安全的网络

安全网络可以从两方面看，一个是准入就是对用户的认证和授权，一个是加密就是网络链路和数据的加密

准入

二层准入-802.1x

EAP: Extensible Authentication Protocol可扩展验证协议

包含三个元素，客户端，认证方，认证服务器
我们自己的设备，如手机、电脑，这些属于客户端
在有线网络中，接入的认证方就是交换机
在无线网络中，接入的认证方就是AC/AP

• 端口初始化：
  交换机探测到有一个客户端连接到一个端口后，会把这个端口置为"未授权"状态，处于未授权状态的端口除了802.1x报文不会转发其他任何流量

• EAP初始化
  交换机定时向二层广播EAP请求信令，开启了802.1x的客户端在连上交换机后会保持侦听这个信令，一旦捕捉到，则会回复一个包含自己的EAP应答，交换机收到应答后会通知后台的认证服务器，告诉它有一个新的客户端要进行EAP认证

• EAP协商
  由于EAP实现方式有多种，所以要同步一下双方都支持的EAP类型

• 用户身份验证
  协商好EAP方式之后，客户端发送代表身份的信息，认证服务器判断结果，返回给交换机，认证成功就会开放端口

三层准入

三层准入也叫web认证
不可能每个电脑都配置了802.1x策略
在802.1x策略超市或者失败之后，配置了web认证的交换机就会自动进入三层准入阶段
流程

• 交换机端口进入有限接入状态
  如果想802.1x一样禁止转发，只可以发送802.1x报文，因为没有配置802.1x，客户端就拿不到IP地址
  所以web认证不会完全屏蔽端口，会将该端口接入一个可以转发数据的VLAN
  ，并且该端口放上一组预先配置好的ACL，提供一些基本数据的转发服务，如DHCP,DNS，能够访问到认证网页

• 客户端触发认证流程
  客户端接入后，会向DHCP请求IP地址，这个DHCP的广播包就是触发web认证的信号，如果IP是手动配置的，那么也会发出ARP报文，发送IP地址对应MAC地址，听到该报文也会触发web认证

• 用户身份验证
  获得IP地址后，触发web认证，会进入认证页面，或者自己发送一个http请求的时候，交换机截取到这个http请求，将用户重定向到认证页面，输入账号密码之后会发送给认证服务器进行认证

客户端方式

像是VPN接入的客户端一样，这类客户端一般只干两件事情：

1. 从操作系统接手802.1x的认证流程
2. 都操作系统的健康状态做检查，检查操作系统处于可靠的状态则接入网络，否则拒绝

三种方法的优缺点

• 802.1x：
  优点：
  每个部分都有相应的国际标准，便于企业客户自由选择软硬件
  现基本上每台接入交换机都支持802.1x，每台电脑也支持802.1x
  支持单点登录，输入windows系统密码之后自动用于网络验证

• web认证
  优点：
  无需客户端支持，和协议支持，只要能够访问web即可
  缺点：
  不支持单点登录
  不支持机器认证

• 客户端认证
  功能全面，但无统一标准，每个客户端都有各自的差异

加密-VPN技术

VPN的两个基本特性，加密与长连接
实现方式有两种：

IPsec

适用于点对点场景，解决了两地的分支机构希望安全通信时需要跟运营商租用专线链路带来的不灵活以及价格昂贵的问题
在两端设置特别的VPN硬件设备（VPN集线器）负责加密解密，实现加密传输
当少量人员的远程办公需求出现后，可以在他们的电脑上安装IPsec客户端，通过软件客户端连接到VPN网关设备上
但是有明显的缺点：

1. 用户数量特别多时，客户端软件的分发、维护、管理、升级变成费时费工的事情
2. 存在安全隐患，如果没在交换机上做访问控制，那么接入vpn的用户几乎可访问到内网的所有数据

SSL

优点：

• 简洁的部署模式
  本身是Netscape浏览器的一项特性，无需专用的客户端

• 精细的访问控制
  提供用户级别的授权，可以依据安全策略确保只有授权的用户才能访问特定的资源

实现技术：

1. 握手协议
   

2. 记录协议
   每次都会附上一个真实内容的hash值，用于验证数据是否被改动，保证数据的可靠性