打开文本图片集

摘要：许多高校针对外网威胁做了许多针对性的保护措施，例如部署防火墙、入侵防御、WAF等系统，但是“坚固的堡垒从内部攻破”，相较于从外网进行的攻击， 从内网发起的攻击更加难以防范，对校园网络的威胁也更大。本文介绍了基于两种方式的网络准入控制系统，结合高校特殊的网络环境，给出了一种高校网络准入控制方案。

关键词：高校 网络安全 网络准入控制

在当前的信息化高速发展的时期，网络通信技术广泛应用，信息技术日新月异，在给人们生产生活带来了快捷方便的同时也带来了许多风险和伤害。网络的安全形式日渐严峻，计算机病毒、系统漏洞、黑客攻击等各种安全事件飞速增长。即使部署了防火墙、入侵检测系统、防毒墙、WAF和防病毒软件后，仍然发现针对网络的攻击、局域网内的病毒层出不穷，原因在于大多数的网络用户不及时更新系统补丁和防毒软件数据库，U盘使用管理无序，病毒通过U盘传播，局域网内部的高风险导致每个网络用户都可能成为网络攻击的发起者。同时由于高校校园面积大，网络点位数多且分布分散，无线网覆盖范围大，也给黑客绕过网络安全防护系统从局域网内部侵入带来了可乘之机。所以，高校部署网络准入控制系统成为解决非法终端接入，加强终端安全管控的有效方法。

一、项目需求与设计目标

1.1 项目需求

对高校网络用户和网络管理员调研，得出高校在网络准入和终端安全方面的需求：

1.2 设计目标

结合高校网络安全准入需求，通过对准入控制、办公与教学终端安全策略与集中运维、文件操作行为审计等功能进行设计，设计了一套网络准入控制方案。通过实施本方案，可以达到以下目标：

合规符合管理：

1.所有接入内网终端都必须接受管理;

2.通过桌面安全集中运维、网络准入控制，确保达到高校网络安全相关的管理要求;

运维效率提高：

1.实现办公与教学终端集中运维，管理员通过准入控制系统管理平台对学校计算机资产实时掌控;

2.同时准入控制系统自动执行相关运维任务，例如补丁升级、软件远程分发、远程协助等功能，提高运维效率;

终端安全保障：

使高校办公电脑与教学电脑实现安全加固，减少安全漏洞，有效降低高校办公网、教学网等局域网内的各类安全风险;通过将安全状态作为终端准入控制的前置条件确保终端在接入访问学校网络资源前已经处于良好的安全状况。

二、项目设计

2.1 准入技术的选择

高校内网通过接入方式划分可以分为有线网与无线网，对于有线网内的终端，采用基于EAPOL的准入技术，对不信任的终端和不安全的终端的控制和隔离，达到端口级别的控制和隔离。对于无线网络用户，采用基于EAPOU的准入技术，达到网段级别的控制和隔离。

2.2 EOPOL准入控制原理

EAP是Extensible Authentication Protocol的缩写，EAP与802.1x结合就是EAPOL（EAP Over LAN）。802.1x是基于端口的网络准入控制协议，在接入交换机上，使用802.1x协议对与交换机端口连接的用户进行认证和授权。

802.1x协议是基于Client/Server的访问控制和认证协议。它可以禁止非法用户和非法终端接入交换机访问局域网。在接入内网前，接入层交换机通过802.1x协议对连接到本地端口上的用户/终端进行认证。在认证通过前，被连接的交换机只允许EAPOL帧通过本地端口;认证通过后，交换机允许其它数据帧通过本地端口。

准入控制系统可以通过接入交换机端口控制用户的网络访问权限，使只有通过认证或取得授权的用户才可以访问网络内的各种资源（如路由资源，服务器资源，互联网接入等）。

PAE（端口访问实体）是网络准入控制技术的核心。在准入控制流程中，参与认证的实体有以下部分：

认证者--对接入的用户/终端进行认证的交换机端口

请求者--被认证的用户/终端

认证服务器--根据认证者提供的请求者信息，对请求者进行实际认证的服务器[]。

交换机的物理端口拥有受控和不受控两种逻辑状态。对受控状态端口的访问，认证者的PAE根据认证服务器认证的结果，控制受控端口的允许/不允许访问状态[]，接受或拒绝用户/终端的访问。

2.3 EAPOU准入控制原理

EAPOU是EAPOL网络准入控制技术的有益补充，EAPOU通常是在网络的汇聚层和核心层进行集中的准入控制，可以有效解决因接入层交换机、HUB不支持802.1x协议及无线网络接入情况下实施网络准入控制所产生的网络改造、设备投入等问题。同时，相较于基于EAPOL的网络准入控制，EAPOU在部署和维护上更加灵活和便利。

以下表格为两种准入方式的对比：

2.4 认证流程

本例AAA（验证、授权、计费）服务器采用RADIUS协议。下图为EAP+TTLS混合认证的认证流程：

2.5 身份认证设计

高校内网用户分为教职工与学生两种类型。教职工拥有AD域账号，可通过同步AD/LDAP服务器数据的方式，将组织架构及用户信息导入认证服务器。学生准入账户与学号结合，统一导入学号信息。所有账号认证都由准入控制系统验证其合法性：

1）学校教职工，安装了准入客户端之后，在操作系统登录界面填写自己的AD域控账号和域控密码，登入计算机系统，同时通过准入验证，正常接入内网。学生，安装了准入客户端之后，在准入客户端内填写自己的账号密码，通过准入验证接入内网。

2）为防止外来终端出现伪造mac和盗用用户名密码的方式接入高校的内部网络，在所有的准入开启完成后，在身份验证这里增加对终端机器码的验证。终端机器码是准入客户端生成，各终端各不相同，从而保证即使是外来终端装上安全助手，有合法的用户名密码，也无法接入高校的内部网络。只有经过管理员确认该终端是内部终端并进行放行，该终端才可以正常接入。

2.6 安全合规性检查设计

终端在接入网络中，仅仅有合法的身份还不够，合法的身份只能保证该终端是可信任的，不能保证该终端是安全的，满足学校的安全规定。因此，为了保证接入网络中的终端是安全的，还必须对终端是否满足入网的最低安全标准进行检查。根据一般高校的情况，至少需要设置如下的安全检查合规项：

1）检查加入域的终端登陆了指定的AD域;

2）检查终端安装的杀毒软件版本是否较新;

3）检查杀毒软件的病毒码升级是否在30天以内;

终端如果不满足以上强制规定，则不允许接入网络，并且被切入到修复区进行安全修复。

2.7 修复区资源规划

修复区为不符合安全规定的内网用户和终端提供补丁、杀毒软件、病毒库等修复工具。

基于EAPOL的准入，当准入过程中检查到终端不符合安全规定，准入控制系统会通知该连接该终端的交换机将连接该终端的端口划分到修复区vlan。修复区vlan只提供对准入控制系统服务器、域控服务器、杀毒软件服务器、文件服务器（存放修复软件）进行访问，通过设置ACL和动态vlan实现。

基于EAPOU的准入，结合ACL重定向技术，当准入过程中检查到终端不满足安全合规项检查，准入控制系统将终端的访问重定向至指定的安全软件下载网址进行修复。

2.8 可靠性设计

在启用网络准入控制后，准入控制系统的正常工作将直接影响到全校终端是否能进入到学校内网进行正常的工作学习，因此准入控制系统的高可用性十分重要。

2.8.1双机热备设计

采取双服务器部署，在网络内使用两台准入控制服务器做身份验证。当一台准入控制服务器出现故障时，另一台准入控制服务器将自动接管，零感知地继续提供准入控制服务，实现准入的认证和授权功能的高可用性。

另外，通过将准入控制服务器数据库中的准入配置信息和终端用户的身份信息，缓存到RADIUS服务器的内存中，RADIUS服务器在无法连接数据库的情况下仍然能够正常提供认证和授权服务，默认内存中的缓存信息保存8小时。

2.8.2 应急设计

当出现下列情况时，需要启用准入控制的应急模式：

1） 在终端完成认证前，两台RADIUS服务器同时出现故障，无法恢复;

2） 数据库出现故障，超过8小时未完成恢复;

在出现以上情况时，将采用如下方式进行准入的放行：

1）AAA DOWN

通过交换机802.1x特性下的AAA DOWN配置，对每一个启用了准入控制的交换机都配置AAA DOWN的功能。通过此功能，当认证过程中交换机发现所有RADIUS服务器都出现故障时，会自动将所有终端逃生。

2）PBR+IP SLA

汇聚层/接入层交换机通过配置IP SLA（IP服务级别协议），如果检测到准入控制服务器无法提供服务，自动取消核心交换机或汇聚交换机上指向准入控制服务器的策略路由，可以放行通过EAPOU方式认证的终端。

三、交换机配置

3.1接入层交换机802.1x配置

接入层交换机的准入配置主要有两个部分，其一是使能交换机的802.1x认证，其二是配置RADIUS服务器地址，前者主要开启接入层交换机与终端设备的交互，后者主要用于与RADIUS服务器通信。下面以H3C S系列交换机为例给出典型配置。

==================================全局配置==================================

##SNMP设置##

snmp-agent

snmp-agent community read public

snmp-agent sys-info version all

# snmp-agent target-host trap address udp-domain 10.0.0.80 params securityname nac v2c

##全局端口安全参数配置##

# port-security enable

dot1x timer reauth-period 300

dot1x authentication-method eap

undo dot1x handshake enable

##RADIUS模板配置##

radius scheme nac_radius

server-type standard

primary authentication 192.168.10.10

primary accounting 192.168.10.10

secondary authentication 10.0.0.80

key authentication secret

user-name-format without-domain

##域模板配置##

domain nac_domain

scheme lan-access radius-scheme nac_radius none

accounting optional

##修改全局默认域为nac_domain##

domain default enable nac_domain

==================================端口配置==================================

##默认端口配置##

interface Ethernet1/0/24

stp edged-port enable

port access vlan 2063

loopback-detection enable

port-security port-mode userlogin-secure-or-mac

port-security guest-vlan 2073

##HUB所在端口配置（不可以再配置默认端口配置，无法支持guest vlan）##

interface Ethernet1/0/23

stp edged-port enable

port access vlan 2063

loopback-detection enable

port-security port-mode mac-else-userlogin-secure-ext

dot1x re-authenticate

3.2核心交换机/汇聚交换机PBR与IP SLA联动配置

下面以Cisco三层交换机为例给出典型配置：

==================================全局配置==================================

##ACL配置##

access-list 110 permit ip host 172.17.205.105 host 172.21.5.150

##IP SLA配置##

ip sla 10

icmp-echo 172.21.1.2

frequency 10

ip sla schedule 10 life forever start-time now

track 2 ip sla 10 reachability

##PBR配置##

route-map CE permit 10

match ip address 110

set ip next-hop verify-availability 172.21.1.2 110 track 2

四、结论

根据高校校实际网络环境，采用EAPOL和EAPOU相结合的网络准入认证方式，能够降低学校内网受到非法接入和计算机病毒带来的安全风险，同时也能够降低网络准入控制系统的成本和部署难度。

参考文献

[1]柏钢，蔡彤军，王正.基于以太网端口的用户访问控制技术[J].中兴通讯技术，2002（2）：22-25.

[2]司震宇.基于802.1x协议的访问控制与网络安全[J].东北农业大学学报，2007（5）：672-674.

[3]蒋月华.基于改进EAP的无线局域网络安全身份认证的研究[J].电子设计工程，2020（8）：124-132.