部署內網安全準入控制系統

802.1x是一套標準的協議規范，是局域網主機接入認證和授權手段。實施端口控制的主體是802.1x接入交換機。在交換機開啟802.1x功能后，主機終端所連接的端口將只允許特定的認證數據幀通過，基于其認證結果確定是否開放主機所連的端口接入網絡，接入后在終端可信狀態不變的情況下，將不再進行認證和檢查。

基于802.1x的可信網絡接入框架由接入請求點、網絡接入控制點和可信接入服務器組成。基于證書策略的終端準入控制過程如下：

1.網絡準入控制組件通過802.1x協議將主機終端用戶身份證書信息發送到接入交換機。

2.接入交換機將用戶身份證書信息通過RADIUS協議，發送給RADIUS認證組件。該組件通過認證服務器對用戶身份證書進行有效性判定，并把認證結果返回給交換機，交換機將認證結果傳給網絡準入控制組件。

3.用戶身份認證通過后，終端系統檢測組件根據準入策略管理組件制定的安全準入策略對終端安全狀態進行檢測。終端的安全狀態符合安全策略的要求則允許準入流控中心系統網絡。

4.如終端身份認證失敗，網絡準入控制組件通知接入交換機關閉端口；如終端安全狀態不符合安全策略要求，終端系統檢測組件將隔離終端到非工作VLAN。

5.在非工作VLAN終端，終端系統檢測組件會自動進行終端安全狀態的修復，在修復完成后，系統自動將終端重新接入正常工作VLAN。

交換機認證設置

由于不同廠家和型號系列的交換機啟用802.1x功能的設置可能不完全相同，需要網管員根據交換機用戶手冊進行相應部署操作。……