局域网防非法接入的常用技术比较

　　企业内部局域网防非法接入技术分两类，一类是基于网络代理的技术，另一类是基于网络层的技术。
　　
基于代理服务器的技术

　　这类技术是指在局域网内部核心服务器群前端，安装接入服务器或接入网关，结合客户端登录认证，实现C/S模式的安全接入认证系统。其实现功能如下：防止基于proxy服务器非法上网；防止基于NAT的代理服务器非法上网；防止通过修改IP和MAC地址非法接入。这种技术可有效的控制非法机器对局域网内重要服务器群的非法访问，但对于企业局域网内部重要客户端机器，则无法进行有效保护。
　　
基于网络层的防非法接入技术

　　这类技术是基于网络互联设备的安全特性来实现的。目前可网管的上基本都具有下述安全机制。
　　
基于端口绑定的防非法接入技术

　　该技术是通过对交换机的物理端口，进行MAC和IP地址绑定设置，有效的控制网内主机对局域网的访问。该技术的优点是对非法接入的控制, 安全高效，缺点是不适合大中型网络的使用，其端口设置固定，客户机无法灵活移动。
　　
基于IEEE802.1x协议的防非法接入技术

基于IEEE802.1x协议的认证机制，是一种基于用户ID来进行交换机端口通讯的身份认证，被称为“基于端口的访问控制协议”。802.1x认证系统由申请者、认证者以及Radius认证服务器组成。提供基于端口监听的网络接入控制技术，在网络设备的物理接入层对接入设备进行认证和控制。它将网络设备接入端口逻辑上分为可控端口和不可控制端口。根据用户帐号和密码，由认证服务器认证，以决定该端口是否打开，对于非法用户接入或没有用户接入时，则该端口处于关闭状态。接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流xx一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。当用户断网后，如果需要再次连网，则需要进行二次认证。

　　 IEEE802.1x身份认证过程如下：

* 计算机尝试通过非控制端口连接到网络上。（由于此时终端计算机还没有通过身份验证，因此它无法使用所连接的网络端口）。该被连接的网络设备向申请终端发送一个纯文本质询。
* 作为响应，终端计算机提供自己的身份证明。
* 网络接入设备将来自申请者的身份信息通过网络转发给RADIUS认证服务器。
* RADIUS 服务器对凭证进行验证；如果通过验证，则将身份验证密钥发送给网络接入设备。这个密钥是加密的，因此网络接入设备要对其进行解密。
* 网络接入设备对密钥进行解密，并用它来为申请终端计算机创建一个新的密钥。这个新的密钥将被发送给终端计算机，它被用来加密终端计算机的全局身份验证密钥。
* 定期的，网络接入设备会生成新的全局身份验证密钥，并将其发送给客户端。
　　该认证机制，是目前较为流行的一种网络接入认证机制，其优点是：简洁高效、容易实现、应用灵活，是适用于大中型局域网的一种接入认证方式。缺点是：该机制是基于用户及口令的认证，对于大中型局域网来说，网络用户数多，人员复杂，多用户多口令的安全性不能有效得到保证，因此从管理角度来说，口令泄密而导致非法接入用户无法有效控制。

基于动态VLAN的防非法接入技术

　　基于动态VLAN的认证机制，这是一种基于源MAC地址，动态地在端口上划分VLAN的方法。它由三部分组成，即VMPS认证、、接入客户端。

　　其中接入客户端是指连接上网的微型计算机或UNIX工作站等；VMPS认证服务器，由认证服务器、认证数据库组成，进行全网客户机登录认证。

　　动态VLAN认证如图3-1所示。其认证过程如下：

* 构建一个VMPS认证服务器，设置认证数据库，输入全网合法机器的物理地址（MAC地址）与其所属VLAN建立一个映射表，做为认证信息。
* VMPS服务器从认证数据库中，下载MAC地址-VLAN的映射表。
* 在网络接入设备上启动VMPS功能，并指定VMPS服务器。
* VMPS服务器会打开一个UDP进程来监听从网络接入设备发来的认证申请。
* 网络接入设备会随时获得从物理端口上来的MAC信息，并将其发往VMPS服务器。
* 当VMPS接到从交换机发来的一个合法请求后，首先是查看映射表中是否有该MAC -VLAN的映射记录。如果有，则把对应的VLAN号发给交换机，交换机物理端口在所属VLAN中正常使用；如果没有，且VMPS处于非安全模式下，则通知交换机将该端口分配到一个指定的独立VLAN中，该VLAN与网内其它网段相互隔离，不能进行网络通讯。如果VMPS处于安全模式下，则通知交换机将连接该MAC的端口关闭，想要重新开启此端口，只有进行手工操作。

　　该方案的优点是：易实现、应用灵活、管理高效等，其缺点是：只限于公司的各类交换机。

　　综上所述，防非接入可以从不同层次来完成，但无论从对现有的设备的改动、多协议的支持、网络安全，还是网络控制能力来看，网络层认证的优势突出，其快速，简单和成本低廉是它的优势。多数网络层认证像IEEE802.1x或动态VLAN认证技术，客户在认证之前不需要进行服务器的定位，不需要获得IP地址。网络接入设备只需要有限的3层功能，可以轻易实现和Radius或vmps服务器的结合，从而提供丰富、灵活的认证方式。在多协议网络环境中，基于网络层的认证可以实现对上层应用的xx透明，也就是说可以实现和新的网络层协议的兼容。网络层认证处理减小了认证包处理的延时，保证了关键性应用的服务质量。

大中型企业内网防非法接入系统的应用

　　大中型企业内部局域网是一个xx独立于Internet网的局域网。对于这样的局域网，来自Internet的攻击危害较小，其安全威胁来自于网络内部。最主要的是不明身份人员，擅自连接到局域网内，窃取企业内部信息，造成网内信息泄密。
　　
　　随着基于以太业务应用的日益广泛,迫切需要一种能适应以太网多业务承载需求,且兼顾以太接入灵活性和扩展性好的特点,并能确保以太网接入安全性、支持网络管理员对接入用户进行控制和管理的接入认证技术.
　　
　　以太技术和接入认证技术的结合要求网络接入控制完成以下功能:
　　1、网络的接入控制与网络提供的业务类型无关，采用一个通用的接入认证解决方案。
　　2、网络接入要求对用户身份进行严格的控制和管理，包括控制用户对网络的访问，用户身份识别。
　　3、对于用户来说，只需要面对单一的认证界面，用户可以实现在多种网络接入业务间漫游。
　　
系统组成

　　内网防非接入系统如图5-1所示，该系统由三部分组成，网络认证、网络接入设备、网络客户机。
　　
　　网络接入设备是内网防非法接入系统的核心，所有参加安全接入认证的网络设备需具备网络安全特性，也就是在其端口上，可以实现端口-IP-MAC的绑定、802.1x认证或动态VLAN认证。
　　
　　网络认证服务器上运行着防非接入认证系统及认证数据库系统，它为全网提供网络安全接入认证服务。为所有网络用户提供接入凭证。
　　
　　网络客户机，是指全网内通过网络设备进行网络连接的网络客户端系统，可以是windows或linux系统的微型计算机或UNIX系统的工作站以及其它相关的网络设备等。网络客户机的网络登录凭证可以是其的物理地址或是基于用户和口令的认证。
　　

工作流程

* 网络接入客户机连接上网后，以网卡地址或用户口令作为入网认证凭证；
* 网络接入设备接收到客户机上网信息后，向网络认证服务器转交客户机认证凭证；
* 网络认证服务器随时监听来自网络设备的认证申请信息;
* 接收到认证信息后，通过查询认证数据库，以确认网络客户机身份的合法性，并将日志记录到数据库中以备查询；
* 认证服务器对认证申请进行认证后，
> 如果通过认证，则认证服务器向网络接入设备发布允许上网策略，即允许网络设备的物理端口打开，客户机可正常上网；
> 如果认证未通过，则认证服务器向网络设备发布禁止上网策略，即关闭网络设备的物理端口或将该端口分配到指定的虚拟网中，以备网管人员进行监控和管理。
内网防非接入系统的工作流程，如图5-2 所示。

总结

　　企业内部局域网防非法接入问题是各企业网络安全体系的门户系统，如同给我们的大门安装了一个门控，通过对接入设备进行认证，可对网络接入用户进行有效的监控和管理。配合内网审计系统、内网防病毒体系、内网补丁升级系统、漏洞扫描、入侵检测、重要安全域保护等相关网络安全技术，构成局域网全面网络安全防护体系。

　　企业局域网网络安全建设是一个长期、复杂、动态的系统工程。网络安全建设需要根据各种因素的变化制定更详细的安全实施方案，以确保网络系统建设和全生命周期的安全。