Symantec.SEP.VS.Huawei.Numen
Symantec SEP vs. Huawei Numen
赛门铁克公司
(Symantec Corporation.)
文档信息
文档编号:
文档版本: 1.0
版本日期:2013-03-25
文档状态:
制作人:姚臻Eric Yao
审阅人:
版本变更记录
目录
一、产品原理 (4)
1.1 S YMANTEC LAN NAC——802.1X协议结构和基本原理 (4)
1.1.1 什么是IEEE 802.1x协议 (4)
1.1.2 IEEE 802.1x协议技术特点 (5)
1.2 华为N UMEN终端安全管理系统中的的准入技术——MA5200 (6)
1.2.1MA5200宽带IP接入设备 (6)
1.2.2逻辑端口在MA5200上的实现 (6)
1.2.3MA5200对802.1x端口强开状态的扩展 (7)
1.2.4MA5200对802.1x端口自动(AUTO)状态的扩展 (7)
1.2.5802.1x认证在MA5200上实现方式 (8)
1.2.6在MA5200中实现802.1x的特点 (9)
1.2.7总结 (10)
二、产品比较 (11)
三、综述 (14)
一、产品原理
1.1Symantec LAN NAC ——802.1x协议结构和基本原理
1.1.1 什么是IEEE 80
2.1x协议
IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。
IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。
客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL(Extensible Authentication Protocol Over LAN)协议。
认证系统通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
认证服务器通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。
图中认证系统的受控端口处于未认证状态,因此无法访问认证系统提供的服务。
注意的是,在下图所表现的在IEEE 802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,IEEE 802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。
IEEE 802.1x认证协议已经得到了很多软件厂商的重视,目前微软也在大力推广,并在Windows操作系统中的最新版Windows XP已经整合IEEE 802.1x 客户端软件,无需要另外安装客户端软件。
1.1.2 IEEE 80
2.1x协议技术特点
1.协议实现简单
IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
2.认证和业务分离
IEEE 802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
3.和其他认证方式的比较
IEEE 802.1x协议虽然源于IEEE 802.11无线以太网(EAPOW),但是,它在以太网中的引入,解决了传统的PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,简轻了网络封装开销,降低了建网成本。
总结起来IEEE 802.1x有以下五大优点。
简洁高效:纯以太网技术内核,保持IP网络无连接特性,去除冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务。
容易实现:可在普通L3、L2、IP DSLAM上实现,网络综合造价成本低。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户和密码等;绑定技术具有很高的安全性。
行业标准:IEEE标准,微软操作系统内置支持。
易于运营:控制流和业务流完全分离,易于实现多业务运营。
1.2华为Numen终端安全管理系统中的的准入技术—— MA5200 1.
2.1MA5200宽带IP接入设备
MA5200宽带IP接入设备是华为公司针对基于以太网、xDSL技术和802.1x 技术的宽带接入用户而推出的网络汇聚层产品,它适用于小区、商用大楼、宾馆、机场和学校等场所。
对于局域网组网方式,总是依靠于LanSwitch或者HUB等扩展用户,因此必然要采用共享媒体的方式,由于对于LanSwitch或者其下的HUB用户的物理上/下线不可能实时感知,因此只能依靠协议报文(正常上/下线协议报文、握手)的方式来判断。由于MA5200针对用户进行管理和转发控制,必须扩展协议逻辑端口的概念,在MA5200上定义逻辑端口,采用VLAN ID或VLAN ID+MAC地址构成一个协议上的逻辑端口。
1.2.2逻辑端口在MA5200上的实现
MA5200实现控制的端口属于逻辑端口,MA5200具有VLAN级别和MAC级别两种逻辑端口。
■对于VLAN级别的逻辑端口,VLAN ID是区别逻辑端口的唯一标识,如果某个VLAN在MA5200中设定为需要802.1x认证,那么从该VLAN端口接入的用户(除非用户的MAC在下面一条中定义是否需要进行802.1x认证)需要进行EAP认证;
■对于MAC级别的用户,逻辑端口采用VLAN ID+用户MAC地址,如果在MA5200中设定某VLAN下的某MAC地址的用户接入需要进行802.1x认证,那么以此MAC地址在此VLAN下接入的用户就需要进行EAP认证,无论此时的VLAN 控制级别是否需要进行802.1x认证。
因此,我们可以看出MA5200对MAC级别定义的逻辑端口控制优先于对VLAN 级别的逻辑端口控制。
1.2.3MA5200对802.1x端口强开状态的扩展
MA5200对端口的强开状态进行了扩展,以保证非802.1x用户可以正常接入。
■任何时候,收到客户端EAPOL-START报文,直接返回给客户端
EAP-SUCCESS;
■如果收到客户端DHCPDISCOVER报文,允许客户端完成DHCP过程,分配IP地址;
■客户端必须通过WEB认证后,才能访问外部网络。
1.2.4MA5200对802.1x端口自动(AUTO)状态的扩展
为了适应更加灵活的组网方式和不同类型用户的需要,MA5200对端口自动状态(AUTO)进行了扩展,以使那些没有802.1x客户端的用户可以通过传统的VLAN WEB方式进行接入,实现802.1x与VLAN WEB接入的混合组网。
■如果先收到客户端EAPOL-START报文的EAPOL-START触发,则首先进行EAP认证,EAP认证成功后,才允许进行DHCP过程,分配IP地址,获得访问外部网络的权限;
■如果先收到客户端的DHCPDISCOVER报文,则根据事先设定的策略完成后续的接入过程,如下表所示。
表收到客户端DHCPDISCOVER报文后的接续策略
1.2.5802.1x认证在MA5200上实现方式
由于802.1x协议是针对端口的认证,它不涉及到用户地址的获取和访问权限的打开。因此,为了实现整个接入流程,实现宽带接入的可运营和可管理的思想,进行二/三层的绑定(二层端口权限控制和三层访问权限控制),只有通过二层认证(802.1X端口认证)和三层访问权限的获取(IP地址获取)后,才能上网。
MA5200认证方式可以为本地认证或Radius认证,Radius认证包括以下三种方式:
EAP 终结方式(EAP to Radius):EAP报文在MA5200上被终结,EAP报文中认证的信息被提取出来后,封装成标准的Radius报文,并送到Radius服务器认证;
EAP 透传方式(EAP over Radius):MA5200不对EAP认证报文进行特殊处理,直接送到Radius服务器认证;
SIM认证方式:从SIM卡中读取到信息后,送到认证服务器进行认证。
图 802.1x与WLAN在MA5200组网中的典型应用
对于有线接入用户,可以采用VLAN、PPPoE接入,也可以采用802.1x方式。对于有线接入方式,802.1x并无特别的优势;对于机场、酒店等客户流动性较大的场所,可采用无线WLAN接入方式。在使用WLAN接入时,可以充分发挥MA5200认证的灵活性:同一VLAN端口下,用户可以采用802.1x方式接入,对于没有802.1x客户端的用户可采用传统的VLAN+WEB方式,允许用户以先DHCP后WEB 认证的方式接入。对于认证方法,MA5200既可实现本地认证,也可实现Radius 认证;另外使用WLAN接入时,使用SIM的用户还可通过MA5200将认证信息送到专门的认证服务器(AS+HLR)完成认证。
1.2.6在MA5200中实现802.1x的特点
在端口控制状态设为自动状态(Auto)时,不受802.1x协议中要求客户端必须通过EAP认证后客户端才能访问网络资源的限制;
?在某些应用环境中,允许客户端先获取IP地址,再进行EAP认证;
?在某些应用环境中,允许客户端不进行EAP认证,而进行WEB认证;
?在某些应用环境中,允许客户端自适应认证,即在端口控制状态设为自
动状态(Auto)时,客户端既可采用EAP认证,也可采用WEB认证。1.2.7总结
MA5200不但可以完成802.1x接入,而且还对传统的802.1x接入方式进行了扩展;客户端既可以先进行EAP认证,也可以先完成DHCP过程,在必要时还可以不进行EAP认证而通过WEB认证来上网;对于接入的介质,MA5200既支持传统的有线方式也支持WLAN方式。
二、产品比较
三、综述
华为公司的Numen终端安全管理系统产品(也叫做“终端安全策略强制系统”SPES)只是对Symantec SEP产品的NAC(网络准入控制)模块构成竞争关系,在宏观的公司形象和微观的产品成熟度及产品的功能上都无法相比,整体上根本不能成为我们的竞争对手:
1.公司产品定位上,Symantec是全世界最大专门从事网络安全的独立软件公
司;华为是一个彻底的电信网络解决方案供应商,与网络安全领域基本无关。
2.产品成熟度上,SEP开发时间超过8年,产品也推出了五代,是全世界最
稳定的终端安全管理软件;华为公司在2003年采购了Symantec的SEP产品并部署到公司全网,然后再开发Numen系列产品,无论是在开发时间还是产品成熟度上都远逊SEP产品。
3.使用人数上,SEP已被大部分的财富500强公司所使用;Numen只有在一
些小区网络、医院、宾馆的实施经验,它的三层(汇聚层)准入控制原理决定了用户不会采购Numen作为企业局域网的准入控制。
4.局域网准入控制方式上,SEP采用的接入层交换机上开启802.1X认证,可
以对一切用户实现准入;Numen的MA5200是工作在三层(汇聚层),对用户在接入层的行为无法控制,包括二层的病毒传播泛滥、访客用户对内部网络的访问等无法管理;
5.网络准入控制应该是一个通用的NAC,而不仅仅是内网的NAC,也就是
说要对用户可能进入网络的各种途径进行NAC准入,包括Switch, Gateway, Wireless AP, IPSec VPN, SSL VPN, DHCP, Web App Server等。SEP是全世界第一个通用的网络准入控制解决方案,Numen目前只能实现内网的网络准入控制,而且实现得并不完美(三层工作原理);
6.产品架构上,SEP不但包含了成熟的SNAC模块,更有强大的防火墙、IDS、
主机完整性检查和操作系统保护策略,所有功能均集成在单一的客户端软件之上;Numen只有局域网的NAC功能,连NAC中最基本的准入后自我
强制功能尚不能实现,更不用说终端安全软件必需的网络版个人防火墙、主机IDS、对笔记本用户的自适应策略模块、设备管理(尤其是USB管理)和进程管理模块等也完全没有。
7.如第一点所述,Symantec作为全世界最大的安全软件公司,一直都在领引
着网络安全发展的方向。在终端安全领域,明年推出的SEP6.0更整合了全世界使用人数最多的防病毒软件——Symantec Antivirus。届时,在单个客户端软件上,用户不但可以享受到目前5.1版本的全部功能,更有了防病毒、防恶意软件、电子交易安全保护等功能,选择Symantec公司的产品是对用户的最大负责。