2023年7月4日发(作者：)

LeagViewTM联软IT安全运维管理系统

UniAccessTM桌面安全管理套件

网络准入控制

产品技术白皮书

深圳市联软科技有限公司

二O一O年七月

目 录

1、

网络准入控制的必要性 .......................................................................... 1

1.1

什么是UniAccessTM网络准入控制 ............................................... 1

1.2

网络准入控制的意义........................................................................ 2

2、

UniAccessTM网络准入控制方案概述 ................................................... 3

2.1

网络准入控制技术概述 .................................................................... 3

2.2

UniAccessTM的网络准入控制方案概述（不仅仅是802.1x） ..... 5

2.3

基于802.1X的端口级准入控制方案 .............................................. 6

2.4

基于802.1X的网络级准入控制方案 .............................................. 7

2.5

EoU（EAP over UDP）准入控制解决方案................................... 8

2.6

NACC准入控制解决方案 .............................................................. 13

2.7

内置认证即UniAccess安全助手准入控制 .................................. 18

2.8

非802.1X环境下的准入控制方案................................................ 18

2.9

非802.1X环境的人工干预准入控制方案 .................................... 19

3、

总结 ....................................................................................................... 22

深圳市联软科技有限公司 第 I 页 UniAccessTM网络准入控制技术白皮书

1、 网络准入控制的必要性

1.1 什么是UniAccessTM网络准入控制

UniAccessTM网络准入控制是UniAccessTM安全接入管理系统的一个管理组件。借助UniAccessTM网络准入控制技术，可以对接入网络的客户机设备进行控制，只有符合安全要求的客户机才允许接入网络。

例如：网络安全管理员通过UniAccessTM网络准入控制可以制定如下类型的安全要求（安全策略）：

 接入的客户机（桌面电脑或笔记本电脑）必须具有本单位的用户授权；

 接入的客户机必须已经安装了最新的系统补丁软件；

 接入的客户机必须做了必要的安全设置，例如：文件共享、屏幕保护等；

 接入的客户机必须安装指定的防病毒软件或其它软件；

 接入的客户机必须有最新的防病毒软件特征码。

安全管理员也可以将以上安全要求组合。

对不符合安全要求的接入，UniAccessTM网络准入控制系统可采取如下措施：

 拒绝客户机接入网络；

 限制客户机访问网络资源；

 将客户机隔离，设置到一个特定的隔离网段；

 与防火墙联动，限制客户机通过防火墙；

 向管理员报警；

深圳市联软科技有限公司 - 1 - UniAccessTM网络准入控制技术白皮书

1.2 网络准入控制的意义

UniAccessTM网络准入控制可以帮助用户很好地解决如下问题：

 防止非法的外来电脑接入网络，影响内部网络的安全；

 防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行；

 确保接入网络的客户机符合安全管理要求。

 帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。

UniAccessTM网络准入控制杜绝非法外来电脑接入内部网络；同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

深圳市联软科技有限公司 - 2 - UniAccessTM网络准入控制技术白皮书

2、 UniAccessTM网络准入控制方案概述

2.1 网络准入控制技术概述

网络准入控制作为有效解决内部网络病毒泛滥的一个有效措施，近年来涌现出了诸多解决方案。当前主要有以下几种技术类型的解决方案：

 基于802.1x的解决方案（主要是网络设备生产商提供该技术方案）；

 Cisco NAC解决方案（仅支持Cisco网络设备，包含三种技术：NAC-L2-IP、NAC-L3-IP、NAC-L2-802.1x）；

 基于网关的解决方案（Gateway Enforcement，主要是传统的防火墙厂商采用该技术方案）；

 基于DHCP的解决方案（DHCP Enforcement，主要是Microsoft采用该技术方案）；

 基于ARP干扰的解决方案（主要是中国国内的一些小型厂商采用该技术）；

几种准入控制技术的比较如下：

技术特点

802.1x及EOU

非授权终端不能访问任何网络资源，非授权终端不能对网络产生任何破坏性影响

网关型

非授权终端不能访问受网关保护的网络资源。终端之间可以直接相互访问

部署无须调整网络结构 需要调整网络无需调整网络无需调整网络DHCP

终端可以通过自行IP等手段，绕开DHCP准入控制

ARP干扰

终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制

深圳市联软科技有限公司 - 3 - UniAccessTM网络准入控制技术白皮书

要求

要求网络设备支持802.1x（EOU）

结构

需要专门的网关

结构

需在每个网段部署专用DHCP服务器

结构

需要在每个网段设置ARP干扰器

性能影响

不会降低网络的可靠性、性能

会给网络带来可靠性、性能问题

不会降低网络的可靠性、性能

过多的ARP广播包会给网络带来诸多性能、故障问题

支持厂商

适合对象

标准化

户

Cisco/huawei/Leagsoft等

所有规模的网络用以防火墙厂商为主

不适合大规模组网

Microsoft

商

中小网络

国内部分小厂小网络

国际标准，主流技术 非标准 国际标准 非标准

可见：目前主流和成熟的网络准入控制技术主要有EAPOL（Extensible

Authentication Protocol Over LAN，或者称为EAP Over LAN或EAP over

802.1x）技术和EAPOU（Extensible Authentication Protocol Over UDP，或者称为EAP Over UDP或EOU）技术。EAPOL是在网络的接入层进行准入控制，而EAPOU通常是在网络的汇聚层或核心层进行准入控制。

EAPOU是EAPOL网络准入控制技术的有益补充，可有效解决因接入层设备不支持802.1X情况下实施网络准入控制所需的设备投入、网络改造问题，同时，基于EAPOU的网络准入控制具有EAPOL准入所不具备的灵活性和实施、维护上的便利性。

深圳市联软科技有限公司 - 4 - UniAccessTM网络准入控制技术白皮书

2.2 UniAccessTM的网络准入控制方案概述（不仅仅是802.1x）

UniAccessTM支持多种准入控制技术，可以供用户灵活选择准入控制的方式、方法，以下是UniAccessTM网络准入控制解决方案所支持的准入控制技术：

1) 基于802.1x的准入控制；

2) Cisco NAC-L2/3-IP技术实现准入控制，UniAccessTM的Agent和Radius服务器全面兼容与NAC-L2/3-IP有关的准入控制协议；

3) 基于ARP干扰及Http重定向技术的准入控制；

UniAccessTM充分考虑各种网络环境下的设备接入控制问题，无论网络环境是否支持802.1x协议，都能够实现接入控制。

系统管理员可以统一设置接入网络的客户端是否需要进行身份认证、以及必须满足的安全规则要求，只有符合安全规则要求的客户机才允许其正常访问网络资源。在UniAccessTM的网络准入控制方案中，可以允许用户定义灵活多样的安全规则，这些规则包括：

 客户机上的用户名和密码；

 客户机的硬件配置；

 客户机的软件配置；

 客户机上的补丁安全漏洞；

 客户机上的安全设置是否符合要求；

 客户机上的防病毒软件特征库是否更新。

深圳市联软科技有限公司 - 5 - UniAccessTM网络准入控制技术白皮书

UniAccessTM提供多种网络准入控制方案供用户依据自己的网络环境状况选择，可以选择的方案包括：

 基于802.1X的端口级准入控制方案

 基于802.1X的网络级准入控制方案

 EOU准入控制解决方案

 NACC准入控制解决方案

 内置认证UniAccess安全助手准入控制

 非802.1X环境的自动准入控制方案

 非802.1X环境的人工干预准入控制方案

2.3 基于802.1X的端口级准入控制方案

如果网络上的所有接入交换机均支持802.1X，我们建议选择基于802.1X的端口级准入控制方案。

在基于802.1X的端口级准入控制方案中，每个内部合法用户的客户机上安装的UniAccessTM客户端代理是一个兼容802.1X的代理。如果是来自内部合法的客户机接入网络，UniAccessTM准入控制系统将采取如下控制措施：

 检查用户输入的用户名和口令是否合法；检查客户端是否满足安全策略要求。

 只有合法身份的用户以及满足组织安全规范的设备才能接入到网络中，否则系统会将此设备（包括没有安装客户端代理的设备）自动切换到一个隔离区，客户端在此隔离区内访问修复安全漏洞必须的网络资源。

如果是来自外部的客户机试图接入网络，UniAccessTM准入控制系统将采取深圳市联软科技有限公司 - 6 - UniAccessTM网络准入控制技术白皮书

如下措施：

 拒绝外部非法客户机接入网络，或者；

 将外部客户机设置到Guest VLAN中

UniAccess服务器(主)应用服务器UniAccess服务器(备)Internet接入Internet防火墙Mail/DNS WWW/DNS自动隔离接入层交换机支持802.1X拒绝接入合法用户(不符合安全要求)

合法用户(符合安全要求)

非法接入

图 1 基于802.1X的端口级准入控制方案

基于802.1X的端口级准入控制方案中，所有的客户机接入都需要通过UniAccessTM-Radius服务器予以验证其是否符合安全要求，为避免Radius服务器成为单点故障，建议配置两台Radius服务器，两台Radius服务器可以相互备份。

2.4 基于802.1X的网络级准入控制方案

由于在许多网络环境中，并不是所有的接入层交换机均支持802.1X协议，深圳市联软科技有限公司 - 7 - UniAccessTM网络准入控制技术白皮书

在这种情况下，UniAccessTM提供另外一种基于802.1X的准入控制方案——基于802.1X的网络级准入控制方案。

网络级的准入控制方案基本功能与端口级的类似，但网络级不能实现对不符合安全要求的客户机进行自动网络隔离。

UniAccess服务器(主)应用服务器UniAccess服务器(备)Internet接入Internet防火墙接入层交换机支持802.1X拒绝访问Mail/DNS WWW/DNSUniAccess自动修复服务器受限访问合法用户(不符合安全要求)

合法用户(符合安全要求)

非法接入

图 2 基于802.1X的网络级准入控制方案

2.5 EoU（EAP over UDP）准入控制解决方案

1、Cisco NAC（CNAC）准入控制简介

 Cisco NAC系统架构:

深圳市联软科技有限公司 - 8 - UniAccessTM网络准入控制技术白皮书

CNAC是业界最为主流的准入控制架构，CNAC实现准入控制的三种方式：

NAC-L2-802.1x

NAC-L2-IP(EoU——EAP over UDP)

NAC-L3-IP(EoU——EAP over UDP)

NAC-L2-802.1x与其它网络设备厂商的802.1x方式一致。

NAC-L2-IP和NAC-L3-IP是Cisco设备专有的准入控制方式，用EAP over

UDP(EoU)做准入控制认证。

 NAC L2 IP(EoU) 简介：

NAC L2 IP(EoU) 只有Cisco交换机才支持，适合于带HUB的局域网环境

仅提供安全状态检查认证，不做身份认证

深圳市联软科技有限公司 - 9 - UniAccessTM网络准入控制技术白皮书

EAPoUDP认证过程由“ARP request” 触发

通过L3/4 ACL实现访问控制(per-host L3/L4 ACLs)

支持安全状态询查和URL redirection(重定向)

支持未安装Agent的终端接入

 NAC L3 IP(EoU) 简介:

适合于有多个L3路由器跳数的环境，支持Cisco路由器和VPN集中器

仅提供安全状态检查认证，不做身份认证

EAPoUDP认证过程由“new IP packet” 触发

通过L3/4ACL实现访问控制(per-host L3/L4 ACLs)

支持安全状态询查和URL redirection(重定向)

通过缺省设置支持未安装Agent的终端

由Default ACL决定缺省的访问权限

 NAC-L2/3-IP准入控制优势:

组网灵活

多种类型设备：交换机、路由器、VPN接入设备等等

只要终端访问后台资源中间有支持NAC-L2/3-IP的设备即可

允许设置例外，如：网络打印机

控制精确

深圳市联软科技有限公司 - 10 - UniAccessTM网络准入控制技术白皮书

通过ACL动态下载，可以实现非常精确的资源访问

不同的终端、不同的用户可以访问不同的网络资源

指示明确

用户违反安全管理规定时，网络设备对其HTTP访问重定向

重定向URL可以在Radius服务器上设置

不影响网络的可靠性、性能等

在边缘接入或者汇聚层进行准入控制

 NAC-L2/3-IP准入控制劣势:

Cisco的解决方案，其它厂商网络设备不支持

必须安装CTA （Cisco Trust Agent），而CTA有多个服务进程；CTA只做准入控制，要结合其它的安全厂商才能做更多的功能，如防病毒、安全补丁检测、资产管理、网络行为管理、移动介质管理等等

2、UniAccess的EoU准入控制解决方案：

UniAccess的EoU完全实现了Cisco NAC-L2/3-IP准入控制所能实现的功能，并做了更多的扩展，下表是UniAccess的EoU准入控制与Cisco

NAC-L2/3-IP实现特性的对比：

深圳市联软科技有限公司 - 11 - UniAccessTM网络准入控制技术白皮书

特性 UniAccess

EoU NAC

NAC L2 IP NAC L3 IP

终端身份识别

用户身份识别

终端安全状态检查

URL重定向

下载ACL

安全状态询查

√

√

√

√

√

√

√

√

√

√

√

√

√

√

下图是UniAccess的EoU准入控制与Cisco NAC-L2/3-IP实现框架的示意图：

深圳市联软科技有限公司 - 12 - UniAccessTM网络准入控制技术白皮书

2.6 NACC准入控制解决方案

1、NACC准入控制解决方案

LeagView® UniAccessTM NAC Controller准入控制器（以下简称“UniAccessTM NAC Controller”或“NACC”或“准入控制器”）是一种基于EAP over UDP协议技术的硬件网关型设备，专为解决非802.1X网络环境下（接入层交换机不支持802.1X或不支持HUB方式下接入）的网络准入控制问题而设计。在非802.1X网络环境下可以选用NACC替代选用Cisco路由器来实现EOU准入认证。

深圳市联软科技有限公司 - 13 - UniAccessTM网络准入控制技术白皮书

UniAccessTM

NAC Controller②EAP认证UDPEAP经策略路由转发数据①发送上行数据③下行数据无需认证Radius

Server

UniAccessTM NAC Controller工作原理图

UniAccessTM NAC Controller是EAPOU网络准入控制应用场景中的专用EAPOU设备。一般部署在网络中的汇聚层或核心层，与汇聚层或核心层的交换路由设备连接。UniAccessTM NAC Controller的工作原理是，汇聚层或核心层设备启用策略路由，可以将接入网络中指定范围内的终端所发起的网络访问数据包都转发到UniAccessTM NAC Controller，当UniAccessTM NAC Controller接收到终端设备发来的数据包时，UniAccessTM NAC Controller将对终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，除了身份认证外，还要进行终端设备的安全状态认证。UniAccessTM NAC Controller根据源IP地址对应的设备的网络准入控制状态来决定对该设备接入是允许、拒绝还是重定向。对于经过验证之后允许接入的数据包，其下行的数据包，可以选择从正常的路由汇聚层或核心层设备走，不再经过UniAccessTM NAC

Controller。

在一台终端接入网络，打开浏览器输入Google或内部WWW网址，或者打开POP3邮件客户端接收收件，当第一个数据包到达UniAccessTM NAC

Controller(NACC)，NACC开始如下图所示的认证流程：

深圳市联软科技有限公司 - 14 - UniAccessTM网络准入控制技术白皮书

UniAccessTM NAC

Controller (NACC)①EAP认证请求包②EAP包接入终端②EAP包③校验结果对①无响应重定向④校验不通过④校验通过限制区工作区Radius 认证服务器

1、 NACC向终端发送EAP认证请求，判断主机是否安装了LeagView客户端代理（NACC通过对主机发送EOU认证请求包，判断该主机是否有对EOU认证请求包响应）；

如果终端对NACC发出的EAP请求不做应答，终端输入的http URL将被重定向至一个提醒页面（由管理员指定的URL），或者终端将通过POP3协议收到一封提醒邮件（由管理员预先定义好内容）。这个过程叫住WEB/POP3访问重定向。

如果是NAH终端（nah， agentless host，管理员预先定义的特殊设备），NACC不会对其发起EAP认证，可以直接访问由管理员通过ACL预定义网络资源。

2、如果已经安装了LeagView客户端代理，则NACC对该客户端发起基于EoU（EAP over UDP）协议的认证，将客户端的EAP包转发到LeagView

UniAccess管理服务器中的Radius服务器，由Radius服务器对接入的客户端进行身份验证和安全策略校验；

深圳市联软科技有限公司 - 15 - UniAccessTM网络准入控制技术白皮书

3、Radius服务器将安全验证（账户、安全状态、设备ID）的结果反馈给NACC，NACC将依据安全验证结果，决定终端可以访问什么样的网络资源；

4、 如果终端端安全验证不通过或安全策略校验不通过，LeagView

UniAccessTM管理服务器则下发ACL到NACC对该客户端网络访问进行限制，同时也可以通过对该客户端Web访问重定向、Email接收重定向，提醒和协助用户修复安全漏洞。

如果终端的安全验证通过，NACC也将依据LeagView UniAccessTM指示，对该终端发出的网络数据包予以放行。

2、部署方式

NACC的部署有两种模式：透明桥模式（即串联模式）和准旁路模式（上行控制、下行不控制）。

透明桥接模式：

将NACC设置为网关模式，将NACC上行端口（与终端相连的端口）设置为要求通过EAP认证，将其下行端口（与外网相连的端口）设置为不要求通过EAP认证。终端设备发送的数据包全部通过NACC，并由NACC要求终端进行EAP认证。NACC根据源IP地址对应的设备的网络准入控制状态来决定是允许、拒绝还是重定向。对于经验证后允许接入的数据包，其下行数据包则可以不需要通过验证直接接入。

深圳市联软科技有限公司 - 16 - UniAccessTM网络准入控制技术白皮书

UniAccess NAC

ControllerTMRadius

ServerSi部署示意图如上图所示。因为不对网络配置做任何更改，部署简单、方便、快捷，网关接入模式的优点：成本较低、设置简单。

准旁路模式

将NACC部署在网络中的汇聚层或核心层，与汇聚层或核心层的交换路由设备连接。在交换路由设备上（与NACC相连的设备）启用策略路由，将上行数据包（终端设备发送的数据包）路由到NACC中，由NACC要求终端设备进行EAP认证。NACC根据源IP地址对应的设备的网络准入控制状态来决定是允许、拒绝还是重定向。对于经过验证之后允许接入的数据包，其下行的数据包则从正常的路由汇聚层或核心层设备走，不经过NACC。

深圳市联软科技有限公司 - 17 - UniAccessTM网络准入控制技术白皮书

UniAccessTM NAC

ControllerSiRadius

Server

部署示意图如上图所示。准旁路模式的优点：只有上行数据包通过NACC，由于B/S、C/S应用，包括邮件应用等，往往是下行带宽占用高，上行带宽占用少。准旁路模式因此可以提供更好的性能，并且可以通过并联的模式来扩展上行通道的带宽。

2.7 内置认证即UniAccess安全助手准入控制

当网络环境不支持802.1x和EoU，此时也可以要求UniAccess安全助手根据身份认证和安全策略检查结果来决定用户可以访问的资源。这个资源一般是可以访问的IP列表，而不是VLAN。

用户可以配置当前设备用户进行非802.1X和EoU认证，认证失败时不限制访问网络资源或限制只能访问列表中指定的服务器网络资源，当存在接入控制检查的安全策略漏洞时，不限制访问网络资源或限制只能访问列表中指定的服务器网络资源。

2.8 非802.1X环境下的准入控制方案

在非802.1x环境下的准入控制方案中，每个客户端代理也会要求接入网络深圳市联软科技有限公司 - 18 - UniAccessTM网络准入控制技术白皮书

的客户端必须满足组织规定的安全要求，对于不满足安全要求的客户端，同样会被限制访问网络资源。另外，在非802.1x环境下的准入控制方案中，未安装客户端代理的设备将被自动隔离，不允许其正常访问网络。

UniAccess服务器应用服务器Internet接入Internet防火墙Mail/DNS WWW/DNSUniAccess接入控制器受限访问控制访问合法用户(不符合安全要求)

合法用户(符合安全要求)

非法接入

图 3 非802.1X环境下的准入控制方案

非802.1x环境下，UniAccessTM通过一个“接入控制器”实现对非法接入的客户机或者不符合安全要求的客户机的控制。“接入控制器”可以是UniAccessTM系统的一个模块，可以安装在一台普通PC机上。一般来说，每个网段需要有一个“接入控制器”。

2.9 非802.1X环境的人工干预准入控制方案

作为另外一个选择，UniAccessTM提供有人工干预准入控制方案。有人工干预的准入控制主要步骤如下：

深圳市联软科技有限公司 - 19 - UniAccessTM网络准入控制技术白皮书

 UniAccessTM自动发现网络的所有设备，包括：自动发现设备的主机名、IP地址、MAC地址；

 UniAccessTM自动发现不符合安全要求的客户机，包括：非法外来计算机设备，内部不符合安全要求的桌面电脑；

 UniAccessTM自动将不符合安全要求的客户机其所连接的交换机端口自动关闭，或者将客户机的IP/MAC/主机名/交换机端口等信息发送给安全管理员，由安全管理员将交换机端口手工关闭；

 解决问题之后，管理员将交换机端口手工打开。

首先，UniAccessTM能够实时自动发现网络上的所有设备，包括：自动发现设备的主机名、IP地址、MAC地址；自动发现跨越路由器、广域网、VPN链路的接入设备；自动发现设备之间的连接关系，实现对网络接入设备快速、准确定位。

第二，在发现内部网络的所有计算机之后，对需要被管理的客户机，可以安装上UniAccessTM的客户机软件，实现对客户机两个方面的管理：

 对内部网络的桌面电脑实现安全管理，例如：补丁漏洞管理、安全设置管理；

 对内部网络桌面电脑违反安全管理的操作进行监管，例如：拨号上网、安装非法软件等不安全行为进行监管；

第三，UniAccessTM可以发现接入网络的新设备，实现对新/外来设备的实时发现及处理。具体来说可以做到：

深圳市联软科技有限公司 - 20 - UniAccessTM网络准入控制技术白皮书

 只要接入网络，很快就被发现

 即使安装了个人防火墙，也会被很快发现

 发现后可以对其快速定位、处理，拒绝其接入网络

最后，无论是对接入网络的新设备，或者是安装了客户机软件的桌面电脑，只要其违反安全管理策略，UniAccessTM系统可以做到：

 提醒用户

 报告管理员

 限制通过防火墙(Checkpoint/Topsec)

 拒绝接入网络

UniAccessTM可以实现与国内、国际主流的防火墙进行联动，包括：天融信、Checkpoint等均可以与UniAccessTM联动。

UniAccessTM也可以与支持SNMP协议的交换机进行联动，如果桌面PC未安装代理或违反安全管理规定，管理员可以通过自动或手动方式限制其接入网络。

深圳市联软科技有限公司 - 21 - UniAccessTM网络准入控制技术白皮书

3、 总结

UniAccessTM提供了多种网络准入控制技术和方案，供用户在组网时灵活选择，以下是四种方案的简单对比。

对网络设备的要求

方案一

所有接入层交换机须支持802.1X

对网络结构要求

对网络可靠性影响

准入控制强度 强 较强 较强 较强

无

不需要调整

整

无 无 无

可能需要做少量调不需要调整 不需要调整

方案二

汇聚或者核心交换机支持802.1X

方案三

网络设备可网管

方案四

网络设备可网管

深圳市联软科技有限公司 - 22 - UniAccessTM网络准入控制技术白皮书

UniAccessTM作为一个桌面安全管理及接入控制系统，不仅仅提供网络准入控制功能，还提供丰富的其它功能，这些功能包括：设备自动发现、设备快速定位、客户机安全漏洞自动检测、客户机安全加固、软件自动分发、远程协助和远程监控、网络行为审计、非法授权外联控制、软件/硬件资产管理、客户机软件/硬件配置管理等功能。

深圳市联软科技有限公司 - 23 -