windowsIAS+802.1X认证.doc

基于身份认证的网络安全部署方案 ——结合Windows Server IAS实现802.1 X网络安全管理 网络安全管理是现代通信网络管理的重要组成部分。身份认证是计算机系统用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。使用身份认证的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。 本文提供一种结合802.1X技术解决网络安全管理的方法；探讨网络中的诸多安全问题，通过研究 802.1X技术，分析802.1X技术所能解决的各种网络安全问题，提出了结合Windows Server 2003 IAS 服务搭建Radius服务器，进行802.1X验证从而实现网络安全管理的整体解决方案，同时对系统的实现过程进行了详细分析，并总结该解决方案的优缺点。 目 录 目 录 2 一、引言 3 1、网络安全背景及意义 3 2、相关的知识 4 二、IEEE 802.1X认证系统 6 1、802.1X认证特点 6 2、802.1x工作过程 6 3、802.1x应用环境特点 7 4、802.1x认证的安全性分析 7 5、802.1x认证的优势 7 6、802.1x认证系统的组成 8 三、基于Windows Server 2003 IAS的Radius服务 10 四、结合Windows Server IAS实现802.1 X网络安全管理整体解决方案 11 1、安装RADIUS服务器 11 2、创建用户账户 12 3、创建RADIUS客户端 19 4、设置远程访问策略 22 5、交换机的配置 25 6、客户端认证. 26 五、注意事项 30 六、总结 33  一、引言 随着局域网的迅速发展，办公用户的网络安全问题日益突出。目前，各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT 管理过程中，往往注重对来自因特网的外部威胁防御，忽略了来自内部的非法访问威胁。 这种威胁在大中型企业的IT 环境中影响尤其明显。因此，建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多政府和企业网络的管理者希望通过802.1X认证实现对接入用户的身份识别和权限控制。 1、网络安全背景及意义 网络安全可以说是一个包含多种领域的问题，既有技术性问题，也包含法律、管理、心理学等非技术性问题。广义上来说，网络安全包括网络硬件资源及信息资源的安全性。硬件资源包括通信线路、通信设备（交换机、路由器等）、主机等，要实现信息快速、安全的交换，一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件，以及在网络中存储和传输的用户信息数据等。网络安全从其本质上来讲就是网络上的信息安全。信息资源的必威体育官网网址性、完整性、可用性、真实性等是网络安全管理的主要内容。网络安全管理的目标在于指导用户合理有效使用计算机网络，杜绝不良现象滋生、严防病毒侵入，确保计算机网络安全运行，服务于工作，服务于经济网络的快速发展和上网用户的急剧增多，网络中的不安全因素日益暴露无遗。由于以太网灵活性高、技术相对简单、易于实现，几乎所有局域网都采用了以太网技术构建网络。但是，以太网技术构建网络却面临着很多安全问题，如：盗用合法IP，Dos，ARP攻击等。传统的网络安全管理主要依靠管理员的经验或根据某些简单的管理协议来实现，而且各种管理机制和管理设备缺乏互操作性，管理效率不高，花费的成本也大。而802.1X技术是基于 Client／Server的访问控制和认证协议。它可以限制未经授权的用户通过端口访问LAN／WLAN。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户备进行认证。因此，通过结合802.1X技术能更好地实现网络安全管理。文将讨论结合802.1X 技术实现网络安全，并提出了具体解决方案。802.1X是基于端口的认证，而端口可以是一个物理接口，也可以是如VLAN一样的逻辑接口；相对于无线局域网来说，端口就是一条无线信道。802.1X标准进行接入认证的最终目的就是一个端口是否可用。认证成功，端口“打开”可用；失败，端口“关闭”，此时只允许802.1X的认证信息报文通过。 RADIUS RADIUS（Remote Authentication Dial In User Service，远程用户拨号认