首页 >> 通信网络安全频道 >> 技术交流 >> 正文
 
终端网络接入—网络边界大门守护者
http://www.cww.net.cn   2013年11月12日 08:47    

Ø 网络边界不可控

TNC接入方式采用802.1x的准入的原型进行认证,在交换机上应用端口模式进行认证。因为在认证前Guest-Vlan中终端机器使用DHCP进行地址分配,认证成功进入Normal-Vlan后使用静态IP地址进行网络通讯,即使使用HUB进行通讯,在Guest-Vlan中所有终端机器可以访问隔离网络区域,只要有一台终端机器准入认证成功,那么交换机端口划分至Normal-Vlan下,该终端机器使用Normal-Vlan下的静态IP地址可以正常通讯,而HUB下的其它终端机器还是使用的DHCP地址在Normal-Vlan下,网络无法正常通讯,从而保证了交换机端口只能存在一个终端进行正常的内网访问,保证了网络边界的可控性。

Ø 接入网络中终端身份不确定

TNC接入中需要对终端机器认证的用户名密码进行验证,每一个用户都有自己的用户名密码,因此只要是认证成功接入网络中的机器身份都可以得到确认。

Ø 接入网络中的终端自身安全情况不确定

TNC接入中对于用户的认证方面,用户名密码验证通过后,还需要终端机器根据服务器端下发的健康检查策略将本地的健康检查结果上报至服务器端,只有健康检查通过后服务器端才会下发认证通过的命令,终端才可以正常的接入网络中;如果健康检查不通过,客户端会弹窗显示不通过的选项以及修复方式,此时终端机器可以在Guest-Vlan中通过访问网络隔离区中的各类服务器进行健康修复,修复完成再次发起认证检查,检查通过后才被允许接入网络中,从而保证了接入网络中的终端机器都是健康接入。

Ø 终端接入网络后访问的网络范围不可控

TNC接入中每一个认证的用户名密码都会绑定一个Vlan号,认证成功健康检查通过后,认证服务器会将该Vlan号信息发送至该接入交换机,交换机收到后会将连接该认证终端的端口划分至该Vlan下;因此,不同的账号绑定不同的Vlan号认证成功后分别进入不同的Vlan下进行网络通讯。办公人员认证成功后被划入办公Vlan中,只能访问办公Vlan下的资源;业务人员认证成功后被划入业务Vlan中,只能访问业务Vlan下的资源。因此,TNC接入方式保证了终端接入网络成功后所访问的网络资源范围可控性;因为不同的账号所绑定的Vlan号不同,在一定的程度上也避免了账号混用的风险。通信世界网

[1]  [2]  [3]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:网界网   编 辑:高娟
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:终端接入网络  天融信  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案

企业黄页
会议活动