1.3.6 局域網接入安全

根據拓撲結構，可以將局域網分為核心層、匯聚層和接入層3個層次。接入層是最終面向用戶的，是局域網用戶進入網絡的接入點，在該層應用保障安全的策略，能為局域網安全運行提供保障。

1. 常規接入安全措施

在傳統有線網絡中，通常可以采用802.1x認證確保局域網接入的安全，但需要交換機支持和后臺的RADIUS服務器，同時必須采用國內某些網絡廠商提供的802.1x解決方案，可以實現用戶名、IP地址、MAC地址、端口、VLAN、交換機IP等的綁定，從而有效避免網絡設備、用戶等的非法接入。除此之外，防水墻類的產品也可以控制局域網接入，但需要額外投資，并且可靠性不是很高。

在無線局域網中，管理員可以通過如下措施確保接入安全。

● 設置SSID。SSID是無線局域網的網絡名稱，通常用于區分不同的網絡。無線設備或用戶接入網絡之前必須提供匹配的SSID，否則無法接入。SSID類似于一個簡單的口令，阻止非法用戶的接入，保障無線局域網的安全。另外，還需要禁止無線設備的SSID廣播功能。

● 配置MAC地址訪問控制列表。每個網絡設備或計算機的網卡都有一個唯一的MAC地址，因此通過配置MAC地址訪問控制列表，可以確保只有經過注冊的設備才可以接入網絡，阻止未經授權的無線用戶接入，

● 配置WEP加密。WEP加密主要是針對無線網絡中傳輸的數據而言的，可以用于保護鏈路層數據的安全。WEP使用40位鑰匙，采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。

● 配置802.1x認證。當無線設備或用戶進入無線局域網之前，可以通過802.1x認證決定是否允許其繼續訪問。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許接入。

2. ACS身份驗證

Cisco Secure ACS將驗證、用戶訪問和管理員訪問與策略控制結合在一個集中的身份識別網絡解決方案中，因此提高了靈活性、移動性、安全性和用戶生產率，從而進一步增強了訪問安全性。

通過對所有用戶賬戶使用一個集中數據庫，Cisco Secure ACS可集中控制所有的用戶權限并將其分配到網絡中的幾百甚至幾千個接入點。對于記賬服務，Cisco Secure ACS針對網絡用戶的行為提供具體的報告和監控功能，并記錄整個網絡上每次的訪問連接和設備配置變化。Cisco Secure ACS支持廣泛的訪問連接，包括有線和無線局域網、寬帶、內容、存儲、VoIP、防火墻和VPN等。

3. NAP技術

NAP（Network Access Protection，網絡訪問保護）是為Microsoft在Windows Vista和Windows Server 2008提供的全新系統組件，它可以在訪問私有網絡時提供系統平臺健康校驗。NAP平臺提供了一套完整性校驗的方法來判斷接入網絡的客戶端的健康狀態，對不符合健康策略需求的客戶端限制其網絡訪問權限。

為了校驗訪問網絡的主機的健康，網絡架構需要提供如下功能性領域。

● 健康策略驗證：判斷計算機是否適應健康策略需求。

● 網絡訪問限制：限制不適應策略的計算機訪問。

● 自動補救：為不適應策略的計算機提供必要的升級，使其適應健康策略。

● 動態適應：自動升級適應策略的計算機以使其可以跟上健康策略的更新。