拨云见日：企业网络准入策略小议(1)

拨云见日：企业网络准入策略小议(1)

近来有机会接触了一些企业网络准入的项目，感触颇深。针对这个复杂的市场有一点自己的心得，没有结论，意在抛砖引玉，为大家的思考和讨论铺路。

本文只关注企业用户，而且是具备一定用户规模的国内企业用户，不是学校、不是小区宽带；其次，范围是用户对网络资源的访问，包括有线、无线、VPN等等。之所以要这么规定一下，是为了后面的讨论更准确、更有针对性，企业用户有自己的特点和需求，适合其它环境的思路在企业网中很可能玩儿不转，任何一种技术方案只有在立足的环境中才存在讨论的意义。

一. 缘起

网络准入是一个由来已久的话题，但一直以来并不是IT安全的重点，直到近年来，才逐渐成为炙手可热的话题。无线接入、智能移动终端和云计算的兴起共同催生了这一波热潮。

随着云计算的不断深入，越来越多的企业业务系统由传统的C/S架构向B/S架构迁移，以往访问后台数据需要安装专用软件，IT部门控制客户端软件的许可发放，就能够大致控制访问用户的范围。而在B/S架构中，用户只需要一个WEB浏览器即可登录系统，加上智能手机、智能平板和WiFi的流行，以往的限制条件消失了，任何人手中的设备都成了可能访问后台数据库的平台，IT部门突然一下子失去了对局面的控制，因此，对网络的准入控制被重新提上日程。只有合法的用户才能够接入网络，通过对接入用户的控制，IT部门开始试图重新夺回对数据访问的控制权。

二.  几种思路

控制用户接入网络的技术伴随网络本身的诞生和发展已经衍生出五花八门的派别，每种方式都有自己的特点和适用场景，很难说那种方式在技术和最终效果上技高一筹取得了绝对的领先地位。

在新形势下，接入技术本身并没有发生翻天覆地的变化，其演进更多地是从满足需求的前提出发，将现有的方式进行重新的优化、组合，从而推出一个满足新需求的解决方案。在实际环境中常见的认证方式包括二层认证、三层认证和基于客户端方式的认证。

二层认证

二层认证就是用户在获得IP地址之前必须通过的认证，大型企业往往利用DHCP进行IP地址分发，用户在接入网络之初同网络侧通过二层连接进行认证数据的交互，只有成功通过认证才能向DHCP服务器申请IP地址，从而收发数据。

二层认证的代表实现方式就是802.1X。802.1X是IEEE 802.1协议集的一部分，定义了EAP在以太网环境中的实现方式，而EAP是IETF在RFC3748中制定的在数据链路层中进行认证行为的一种机制，以满足在不同的二层环境下进行统一、一致的认证的需求。这个逻辑连起来就是，IETF首先制定了在数据链路层也就是二层上进行验证的EAP机制，然后IEEE给出了EAP在以太网环境中的运行方式，这个方式就是大家熟知的802.1X。现在，我们可以回答两个常常被混淆的问题：

1）802.1X是802.11的子集吗？

No，802.1X不但可以工作在无线环境中，同样能够工作在有线环境中，并且在WiFi被大规模部署之前，802.1X就已经是有线网络中一种重要的认证方式。

2）EAP是802.1X专用的认证方式吗？

No，理论上EAP可以被运用在任何一种数据链路层之上，例如PPP或以太。

基于802.1X的二层认证基本工作方式如下图所示：

 

上图中的三个元素，分别是客户端Supplicant）、认证方Authenticator）和认证服务器Authentication Server）。客户端就是支持802.1X功能的终端设备，如笔记本、智能手机；认证方是将客户端接入网络的接入设备，在有线网络中是接入交换机，无线网络中是无线AP和控制器，在VPN连接中，认证方则是VPN服务器，认证方负责接受客户端的认证请求，但本身并没有处理这些请求的能力，它会将获得的信息转发到认证服务器，由认证服务器辨别客户端的合法性；认证服务器通常是集中部署在网络内的一台安全设备，当收到转发来的用户请求后，认证服务器将请求信息同已有的用户资料做比对，并将结果返还给认证方，如用户合法，认证方便会将客户端接入网络，否则予以屏蔽，或放入特殊VLAN，至此，一个标准的二层认证流程才结束。

在这个过程中，认证方和认证服务器之间通过特定的协议通信，目前采用最普遍的两个协议是RADIUS和TACACS+，总体说来，TACACS+的稳定性、安全性和灵活性更高，但TACACS+是思科私有协议，因此，在一般的用户接入场合，RADIUS更加常见。

通过多年的发展，802.1X+RADIUS的实现方式已经发展成为一个功能非常强大的准入方案，RADIUS丰富的字段使得认证可以不仅仅针对用户名与密码，还可以根据接入设备的MAC地址、IP地址、交换机端口等信息来进行认证。

之所以解释这么多二层认证的细节，是想说明基于802.1X的二层接入是一个非常成熟的方案，市场接受程度很高，不管认证方还是认证服务器，都不难找到多家厂商的产品，客户端的支持方面也不是问题，主流的桌面操作系统和智能手机终端大都支持802.1X。用户的接受与市场的成熟，对于安全策略的长期部署是非常重要的，802.1X在这方面的优势异常明显，其他方案不一定有这么幸运。

总体说来，802.1X的二层模式具备了以下三个特点：

1）完全公开的架构，每一个部分都有相应的国际标准，便于企业客户自由选择软硬件、搭建一个灵活的安全架构，不会受制于特定厂家；

2）成熟的技术标准，802.1X已经部署在全球成千上万的园区网，本身是一个非常成熟的技术，实施风险和成本低；

3）包含完善的认证和授权机制，能够满足企业用户的大部分需求。

如果仔细揣摩这三点，你会发现802.1X同以太网非常相似–公开、成熟、实用，这其实就是企业客户的核心需求，企业的IT部门在做任何选择时首先考虑的都是技术的可延续性以及成熟性，如果某项技术大家都在用，本身功能又实现得七七八八，这个方案就是最优方案，华而不实的新鲜玩意反而难以得到企业用户的垂青。