电子政务 网络管理 网络技术

三种网络准入控制技术

来源:网络部发布时间:2018-01-05 字体:[] [][关闭][打印]

三种网络准入控制技术

传统的终端准入控制解决方案为保证对终端进行管理和控制,要求全部终端均安装有客户端软件,并通过客户端代理完成用户的网络认证、终端检查和管理等功能。但是,对于外来访客等临时访问网络的终端,无法要求其必须安装客户端软件;尤其是在一些大规模部署或终端设备上自身软件情况复杂等应用场景中,安装客户端软件的开销较大;另外客户端的个人操作系统越来越多样化,单纯对微软Windows客户端进行控制已经满足不了需求。

如何对临时访问网络的终端设备进行更好的控制和管理,如何更方便地部署终端管理系统,如何满足多种客户端操作系统用户的接入需求,成为网络IT管理的一个重大课题。

一、插件方案

用户上网时,在终端的IE地址栏上输入网页URL地址后,IE就会向联动设备发送HTTP请求,如果用户没有安装客户端或者想访问受限资源,联动设备就会向终端返回一个指向Portal认证页的HTTP重定向回应报文,将用户访问转向Portal认证门户网页。

在第一次使用时,IE将自动下载并运行JRE(JAVA运行环境)和JAVA客户端,然后将安装文件缓存在本地,以便加快下次客户登录的进行。用户在进行登录操作时,JAVA客户端直接和Portal服务器进行通信,从而完成身份认证过程。认证通过后,JAVA客户端将向策略服务器发起安全请求,进行病毒、补丁等检查。对于通过安全检查的终端用户,准入服务器会通知网络设备为其开放访问权限,至此终端用户就可以对受限资源进行访问。

插件无客户端方案通过JAVA技术来驱动客户端的下载及自动运行,使用过程非常简单。同时由于JAVA技术具有操作系统无关性的特点,除了Windows外,LinuxMacOS用户也可以安装JAVA客户端,进行身份认证和访问网络,灵活性强、部署简便、轻量小巧。

优点:不安装客户端,减轻工作量和维护任务

缺点:JAVA版本不统一,加载过程可能不顺利

二、Web+ Portal方案

Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。

用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。

优点:

1、不需要特殊的客户端软件,降低网络维护工作量

2、可以提供Portal等业务认证

缺点:

1、WEB承载在7层协议上,对于设备的要求较高,建网成本高;

2、用户连接性差,不容易检测用户离线,基于时间的计费较难实现;

3、易用性不够好,用户在访问网络前,不管是 TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;

4、IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。

5、认证前后业务流和数据流无法区分。

三、用户无感知认证

无感知认证,首次接入网络时,用户输入用户名密码,系统会采集设备指纹信息,后续只要用户的终端再使用网络,就会自动认证,这一切都用户都是透明无感知的。

优点:

1、用户感知好,无须输入用户名密码,连上就可以使用。

2、自动采集感知元素。

缺点:

在安全要求非常严格的情况下无法满足,安全性不及有客户端准入认证。