802.1x是一套標準的協(xié)議規(guī)范，是局域網(wǎng)主機接入認證和授權(quán)手段。實施端口控制的主體是802.1x接入交換機。在交換機開啟802.1x功能后，主機終端所連接的端口將只允許特定的認證數(shù)據(jù)幀通過，基于其認證結(jié)果確定是否開放主機所連的端口接入網(wǎng)絡(luò)，接入后在終端可信狀態(tài)不變的情況下，將不再進行認證和檢查。

基于802.1x的可信網(wǎng)絡(luò)接入框架由接入請求點、網(wǎng)絡(luò)接入控制點和可信接入服務器組成?；谧C書策略的終端準入控制過程如下：

1.網(wǎng)絡(luò)準入控制組件通過802.1x協(xié)議將主機終端用戶身份證書信息發(fā)送到接入交換機。

2.接入交換機將用戶身份證書信息通過RADIUS協(xié)議，發(fā)送給RADIUS認證組件。該組件通過認證服務器對用戶身份證書進行有效性判定，并把認證結(jié)果返回給交換機，交換機將認證結(jié)果傳給網(wǎng)絡(luò)準入控制組件。

3.用戶身份認證通過后，終端系統(tǒng)檢測組件根據(jù)準入策略管理組件制定的安全準入策略對終端安全狀態(tài)進行檢測。終端的安全狀態(tài)符合安全策略的要求則允許準入流控中心系統(tǒng)網(wǎng)絡(luò)。

4.如終端身份認證失敗，網(wǎng)絡(luò)準入控制組件通知接入交換機關(guān)閉端口；如終端安全狀態(tài)不符合安全策略要求，終端系統(tǒng)檢測組件將隔離終端到非工作VLAN。

5.在非工作VLAN終端，終端系統(tǒng)檢測組件會自動進行終端安全狀態(tài)的修復，在修復完成后，系統(tǒng)自動將終端重新接入正常工作VLAN。

交換機認證設(shè)置

由于不同廠家和型號系列的交換機啟用802.1x功能的設(shè)置可能不完全相同，需要網(wǎng)管員根據(jù)交換機用戶手冊進行相應部署操作。目前Nortel、思科、華為等主流交換機設(shè)備均支持802.1x協(xié)議。準入交換機的配置基本步驟：開啟全局802.1x和端口的802.1x功能；正確配置RADIUS服務器的IP地址、認證端口以及共享密鑰；選擇802.1x認證方法為EAP；選擇基于MAC的認證方式或Single-Host認證方式，并設(shè)置端口和MAC地址的綁定關(guān)系，以防止多臺主機（或虛擬機）通過同一交換機端口接入網(wǎng)絡(luò)；對于應用服務器類設(shè)備，由于其對于網(wǎng)絡(luò)穩(wěn)定性要求比較高，不能機械套用PC機接入控制方式，可通過IP-MAC綁定技術(shù)，利用“白名單”制度實施管控，防止出現(xiàn)網(wǎng)絡(luò)通斷對業(yè)務系統(tǒng)造成重大影響；對于網(wǎng)絡(luò)特殊IP設(shè)備，如網(wǎng)絡(luò)打印機、網(wǎng)絡(luò)攝像頭、IP電話等，由于這些終端無法通過802.1x認證方法實施準入控制，可采用MAC地址認證方法，把其MAC地址作為身份進行統(tǒng)一認證，且在準入控制系統(tǒng)上配置其權(quán)限，根據(jù)授權(quán)VLAN或ACL限制其訪問范圍。

圖1 分發(fā)準入策略

以思科網(wǎng)絡(luò)交換機為例，認證配置命令如下：

以上配置中設(shè)定192.168.1.100為準入服務器的IP地址。

準入策略設(shè)置

準入策略設(shè)置通過控制服務端管理軟件實施。管理軟件完成基于主機或用戶的準入策略管理，負責對準入交換機或執(zhí)行入網(wǎng)請求進行認證和響應，驗證入網(wǎng)主機特征標識正確性和用戶身份合法性，基于認證結(jié)果對其入網(wǎng)端口進行控制。

設(shè)置時，以“管理員”身份登錄主機安全監(jiān)控系統(tǒng)管理控制臺，在“準入策略”界面可進行準入策略的新建、修改和刪除操作。錄入“策略名稱”，選擇“認證方式”，通常支持三種類型：

用戶名口令認證。以主機硬盤序列號作為用戶標識，以主機硬盤序列號作為口令標識，均自動獲取和計算，具備基本安全性。

主機證書認證。利用簽名驗證機制，對主機特征信息（IP、MAC）進行驗證，具備較高的安全級別。

用戶Key認證。利用簽名驗證機制，同時對主機特征信息（IP、MAC）和主機與UKEY間的綁定關(guān)系進行驗證，具備更高的安全級別。

完成準入策略的設(shè)置后，可通過“主機管理”或“用戶管理”界面完成，右鍵單擊某臺主機選擇“分發(fā)準入策略”進行分發(fā)（如圖1所示）。

部署實施后，通過控制管理軟件，網(wǎng)絡(luò)中心可對所有用戶終端進行管理控制。用戶端必需通過入網(wǎng)終端軟件進行認證方可連接網(wǎng)絡(luò)；同時終端軟件可同步實施安全檢測，對綜合評估分值過低（即風險較高）的用戶終端，通過隔離和下線等手段，阻止用戶端潛在的風險，確保入網(wǎng)終端可信、安全和可控。