ImageVerifierCode 换一换
格式:DOCX , 页数:11 ,大小:88.22KB ,
资源ID:9357663      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/9357663.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(现代通信网络及优化理论报告.docx)为本站上传会员【仙人****88】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

现代通信网络及优化理论报告.docx

1、 杭州电子科技大学 现代通信网络及优化理论报告 所在学院: 通信工程学院 学 号: xxxxx 姓 名: xxx 学科专业: 通信与信息工程 任课老师: xx 杭州电子科技大学研究生院制 完成日期:2016年1月 12日 网络访问控制技术 1、研究背景与意义 随着近年来Internet和计算机网络的快速发展,网络安全问题越来越成为人们关注的焦点。其中一个主

2、要的问题是如何有效地控制用户对网络的各个组成部分以及资源进行访问。显然,我们不能信赖所有用户都能正确合法的使用网络。因此,进行适当的网络访问控制是非常必要的。 网络访问控制技术在保障网络安全方面具有非常重要的作用。它使用现有的解决方案或一些新的技术,来确保任何一台连接到受保护网络的设备,要经过身份验证并且服从于该网络的安全策略。不服从的设备将被隔离,直到它们返回到服从状态。 2、网络访问的简述 网络访问保护 (NAP) 是 Windows Server 2008 和 Windows Vista 操作系统附带的一组新的操作系统组件,它提供一个平台以帮助确保专用网络上的客户端计算机符合管理

3、员定义的系统健康要求。NAP 策略为客户端计算机的操作系统和关键软件定义所需的配置和更新状态。例如,可能要求计算机安装具有最新签名的防病毒软件,安装当前操作系统的更新并且启用基于主机的防火墙。通过强制符合健康要求,NAP 可以帮助网络管理员降低因客户端计算机配置不当所导致的一些风险,这些不当配置可使计算机暴露给病毒和其他恶意软件。 3、网络访问保护的用途 客户端计算机尝试连接网络或在网络上通信时,NAP 通过监视和评估客户端计算机的健康状况来强制实施健康要求。如果确定客户端计算机不符合健康要求,则可以将其置于包含资源的受限网络上,以帮助更新客户端系统使其符合健康策略。

4、 希望对连接到他们所支持网络的客户端计算机强制实施系统健康要求的网络和系统管理员会对 NAP 感兴趣。借助 NAP,网络管理员可以: 确保局域网 (LAN) 上针对 DHCP 进行配置、通过 802.1X 身份验证设备连接或对其通信应用 NAP Internet 协议安全性 (IPSec) 策略的台式计算机的健康。当漫游便携机重新连接到企业网络时,对其强制实施健康要求。 验证通过运行路由和远程访问的虚拟专用网络 (VPN) 服务器连接到企业网络的非托管家用计算机是否健康并符合策略要求。 确定由访问者和合作伙伴带到组织的便携机的健康状况并限制对它的访问。 根据需要,管理员可以配置一个解决

5、方案来解决以上任何或全部方案的问题。 NAP 还包含一个应用程序编程接口 (API) 集,开发人员和供应商使用它来针对网络策略验证、即时符合和网络隔离构建自己的组件。 4、网络访问控制技术注意事项 NAP 部署要求服务器运行 Windows Server 2008。此外,还要求客户端计算机运行 Windows Vista、Windows Server 2008 或带有 Service Pack 3 (SP3) 的 Windows XP。执行 NAP 的健康确定分析的中心服务器是运行 Windows Server 2008 和网络策略服务器 (NPS) 的计算机。NPS 是远程身份验证

6、拨入用户服务 (RADIUS) 服务器和代理的 Windows 实现。NPS 将取代 Windows Server 2003 操作系统中的 Internet 身份验证服务 (IAS)。访问设备和 NAP 服务器充当基于 NPS 的 RADIUS 服务器的 RADIUS 客户端。NPS 根据配置的系统健康策略对网络连接尝试执行身份验证和授权,确定是否符合计算机健康要求,以及如何限制不符合要求的计算机的网络访问。 NAP 平台是 Windows Server 2008 和 Windows Vista 操作系统附带的一种新的客户端健康验证和强制技术。 5、网络访问控制技术的重要性 当今企

7、业面临的最大挑战之一就是客户端设备越来越多地暴露给诸如病毒和蠕虫等恶意软件。这些程序可以进入未受保护或配置不当的主机系统,并且可以使用该系统作为暂存点以传播到企业网络上的其他设备。网络管理员可以使用 NAP 平台保护他们的网络,方法是确保客户端系统保持正确的系统配置和软件更新,以帮助它们免受恶意软件的攻击。 NAP 的主要进程 若要使 NAP 正常工作,需要以下几个主要进程:策略验证、NAP 强制和网络限制、更新以及确保符合的即时监视。 策略验证 NPS 使用系统健康验证程序 (SHV) 分析客户端计算机的健康状态。SHV 已被合并到根据客户端健康状态确定所要采取的操作(如授予完全网络

8、访问权限或限制网络访问)的网络策略中。由称为系统健康代理 (SHA) 的客户端 NAP 组件监视健康状态。NAP 使用 SHA 和 SHV 来监视、强制实施和更新客户端计算机配置。 Windows Server 2008 和 Windows Vista 操作系统附带 Windows 安全健康代理和 Windows 安全健康验证程序,它们对支持 NAP 的计算机强制实施以下设置: 客户端计算机已安装并启用了防火墙软件。 客户端计算机已安装并且正在运行防病毒软件。 客户端计算机已安装最新的防病毒更新。 客户端计算机已安装并且正在运行反间谍软件。 客户端计算机已安装最新的反间谍更新。

9、已在客户端计算机上启用 Microsoft(R) Update Services。 此外,如果支持 NAP 的客户端计算机正在运行 Windows Update 代理并且已注册 Windows Server Update Service (WSUS) 服务器,则 NAP 可以验证是否基于与 Microsoft 安全响应中心 (MSRC) 中的安全严重等级匹配的四个可能的值中的一个值安装最新的软件安全更新。   6、NAP 强制和网络限制 可以将 NAP 配置为拒绝不符合要求的客户端计算机访问网络或只允许它们访问受限网络。受限网络应包含主要 NAP 服务,如健康注册机构 (HRA) 服务

10、器和更新服务器,以便不符合要求的 NAP 客户端可以更新其配置以符合健康要求。 NAP 强制设置允许您限制不符合要求的客户端的网络访问,或者仅观察和记录支持 NAP 的客户端计算机的健康状态。 您可以使用以下设置选择限制访问、推迟访问限制或允许访问: “允许完全网络访问”。这是默认设置。认为与策略条件匹配的客户端符合网络健康要求,并授予这些客户端对网络的无限制的访问权限(如果连接请求经过身份验证和授权)。记录支持 NAP 的客户端计算机的健康符合状态。 “允许有限时间内的完全网络访问”。临时授予与策略条件匹配的客户端无限制的访问权限。将 NAP 强制延迟到指定的日期和时间。 “允许有

11、限的访问”。认为与策略条件匹配的客户端计算机不符合网络健康要求,并将其置于受限网络上。 根据客户端计算机的健康状况,NAP 可以允许完全网络访问、仅限于对受限网络进行访问或者拒绝对网络进行访问。还可以自动更新确定为不符合健康策略的客户端计算机,以使其符合这些要求。强制实施 NAP 的方式因您选择的强制方法而异。 6.1、IPSec 通信的 NAP 强制 受 IPSec 保护的通信的 NAP 强制通过健康证书服务器、HRA 服务器、NPS 服务器以及 IPSec 强制客户端进行部署。在确定 NAP 客户端符合网络健康要求后,健康证书服务器会向 NAP 客户端颁发 X.509 证书。

12、然后,当 NAP 客户端启动与 Intranet 上的其他 NAP 客户端的受 IPSec 保护的通信时,会使用这些证书对 NAP 客户端进行身份验证。 IPSec 强制将网络上的通信限制于符合要求的客户端,并提供最强大的 NAP 强制形式。由于该强制方法使用 IPSec,您可以逐个 IP 地址或逐个 TCP/UDP 端口号地定义受保护通信的要求。 6.2、802.1X 的 NAP 强制 基于 802.1X 端口的网络访问控制的 NAP 强制通过 NPS 服务器和 EAPHost 强制客户端组件进行部署。借助基于 802.1X 端口的强制,NPS 服务器将指导 802.1X 身

13、份验证交换机或符合 802.1X 的无线访问点将不符合要求的 802.1X客户端置于受限网络上。NPS 服务器通过指导访问点将 IP 筛选器或虚拟 LAN 标识符应用于连接,将客户端的网络访问局限于受限网络。802.1X 强制为通过支持 802.1X 的网络访问设备访问网络的所有计算机提供强有力的网络限制。 6.3、VPN 的 NAP 强制 VPN 的 NAP 强制使用 VPN 强制服务器组件和 VPN 强制客户端组件进行部署。使用 VPN 的 NAP 强制,VPN 服务器可以在客户端计算机尝试使用远程访问 VPN 连接来连接网络时强制实施健康策略。VPN 强制为通过远程访问 VP

14、N 连接访问网络的所有计算机提供强有力的受限网络访问。 6.4、DHCP 的 NAP 强制 DHCP 强制通过 DHCP NAP 强制服务器组件、DHCP 强制客户端组件以及 NPS 进行部署。使用 DHCP 强制,DHCP 服务器和 NPS 可以在计算机尝试租用或续订 IP 版本 4 (IPv4) 地址时强制实施健康策略。NPS 服务器通过指导 DHCP 服务器指定一个受限制的 IP 地址配置,将客户端的网络访问局限于受限网络。但如果客户端计算机已配置有一个静态 IP 地址,或配置为避免使用受限制的 IP 地址配置,则 DHCP 强制无效。 6.5、TS 网关的 NA

15、P 强制 TS 网关的 NAP 强制通过 TS 网关强制服务器组件和 TS 网关强制客户端组件进行部署。使用 TS 网关的 NAP 强制,TS 网关服务器可以对尝试通过 TS 网关服务器连接内部企业资源的客户端计算机强制实施健康策略。TS 网关强制为通过 TS 网关服务器访问网络的所有计算机提供强有力的受限访问。 组合方法 每一种 NAP 强制方法都有各自不同的优势。通过组合强制方法,您可以将这些不同方法的优势组合在一起。但是,部署多种 NAP 强制方法会使 NAP 实现更难管理。 NAP 框架还提供了一套 API,它允许除 Microsoft 之外的公司将其软件集成到 NAP 平台中

16、通过使用 NAP API,软件开发人员和供应商可以提供端对端解决方案,用以验证健康并更新不符合要求的客户端。 部署此功能应做哪些准备工作? 部署 NAP 所需的准备工作取决于您所选择的强制方法,以及当客户端计算机连接到网络或在网络上通信时要强制实施的健康要求。 如果您是网络或系统管理员,则可以使用 Windows 安全健康代理和 Windows 安全健康验证程序部署 NAP。还可以咨询其他软件供应商,看他们是否为其产品提供 SHA 和 SHV。例如,如果防病毒软件供应商想创建一个包含自定义 SHA 和 SHV 的 NAP 解决方案,则他们可以使用 API 集来创建这些组件。然后可以将这

17、些组件集成到其客户部署的 NAP 解决方案中。 当客户端计算机尝试连接到网络或在网络上通信时,除了 SHA 和 SHV 之外,NAP 平台还使用多个客户端和服务器端组件来检测和监视客户端计算机的系统健康状态。下图展示了用于部署 NAP 的一些常用组件: 7、NAP 客户端组件 支持 NAP 的客户端是一台安装了 NAP 组件且可以通过向 NPS 发送健康声明 (SoH) 来验证其健康状态的计算机。下面是常用的 NAP 客户端组件。 系统健康代理 (SHA)。监视和报告客户端计算机的健康状况,以便 NPS 可以确定由 SHA 监视的设置是否最新以及是否经过正确配置。例如,Wind

18、ows 系统健康代理 (WSHA) 可以监视 Windows 防火墙,检查防病毒软件是否已安装、启用和更新,反间谍软件是否已安装、启用和更新,以及 Microsoft Update Services 是否已启用,计算机是否拥有其最新的安全更新。还可能有来自其他公司提供其他功能的 SHA。 NAP 代理。收集和管理健康信息。NAP 代理还处理来自 SHA 的 SoH,并向已安装的强制客户端报告客户端健康状况。若要指示 NAP 客户端的总体健康状况,NAP 代理应使用系统 SoH。 NAP 强制客户端 (NAP EC)。若要使用 NAP,必须在客户端计算机上安装和启用至少一个 NAP 强制客户

19、端。如前所述,各个 NAP 强制客户端都是特定于强制方法的。NAP 强制客户端集成了网络访问技术,如 IPSec、基于 802.1X 端口的有线和无线网络访问控制、具有路由和远程访问的 VPN、DHCP 以及 TS 网关。NAP 强制客户端请求访问网络、与 NPS 服务器交流客户端计算机的健康状态,并与 NAP 客户端体系结构的其他组件交流客户端计算机的受限状态。 健康声明 (SoH)。一种声明其健康状态的来自 SHA 的声明。SHA 创建 SoH 并将其发送给 NAP 代理。 NAP 服务器组件 下面是常用的 NAP 服务器组件。 NAP 健康策略服务器。运行 NPS 的服务器,它充

20、当 NAP 健康评估服务器的角色。NAP 健康策略服务器具有健康策略和网络策略,这些策略为请求网络访问的客户端计算机定义健康要求和强制设置。NAP 健康策略服务器使用 NPS 处理包含 NAP EC 发送的系统 SoH 的 RADIUS 访问请求消息,并将其传递给 NAP 管理服务器进行评估。 NAP 管理服务器。提供一种类似于客户端上的 NAP 代理的处理功能。它负责从 NAP 强制点收集 SoH,将 SoH 分发给相应的系统健康验证程序 (SHV),以及从 SHV 收集 SoH 响应 (SoHR) 并将其传递给 NPS 服务进行评估。 系统健康验证程序 (SHV)。服务器软件对应于 S

21、HA。客户端上的每个 SHA 在 NPS 中都具有相应的 SHV。SHV 验证客户端计算机上与其对应的 SHA 所创建的 SoH。SHA 和 SHV 相互匹配,并且与相应的健康要求服务器(如果适用)和可能的更新服务器匹配。SHV 还可以检测到尚未接收 SoH(如 SHA 从未安装或者已损坏或删除的情况)。无论 SoH 符合还是不符合定义的策略,SHV 都向 NAP 管理服务器发送健康声明响应 (SoHR) 消息。一个网络可能具有多种 SHV。如果情况如此,则运行 NPS 的服务器必须调整所有 SHV 中的输出,并且确定是否限制不符合要求的计算机的访问。如果您的部署使用多个 SHV,则需要了解它

22、们交互的方式,在配置健康策略时还要进行仔细地计划。 NAP 强制服务器 (NAP ES)。与所使用 NAP 强制方法的相应 NAP EC 相匹配。NAP ES 接收来自 NAP EC 的 SoH 列表,并将其传递给 NPS 进行评估。根据响应,它向支持 NAP 的客户端提供有限制或无限制的网络访问。根据 NAP 强制的类型,NAP ES 可以是 NAP 强制点的一个组件。 NAP 强制点。使用 NAP 或可以与 NAP 结合使用以要求评估 NAP 客户端的健康状况并提供受限网络访问或通信的服务器或网络访问设备。NAP 强制点可以是健康注册机构(IPSec 强制)、身份验证交换机或无线访问点

23、802.1x 强制)、运行路由和远程访问的服务器(VPN 强制)、DHCP 服务器(DHCP 强制)或 TS 网关服务器(TS 网关强制)。 健康要求服务器。与 SHV 通信以提供评估系统健康要求时使用的信息的软件组件。例如,健康要求服务器可以是为验证客户端防病毒 SoH 提供当前签名文件版本的防病毒签名服务器。健康要求服务器与 SHV 相匹配,但并不是所有 SHV 都需要健康要求服务器。例如,SHV 可以只指导支持 NAP 的客户端检查本地系统设置,以确保启用基于主机的防火墙。 更新服务器。承载 SHA 用来使不符合要求的客户端计算机变为符合要求的客户端计算机的更新。例如,更新服务器可

24、以承载软件更新。如果健康策略要求 NAP 客户端安装最新的软件更新,则 NAP EC 将对没有这些更新的客户端的网络访问加以限制。为了使客户端能够获得符合健康策略所需的更新,具有受限网络访问权限的客户端必须可以访问更新服务器。 健康声明响应 (SoHR)。包含客户端 SoH 的 SHV 评估结果。沿 SoH 的路径,将 SoHR 反向发送回客户端计算机 SHA。如果认为客户端计算机不符合要求,则 SoHR 包含更新说明,SHA 会使用该说明更新客户端计算机配置,使其符合健康要求。 就像每种类型的 SoH 都包含有关系统健康状态的信息一样,每个 SoHR 消息都包含有关如何使客户端计算机符合

25、健康要求的信息。 参考文献 [1] Jiang Yun jie. Security State Fusion Based on Network Accessing Control Algorithm[J]. Computational Intelligence and Communication Networks (CICN), 2012:753-756. [2] Ya bin Liu; Huan guo Zhang; Li qiang Zhang; Bo Zhao. Research on Unified Network Access Control Architecture[J]

26、Computer and Information Technology, 2009:295-299. [3] Cai Tao; Ju Shiguang; Niu DeJiao. Two-Layered Access Control for Storage Area Network[J].Grid and Cooperative Computing, 2009:331-336 [4] Frias-Martinez, V.; Sherrick, J.; Stolfo, S.J.; Keromytis, A.D. A Network Access Control Mechanism Based on Behavior Profiles[J]. Computer Security Applications Conference, 2009:3-12. [5] Bernal, F.; Sanchez, M.; López, G.; Gomez-Skarmeta, A.F.; Canovas, O.Trusted Network Access Control in the Eduroam Federation[J]. Network and System Security, 2009:170-175.

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服