1.3.6 局域网接入安全

根据拓扑结构，可以将局域网分为核心层、汇聚层和接入层3个层次。接入层是最终面向用户的，是局域网用户进入网络的接入点，在该层应用保障安全的策略，能为局域网安全运行提供保障。

1. 常规接入安全措施

在传统有线网络中，通常可以采用802.1x认证确保局域网接入的安全，但需要交换机支持和后台的RADIUS服务器，同时必须采用国内某些网络厂商提供的802.1x解决方案，可以实现用户名、IP地址、MAC地址、端口、VLAN、交换机IP等的绑定，从而有效避免网络设备、用户等的非法接入。除此之外，防水墙类的产品也可以控制局域网接入，但需要额外投资，并且可靠性不是很高。

在无线局域网中，管理员可以通过如下措施确保接入安全。

● 设置SSID。SSID是无线局域网的网络名称，通常用于区分不同的网络。无线设备或用户接入网络之前必须提供匹配的SSID，否则无法接入。SSID类似于一个简单的口令，阻止非法用户的接入，保障无线局域网的安全。另外，还需要禁止无线设备的SSID广播功能。

● 配置MAC地址访问控制列表。每个网络设备或计算机的网卡都有一个唯一的MAC地址，因此通过配置MAC地址访问控制列表，可以确保只有经过注册的设备才可以接入网络，阻止未经授权的无线用户接入，

● 配置WEP加密。WEP加密主要是针对无线网络中传输的数据而言的，可以用于保护链路层数据的安全。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。

● 配置802.1x认证。当无线设备或用户进入无线局域网之前，可以通过802.1x认证决定是否允许其继续访问。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许接入。

2. ACS身份验证

Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中，因此提高了灵活性、移动性、安全性和用户生产率，从而进一步增强了访问安全性。

通过对所有用户账户使用一个集中数据库，Cisco Secure ACS可集中控制所有的用户权限并将其分配到网络中的几百甚至几千个接入点。对于记账服务，Cisco Secure ACS针对网络用户的行为提供具体的报告和监控功能，并记录整个网络上每次的访问连接和设备配置变化。Cisco Secure ACS支持广泛的访问连接，包括有线和无线局域网、宽带、内容、存储、VoIP、防火墙和VPN等。

3. NAP技术

NAP（Network Access Protection，网络访问保护）是为Microsoft在Windows Vista和Windows Server 2008提供的全新系统组件，它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态，对不符合健康策略需求的客户端限制其网络访问权限。

为了校验访问网络的主机的健康，网络架构需要提供如下功能性领域。

● 健康策略验证：判断计算机是否适应健康策略需求。

● 网络访问限制：限制不适应策略的计算机访问。

● 自动补救：为不适应策略的计算机提供必要的升级，使其适应健康策略。

● 动态适应：自动升级适应策略的计算机以使其可以跟上健康策略的更新。