本帖最后由 yeslab官方 于 2020-3-25 09:57 编辑
网络空间安全之准入服务的常用协议
原创 YESLAB—老罗
上一期我们就什么是准入?为什么需要准入?以及准入相关的产品选择作过简单的分析
本期我们会谈谈准入在网络设计及规划中实际应用。但我们在将准入服务器应用于于网络设计及规划之前,还是有必要了解与准入服务相关的几个常用协议:
PAP(Password Authentication Protocol,密码认证协议)
用户将用户名和密码传递给NAS设备。
NAS设备将用户名和加密过的密码发到认证请求包对应的属性中传递给AAA Server。
然后依据AAA Server返回的结果决定该用户是否接入。
CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)
使用密文格式发送CHAP认证信息。
由认证方发起CHAP认证,有效避免暴力破解。
在链路建立成功后具有再次认证检测机制。
EAP(Extended Authentication Protocol, EAP)
认证直接在认证服务器和请求方设备之间来完成,认证方只是一个中继设备。
就意味关请求方和认证服务器之间,需要一个协议来建立认证的桥梁,该协议就是EAP。
EAP是运行在数据链路层之上的,想要在二层链路里传输,就必须有对应的协议对它进行封装。这个协议是802.1X,被802.1X封装后的EAP称为EAPoL (EAP over LAN)
Radius
主要功能
Authentication 认证
Authorization 授权
Account 审计
基于UDP协议,端口号:
认证 1645 旧 / 1812 新
授权 1645 旧 / 1812 新
审计 1646 旧 / 1813 新
图说协议
下面用两张图来说明这几个协议的工作位置:
通过上述协议的简单分析,不难看出准入服务器在企业网络设计及规划中的主要工作内容就是:
在局域网内对接入的终端(包括公司统一配置的笔记本电脑、个人移动设备等)及用户进行身份认证;
对通过VPN从互联网接入企业的终端及用户进行身体认证。一般来讲,企业迎接用户VPN的接入会是防火墙设备; 而企业内部是通过交换机有线接入或者是通过AP(Access Point)无线接入。
现在的企业网设计,移动办公是网络工程师不得不考虑的元素!介于员工接入方式的多样性,一个层次清晰的安全接入必须提前做好规划。以下是实际应用的一个基本参考模型,我们只做模型探讨,具体实现请关注我们ISE的体系课程。
【课程模块】 课程模块已准备就绪,等你来学习!
【了解网络空间安全↓↓↓】
专属课程顾问,请联系她:13676251281(电话微信同号)
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2020-3-18 10:40:27
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
