当前网络准入控制领域最常使用的技术是国际标准的AAA管理框架,但是此框架在国内使用时存在部分缺点。为了克服此框架现有技术存在的缺陷,本发明专利技术提供一种网络准入控制管理平台及管理方法,实现了对各个品牌、各种终端的网络准入的快速管理。本发明专利技术技术方案是提供一种网络准入控制管理平台和一套管理方法,包括:入网策略检测系统、IP地址集中管控系统、终端策略检测系统,配合完善的管理方法,从而实现接入交换机零维护,无客户端模式下,基于身份、MAC、交换机端口、时间的网络准入、IP地址全生命周期管控、终端策略检查的统一融合管理,提高了网络准入的安全性,实现了设备接入网络的管理自动化。
【技术实现步骤摘要】
本专利技术涉及网络安全技术,特别涉及一种网络准入控制管理平台及管理方法,是一种对接入网络系统的用户、终端、交换机端口、IP地址、Vlan、终端信息(包含硬盘序列号、操作系统版本、操作系统安装时间、必须运行的进程和服务等)进行识别,最终控制其是否能够接入网络的网络安全管理平台及管理方法。
技术介绍
网络准入控制是指对网络的边界进行保护,对接入的终端进行合规性检测。在网络准入控制领域,最经常使用的技术是国际标准的AAA(AuthenticationAuthorizationAccounting)管理框架,其在以太网下使用的标准为IEEE802.1x标准,经常使用的协议为Radius协议。AAA管理框架,即身份验证(Authentication)、授权(Authorization)和计费(Accounting)三者统一的系统及框架。这三种安全服务功能的具体作用如下:认证:确认远端访问用户的身份,判断访问者是否为合法用户;授权:对不同的用户授予不同的权限,限制用户可以使用的服务;计费:记录用户使用网络中的所有操作,包括起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到监视作用。802.1x标准,是一种基于端口的访问控制协议(port-basednetworkaccesscontrolprotocol),是针对Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机认证通过之前,802.1x只允许通过EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口,认证通过后,正常的数据可以顺利通过以太网端口。Radius(RemoteAuthenticationDialInUserService)协议,是NAS(NetworkAccessServer)设备与AAA服务器之间运行的主流协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP、PEAP、EAP-TLS或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(VirtualPrivateDialupNetworks、基于拨号用户的虚拟专用拨号网业务)、IPSECVPN接入、移动电话预付费等业务。Radius认证过程是接入设备(NAS)与AAA服务器的交互过程,其认证步骤如下:Step1:接入设备在连接网线后,NAS设备向客户端发送响应包,要求用户提供合法的身份标识,如用户名、密码;Step2:客户端收到响应后,提供身份和标识给接入交换机。由于此时客户端还未经过验证,因此验证流只能从接入交换机的未授权的逻辑端口经过,接入交换机通过Radius协议将认证流发给AAA服务器,进行认证;Step3:如果认证通过,则接入交换机的受控端口打开;否则,端口保持受限状态,设备无法入网。通用的基于AAA的准入控制方案在应对国内有分级保护或等级保护要求的网络准入管理方面存在4大缺点:1、对接入终端设备的IP地址很难进行统一有效的控制,遇到安全事件可追溯性差。2、只对用户信息进行验证(身份验证),无法对接入网络的终端设备的其他信息进行验证,管理颗粒度太粗。3、实现网络授权比较繁琐、不灵活,NAS设备的日常管理工作量无任何减少。4、检查终端信息必须另外安装客户端,部署麻烦,客户端兼容性也存在致命问题。首先,在使用标准的AAA解决方案中,用户使用IP地址的管理方式有两种:一种是动态DHCP模式,一种是静态设置模式。不管使用哪种IP地址管理方式都无法通过统一的管理平台对IP地址进行有效的控制与审计。其次,AAA标准下,只对接入设备的EAP(用户)信息进行核对,无法对其他信息进行核实,用户需要终端设备在入网时对终端的入网时间、入网设备的MAC地址、接入的端口等信息进行有效控制,此标准下无法管理。再次,用户接入网络无有效的方式对其使用的VLAN信息进行有效的策略下发。管理异常麻烦。最后,现在AAA解决方案中几乎全部使用安装客户端的方式来进行有效的网络准入控制管理和终端信息(包含硬盘序列号、操作系统版本、操作系统安装时间、必须运行的进程和服务等)检测,安装客户端会使终端性能大打折扣、兼容性也存在问题、实施部署异常麻烦。
技术实现思路
为了克服上述现有技术存在的缺陷,本专利技术提供一种网络准入控制管理平台及管理办法,实现了对各个品牌的NAS设备、各种终端的网络准入的快速管理。形成了一套不需要在终端上另外安装客户端软件的,融合了网络准入控制、IP地址集中管控、终端策略检测等功能的网络准入控制管理平台。为了实现上述目的,本专利技术技术方案之一是提供一种网络准入控制管理平台,包括:入网策略检测系统;IP地址集中管控系统;终端策略检测系统。所述入网策略检测系统对设备入网策略进行检测,所述IP地址集中管控系统对入网终端IP地址进行分配,所述终端策略检测系统对入网终端的终端策略进行检测。作为优选,本专利技术所述入网策略检测系统,将Radius协议进行扩展,除了对用户凭证进行验证之外还对Radius协议中AVP属性的CallingStationID,NASPort,NASPortType,NASPortID,TimeStamp,NASIPAddress即终端接入时的MAC地址、接入交换机IP、接入交换机端口、接入交换机端口类型、接入时间等进行验证。对入网成功的终端,根据数据库中对此终端已经分配的网络Vlan信息对AVP中的Tunnel-Medium-Type,Tunnel-Pvt-Group-ID,Tunnel-Type属性进行调整,授权终端入网的Vlan信息,实现NAS设备的动态Vlan效果。作为优选,本专利技术所述IP地址集中管控系统在现有DHCP机制上进行扩展,实际是一种受控的DHCP服务机制,对入网的终端可根据平台中管理员预先分配好的IP地址与MAC地址对应关系对IP地址进行下发,以达到对IP地址集中控制的目的。作为优选,本专利技术所述终端策略检测系统,使用WMI接口从服务器端远程探测终端的相关信息,避免另外安装客户端的繁琐工序与兼容性问题。达到终端策略检测目的。作为优选,本专利技术所述入网策略检测系统,包括身份认证模块、MAC地址检测模块、交换机及交换机端口检测模块、入网时间检测模块、Vlan推送模块。其可对入网终端的入网时间、入网身份、MAC地址、交换机及交换机端口进行检测。检测通过后可根据平台中录入的策略信息把终端分配至对应Vlan中,避免用户在CLI或者交换机管理界面下对交换机端口划分Vlan的麻烦。检测不通过,将终端推送至预先设置的隔离Vlan中或者直接关闭此交换机端口,为了适应用户需求,本平台的隔离VLAN可以根据安全级别进一步细分,可以根据终端设备的安全级别将不本文档来自技高网...
【技术保护点】
一种网络准入控制管理平台及管理办法,其特征在于,入网策略检测系统、IP地址集中管控系统和终端策略检测系统,所述入网策略检测系统对入网设备的MAC地址、交换机端口、身份、入网时间进行审查,所述IP地址集中管控系统对准入后的终端设备推送IP地址,所属终端策略检测系统针对终端的名称、硬盘序列号、操作系统等进行实时监测。
【技术特征摘要】
1.一种网络准入控制管理平台及管理办法,其特征在于,入网策略检测系统、IP地址集中管控系统和终端策略检测系统,所述入网策略检测系统对入网设备的MAC地址、交换机端口、身份、入网时间进行审查,所述IP地址集中管控系统对准入后的终端设备推送IP地址,所属终端策略检测系统针对终端的名称、硬盘序列号、操作系统等进行实时监测。2.根据权利要求1所述的管理平台,其特征在于,所述入网策略检测系统包括身份认证模块、MAC地址与交换机端口比对模块、Vlan推送模块、入网时间检测模块,所述身份认证模块对用户身份进行核实、所述MAC地址与交换机端口模块对网络接入设备的MAC地址与交换机端口进行核实、所述入网时间检测模块对网络接入设备的入网时间进行核实、所述Vlan推送模块对入网策略检测通过的网络设备推送Vlan信息到NAS设备。3.根据权利要求1-2所述的管理平台,其特征在于,所述IP地址集中管控系统包括IP地址分配模块、IP地址预留模块、IP地址回收模块,所述IP地址分配模块对通过入网策略检测的终端设备,按照预先分配的IP地址进行IP地址推送,所述IP地址预留模块可对IP地址进行强制预留,使预留的IP地址无法进行分配,所述IP地址回收模块,支持手动回收与自动回收,可手动强制的对某IP地址进行一键回收也可在分配时选择自动回收时间,实现IP地址的自动回收。4.根据权利要求1-3所述的管理平台,其特征在于,所述终端策略检测系统包括基本检测模块、进程检测模块、服务检测模块、端口检测模块、...
【专利技术属性】
技术研发人员:王兴华,李涛,
申请(专利权)人:西安云雀软件有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。