企业网身份识别(组图)

　　IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户才可以被提供第二层交换机通常提供的服务以外的附加服务。这些服务包括第三层过滤、速率限制和第四层过滤，而不仅仅是简单的“开/关”服务。

　　链路层验证方案的一个优点是，它只要求存在链路层连接，客户端(在802.1x中称为请求者)不需要分配供验证用的第三层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘，因此可以针对连接设备的特定需求定制细粒度访问规则。

　　在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

　　1.客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

　　2.认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

　　3.认证服务器：通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

　　802.1x验证有效解决客户端非法行为

　　1.防止客户端代理

　　在企业网中，代理服务器可谓防不胜防，采用传统的网关身份认证的方式很难对代理服务进行防范。在网络中如果私自搭建了代理服务器，那么很多非授权终端就可以通过同一个代理服务器取得对网络的访问权。而在服务器端看来，这些访问都来自正常的一个终端机器的访问。802.1x客户端由于部署在客户终端上，它能在应用层识别代理行为，从而在终端客户机上阻止代理行为的发生。如果一个终端上发生了代理行为，802.1x客户端将拒绝此终端的入网身份认证请求(如图1所示)。

　　图1 802.1x管理端设置是否允许代理的设置情况

　　2.防止影子客户用户的非法登录

　　所谓影子客户就是指非法用户企图不通过身份认证，而直接采用合法用户的IP地址和MAC地址。由于IP和MAC都是伪造的和合法用户一样，普通交换机并不会报警，也不会出现常规的IP地址冲突的提示。非法用户就可以直接利用合法用户已经通过的身份认证来取得网络的访问权。对于网关身份认证，是没有办法识别影子用户的登录的。不仅留下很大的安全隐患，而且给合法用户带来了经济和安全的危险。非法用户的所有网络行为都将被认为是合法用户自身的所作所为。采用802.1x身份认证之后，再加上把IP和MAC地址绑定到指定的端口，这样就能把影子用户限定到很小的范围，如仅仅是一个端口之内。而其它的认证方式将可能使整个交换机上都存在影子用户(如图2所示)。

　　图2 影子用户安全威胁示意