性videosgratis灌满|国产成人精品高清在线观看99|无码日本电影一区二区网站|成人性生交大片免费看京东小视频|熟妇与小伙子MATUR老熟妇E

常見的網絡準入控制方式詳細對比

聯軟科技
2022年(nian)11月09日

準入(ru)控制NAC概述(shu)

隨(sui)著計(ji)算(suan)機技術和網絡(luo)通信技術的(de)發展、應用的(de)日趨(qu)復雜,計(ji)算(suan)機終(zhong)端已不(bu)再是(shi)傳統意(yi)義(yi)上我們所理解的(de)“終(zhong)端”,它不(bu)僅是(shi)網線所連接的(de)PC,還包括手機、PAD等各類(lei)新式的(de)移(yi)動設(she)備。這些形形色色的(de)終端給信息安全工(gong)作(zuo)帶來了巨大(da)挑戰:類(lei)型眾(zhong)多(duo),以(yi)各種(zhong)方式接入;并且是(shi)大(da)部分(fen)事(shi)物的(de)起(qi)點和源頭:是(shi)用戶登錄(lu)并訪問(wen)(wen)網絡(luo)的(de)起(qi)點、是(shi)用戶訪問(wen)(wen)Internet的起(qi)點、是應用系統訪(fang)問和數據產生的起(qi)點、更是病(bing)毒攻擊、從內(nei)(nei)部發起(qi)惡意(yi)攻擊和內(nei)(nei)部保密數據盜用或失竊的源頭。因此,終(zhong)端(duan)(duan)安全管(guan)(guan)理對每個企業來說都極其重要(yao),只有通過完善的(de)終(zhong)端(duan)(duan)安全管(guan)(guan)理才能夠真正(zheng)從源頭上控制(zhi)各種(zhong)事(shi)件的(de)啟(qi)始、遏(e)制(zhi)由內網發起(qi)的(de)攻擊和破壞。

在內網安全管理中,準入控制是所有終端管理功能實現的基礎所在,采用準入控制技術能夠主動監控桌面電腦的安全狀態和管理狀態,將不安全的電腦隔離、進行修復。準入控制技術與傳統的網絡安全技術如防火墻、防病毒技術結合,將被動防御變為主動防御,能夠有效促進內網合規建設,減少網絡事故。

常見的(de)網(wang)絡準入控制技(ji)術

 

網關準入控制

在(zai)接入終(zhong)端和網絡資源(如:服務器/互聯網出口)之間,設置一(yi)個(ge)網(wang)關(guan),終(zhong)端只有通過網(wang)關(guan)的(de)(de)驗證和(he)檢查后(hou),才能訪(fang)問網(wang)關(guan)后(hou)面的(de)(de)資源;實際上網(wang)關(guan)準(zhun)入(ru)控(kong)制只是(shi)防火墻功能的(de)(de)一(yi)個(ge)擴展,可(ke)以(yi)認為是(shi)網(wang)絡(luo)準(zhun)入(ru)控(kong)制中的(de)(de)一(yi)種特殊形式,絕大多少傳統(tong)的(de)(de)防火墻廠(chang)商都(dou)提供(gong)該類解(jie)決方案。

注:

1、Cisco NAC的(de)NAC-L3-IP解(jie)決方(fang)案(an)可(ke)以用路由器作為網關(guan)完全替代網關(guan)準入(ru)控制解(jie)決方(fang)案(an);

2、NACC的串行模(mo)式(shi)也可以完全替(ti)代網關準入控制解(jie)決(jue)方案。

802.1x準入控制

802.1X協議是一種基于端口的網絡接入控制協議。基于端口的網絡接入控制,是指在局域網接入設備的端口這一級對所接入的用戶設備進行認證和控制。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源,支持多網絡廠商,可在網絡交換機和無線AP上實現。

802.1X認證系統使用EAP來實現客(ke)(ke)戶(hu)端、設備(bei)端和認證服務器(qi)之間認證信息(xi)的交換。在客(ke)(ke)戶(hu)端與設備(bei)端之間,EAP協議(yi)報(bao)文使用(yong)EAPOL封(feng)裝(zhuang)格式,直接承載于LAN環境中;在設備端與RADIUS服務器(qi)之(zhi)間,可以使用兩(liang)種(zhong)方式(shi)來交(jiao)換信息:一(yi)種(zhong)是EAP協議報文由設(she)備端進行中繼,使用EAPOR封裝格式承載(zai)于RADIUS協議中;另一種(zhong)是EAP協議報文由設備端進行終結,采(cai)用包(bao)含PAPCHAP屬性的(de)報文與RADIUS服(fu)務器進(jin)行認證交互。

Cisco EOU準入控制

Cisco EOU架構的特點:與網絡設備緊密集成的準入控制;多種類型的網絡設備均支持準入控制;接入認證統一用Radius來(lai)控制,擴(kuo)展、管理方便;Cicso EOU是一個準入控(kong)制架構(gou)(gou)平臺(tai),目(mu)的(de)是讓其它廠商在此平臺(tai)上構(gou)(gou)建用戶的(de)桌(zhuo)面安(an)全管理系統;Cisco EOU本(ben)身不提(ti)供(gong)準入控制以(yi)外的功能與特(te)性,例如:補丁管理、軟件(jian)分發(fa)等。Cisco EOU實(shi)現準入控制的三種(zhong)方式:NAC-L2-802.1xNAC-L2-IPNAC-L3-IP

Leagsoft NACC準入控制

NACC是聯軟科技擁有自主知識產權的硬件準入控制設備,基于EAP over UDP協議,專為解(jie)決(jue)非802.1X網絡環境(jing)下的網絡準(zhun)入控(kong)制(zhi)問題。NACC有兩種工作模式(shi)。

第(di)一(yi)種(zhong),策略路由模式:

策略路(lu)(lu)由(you)(you)(you)(you)(you)是(shi)一種(zhong)比(bi)基(ji)于目標(biao)網(wang)絡進行路(lu)(lu)由(you)(you)(you)(you)(you)更(geng)加靈(ling)活的(de)數(shu)據包路(lu)(lu)由(you)(you)(you)(you)(you)轉(zhuan)發機制。應用了策略路(lu)(lu)由(you)(you)(you)(you)(you),路(lu)(lu)由(you)(you)(you)(you)(you)器將通過路(lu)(lu)由(you)(you)(you)(you)(you)圖決定(ding)如何對需要路(lu)(lu)由(you)(you)(you)(you)(you)的(de)數(shu)據包進行處(chu)理,路(lu)(lu)由(you)(you)(you)(you)(you)圖決定(ding)了一個數(shu)據包的(de)下(xia)一跳轉(zhuan)發路(lu)(lu)由(you)(you)(you)(you)(you)器。

 

第二種,端口鏡像模式:

端口(kou)鏡像(portMirroring)把交換機一(yi)個或多個端(duan)口(kou)(VLAN)的數據鏡像到(dao)一個或多(duo)個端(duan)口的方法。

NACC為了解決非802.1X網絡環境準入,適用如下場景:

1、接入層(ceng)網絡環境復雜,HUB設備(bei)數量多且(qie)不易管理;

2、網(wang)絡交換(huan)機只(zhi)支持端口鏡像環境;

3、支持(chi)企(qi)業VPN接入;支持(chi)無線(xian)、有線(xian)等復雜網絡環境;

4、支(zhi)持特(te)殊網絡環境:MPLS VPN多域;

5、支(zhi)持一臺設備同時(shi)支(zhi)持多個(ge)隔(ge)離(li)網接(jie)入;

6、支持NAT接入檢測(ce)。

--------以下技術,只是Agent強(qiang)制安裝(zhuang)技術,不(bu)屬(shu)于真(zhen)正的(de)準入控制技術----------

DHCP準入(ru)控制

終端連接(jie)到網絡時(shi),DHCP服務(wu)器給終(zhong)端分配(pei)一個(ge)臨時(shi)的(de)IP和路由(you),使得終端(duan)只能訪問(wen)有限的資(zi)源,終端(duan)通過安(an)全檢查之后,重新(xin)獲取一個IP,此時可以正常訪問網絡,DHCP類型(xing)不是(shi)真正意義上的(de)準入控制(zhi),MicrosoftNAP最初采用此(ci)解決方(fang)案,NAP后來又支持802.1x, IPsec等。

ARP干擾準入控制

通過ARP干擾(rao)實現準入控制(zhi),制(zhi)造IP地址沖(chong)突,技術(shu)實(shi)現(xian)簡(jian)單;利用(yong)了ARP協(xie)議(yi)本(ben)身的一些缺(que)陷,終端可(ke)以通過自行設置(zhi)本(ben)機(ji)的路由、ARP映射等(deng)繞開ARP準入(ru)控制(zhi);無需(xu)調整網絡結構,需(xu)要在(zai)每個網段設置ARP干擾(rao)器;過(guo)多(duo)的ARP廣播包(bao)會給(gei)網(wang)絡帶來諸多性能(neng)、故障問題,國內部(bu)分小廠商(shang)支持,適合(he)小型網(wang)絡。

常見(jian)的網(wang)絡準(zhun)入控制技(ji)術對比表

產品類別

管(guan)控能力及范圍(wei)

優勢

劣勢(shi)

802.1X

高,管控(kong)到內(nei)網入口

1.802.1x是(shi)一(yi)個(ge)國際標準,多(duo)個(ge)廠商支(zhi)持
2.通過動(dong)態VLAN切換(huan),實現對不(bu)安全終端的隔(ge)離
3.不會(hui)影響網(wang)絡的性能

1.只有通過LAN接入才(cai)能做準入控制(zhi),VPN/Wirelesss不行

2.許多網絡(luo)交換機、HUB不支(zhi)持802.1x協議(yi)
3.許多無線AP支持802.1x,但是不支持(chi)動(dong)態(tai)VLAN切換
4.不(bu)同廠(chang)商(shang)在802.1x協(xie)議(yi)實現上有差別,存(cun)在兼容性問題

Cisco EOU

高,管(guan)控到內網入口

1.支持交(jiao)換機、路由器、VPN多種類型設備等等

2.允(yun)許(xu)設置例外,如網絡打(da)印機(ji)
3.通過(guo)ACL動態下載,可以實現非常(chang)精確(que)的(de)資源訪問,針對(dui)不(bu)(bu)同(tong)的(de)終(zhong)端、不(bu)(bu)同(tong)的(de)用戶可以訪問不(bu)(bu)同(tong)的(de)網絡(luo)資源
4.用戶違反安全管理規(gui)定時,網絡(luo)設備對其HTTP訪問重定(ding)向;重定(ding)向URL可(ke)以在Radius服(fu)務器上設(she)置
6.不影響網絡的(de)可靠性、性能(neng)等,在邊緣(yuan)接(jie)入或(huo)者(zhe)匯聚層進行準入控制

1.Cisco的解決(jue)方案,其它(ta)廠商網絡設備不(bu)支持
2.必須(xu)安裝(zhuang)CTA ?? Cisco Trust Agent
3.要結合(he)其(qi)它(ta)的(de)安全廠商(shang)才能(neng)做更多的(de)功(gong)能(neng),例如防(fang)病毒(du),安全補丁(ding),資產管理,安全行為管理

NACC

高(gao),管控到內網(wang)入口(kou)

1.路(lu)由(you)模式:屬(shu)于限制(zhi)認(ren)證方式(shi),認(ren)證不(bu)通過則限制(zhi)訪(fang)問(wen),管控非常全面,支持雙機熱(re)備

2.端口鏡像模式:全旁路模式(shi),無網(wang)絡(luo)瓶(ping)頸、網(wang)絡(luo)故障風險,零網(wang)絡(luo)  改造

3.NAT模式(shi):全旁(pang)路(lu)模(mo)式(shi),能(neng)夠將分支結構中(zhong)NAT環境下的客(ke)戶(hu)端設備通過一(yi)種強制手(shou)段安裝(zhuang)安全助手(shou),彌補之前無法(fa)管理NAT下終端(duan)設備的情況,可區分多種(zhong)認證狀(zhuang)態

4.網橋模式:對網(wang)絡(luo)的修改(gai)較(jiao)小,支(zhi)持Bypass功能

1.路由模式:
要(yao)求(qiu)核(he)心網絡設備支(zhi)持策略路由功能,增加(jia)網絡拓撲的復雜性
2.端口鏡像模式:
端口鏡像(xiang)一般不能跨網絡設(she)備,負載過大會導致交換機丟(diu)包,非完(wan)全控制認證方式,支持TCP
3.NAT模式
依賴客(ke)戶(hu)端(duan)安(an)全助手的網絡插(cha)件

4.網橋模式

單(dan)點故障

網絡瓶頸

網(wang)關類(lei)準入

中,網關(guan)之下無法管控

1.網(wang)絡設備、網(wang)絡結(jie)構沒有(you)關(guan)系

2.部署相對比(bi)較簡(jian)單

1.可靠(kao)性問(wen)題,如(ru)果設備發生故障(zhang),怎么辦?
2.性能(neng)問題,終端的所有網(wang)絡訪(fang)問都要經(jing)過網(wang)關,如(ru)果數(shu)據中心(xin)有很多服務器,要求網(wang)關必須有非常高的性能(neng);
3.安全性問(wen)題,終(zhong)端之(zhi)間的(de)訪問(wen)沒有控制,非(fei)法接入(ru)的(de)終(zhong)端可以(yi)干擾、影響其它的(de)終(zhong)端;

DHCP

中(zhong)高(gao),適合小型網(wang)絡

1.網絡兼容性(xing)好,一體(ti)化DHCP準入控制產(chan)品實施(shi)較為方便

2.費(fei)用低,通過更換DHCP服務器軟件(jian)即(ji)可實現

1.不適用(yong)于大(da)規(gui)模網絡
2.用戶如果(guo)手工設置IP,可以繞開準入控制(zhi)
3.終端如果感染(ran)ARP廣播病(bing)毒,可以繼續(xu)破壞網絡

ARP干擾

弱,單個網(wang)段(duan)管控

技術簡單,實現成(cheng)本低

1.在網(wang)絡上(shang)產生ARP廣(guang)播,可能會(hui)影(ying)響網絡的正常運(yun)行
2.要求在每個網(wang)段部署(shu)一個干擾(rao)器
3.通過設置靜態ARP映射等方法(fa),可以被繞過

聯軟準入控制與其他廠商的對比

選擇聯軟準入(ru)(ru)控制,不單是做設備入(ru)(ru)網的(de)接(jie)入(ru)(ru)管控,更是搭(da)建一個全(quan)方位安全(quan)防護體(ti)系的(de)基礎,在技術高速發(fa)展和業務靈活多(duo)變的(de)今天(tian),讓選擇更有選擇!

 

最新動態

  • 不影響終端辦公平滑替換微軟AD,聯軟XCAD助推上港貨分國產化進程

  • 一帶一路國家信息安全管理研修班到訪聯軟魔方 深化國際技術交流與合作

熱門推薦