程訪問記錄。在IAS管理界面中選擇“遠(yuǎn)程訪問記錄”,打開“本地文件”屬性。

在“設(shè)置”頁(yè)中選擇需要記錄的信息;在“日志文件”頁(yè)卡中,設(shè)置文件格式為IAS格式,選擇創(chuàng)建新日志時(shí)間。第五步:設(shè)置可逆加密格式的密碼來支持EAP-MD5。在DC上選擇“ActiveDirectory用戶和計(jì)算機(jī)”,在AD域名上右鍵選擇屬性。

選擇“組策略”頁(yè),編輯“默認(rèn)域策略”。

在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/帳戶策略/密碼策略”樹中,啟用“用可還原的加密來存儲(chǔ)密碼”項(xiàng)。

第六步:為用戶設(shè)置撥入和可逆加密密碼許可。用戶帳號(hào)屬性中選擇“撥入”頁(yè),勾選“允許撥入”項(xiàng)選擇“帳戶”頁(yè),勾選“使用可逆的加密保存密碼”選項(xiàng)

2接入認(rèn)證交換機(jī)的配置過程

接入認(rèn)證交換機(jī)的配置可以使用CLI、Telnet、超級(jí)終端撥入以及瀏覽器訪問等多種方法。瀏覽器訪問方式最便捷:登陸交換機(jī)的管理界面,在左側(cè)樹形管理菜單中的安全設(shè)置菜單項(xiàng)中設(shè)定認(rèn)證順序、服務(wù)器地址、端口、共享的密碼、傳輸數(shù)和超時(shí)時(shí)間,并對(duì)各端口信息進(jìn)行逐一設(shè)定。

3客戶端訪問網(wǎng)絡(luò)的驗(yàn)證過程

基于802.1x的認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息,由于EAP協(xié)議的可擴(kuò)展性,基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法,如EAP-MD5,EAP-TLS,EAP-TTLS,PEAP以及LEAP等認(rèn)證方法。

802.1x認(rèn)證協(xié)議已經(jīng)得到了很多軟件廠商的重視,紛紛推出了大量的認(rèn)證客戶端軟件,微軟也不例外,在WindowsXPSP2中已經(jīng)整合了802.1x客戶端軟件,無需再另外安裝客戶端軟件,只要網(wǎng)絡(luò)連接的屬性中啟用此網(wǎng)絡(luò)的802.1x驗(yàn)證即可。設(shè)置完成的客戶端再次接入交換機(jī)時(shí),系統(tǒng)會(huì)提示需要用戶名和密碼,只有合法用戶才可以正常訪問網(wǎng)絡(luò)資源。

至此為止,完成了整套認(rèn)證系統(tǒng)的分析與設(shè)置,可以使得網(wǎng)絡(luò)的安全性得到了更深層次的保障。

主站蜘蛛池模板: 泰国一级淫片免费看| 久久精品一区二区三区中文字幕| 色吊丝永久在线观看最新| 国产精品久久亚洲一区二区| 久久久久99精品成人片欧美 | 直接在线观看的三级网址| 国产精品久久久久久久| av无码国产在线看免费网站| 日韩欧美中文在线| 伊人久久青草青青综合| 翁公厨房嫒媛猛烈进出| 国产又黄又爽胸又大免费视频| 大尺度视频网站久久久久久久久| 怡红院亚洲色图| 久久96国产精品| 日韩免费高清一级毛片在线| 亚洲人成在线播放网站岛国| 欧美黑人肉体狂欢大派对| 免费人成网站在线观看不卡| 经典国产一级毛片| 国产精品亚洲аv无码播放| 99久久国产综合精品swag| 日本精品高清一区二区| 亚洲一区精品无码| 欧美日韩电影在线观看| 亚洲色偷偷av男人的天堂| 青苹果乐园在线高清| 国内自产少妇自拍区免费| 久久精品国产一区二区三| 特区爱奴在线观看| 冲田杏梨在线精品二区| 性满足久久久久久久久| 国产精彩视频在线| 99久久综合狠狠综合久久aⅴ| 好大好湿好硬顶到了好爽视频 | 看黄网站在线看| 六月丁香综合网| 精品无码一区在线观看| 啦啦啦在线免费视频| 色狠狠久久av五月综合| 国产免费久久久久久无码|