怎么确诊是白癜风 http://pf.39.net/bdfyy/bdfhl/150627/4646098.html准入控制NAC概述
随着计算机技术和网络通信技术的发展.应用越来越复杂,计算机终端不再是我们传统意义上理解的“终端”它不仅是网线连接的PC,还包括手机.PAD各种新的移动设备。这些各种终端给信息安全工作带来了巨大的挑战:多种类型,以各种方式访问;它是大多数事物的起点和来源:用户登录和访问网络的起点.是用户访问Internet的起点.它是应用系统访问和数据生成的起点.更是病*攻击.恶意攻击和内部保密数据盗窃或盗窃的来源。因此,终端安全管理对每个企业都非常重要。只有通过完善的终端安全管理,我们才能真正从源头上控制各种事件的开始.遏制内网发起的攻击和破坏。
在内网安全管理中,访问控制是实现所有终端管理功能的基础。访问控制技术可以积极监控桌面计算机的安全状态和管理状态,隔离不安全的计算机.修复。防火墙等准入控制技术和传统网络安全技术.防病*技术的结合,将被动防御转化为主动防御,有效促进内网合规建设,减少网络事故。
网络准入控制技术制技术
网关准入控制
在接入终端和网络资源(如服务器/互联网出口)之间设置网关。只有通过网关的验证和检查,终端才能访问网关背后的资源;事实上,网关接入控制只是防火墙功能的扩展,可以认为是网络接入控制的一种特殊形式。许多传统的防火墙制造商提供这种解决方案。
注:
1.CiscoNAC的NAC-L3-IP路由器可作为网关完全替代网关准入控制解决方案;
2.NACC串行模式也可以完全取代网关准入控制解决方案。
.1x准入控制
.1X该协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制是指在局域网接入设备的端口水平上对接入的用户设备的认证和控制。如果连接到端口的用户设备能够通过认证,则可以访问局域网中的资源;如果不能通过认证,则不能访问局域网中的资源,支持多网络制造商,可以在网络交换机和无线AP上实现。
.1X使用认证系统EAP实现客户端.设备端与认证服务器之间的认证信息交换。EAP使用协议报文EAPOL包装格式,直接承载LAN环境;设备端和RADIUS可以用两种方式交换服务器之间的信息种是EAP协议报告由设备端中继,使用EAPOR包装格式承载RADIUS协议;另一种是EAP协议报告由设备端终止,包括PAP或CHAP属性报文和RADIUS服务器进行认证交互。
CiscoEOU准入控制
CiscoEOU结构特点:与网络设备紧密集成的准入控制;各类网络设备均支持准入控制;统一使用接入认证Radius控制、扩展.管理方便;CicsoEOU目的是让其他厂商在这个平台上建立用户的桌面安全管理系统;CiscoEOU补丁管理本身不提供准入控制以外的功能和特性,如补丁管理.软件分发等。CiscoEOU实现准入控制的三种方法:NAC-L2-.1x,NAC-L2-IP,NAC-L3-IP
LeagsoftNACC准入控制
NACC基于自主知识产权的联软科技硬件准入控制设备EAPoverUDP该协议旨在解决非.1X网络准入控制问题在网络环境中。NACC工作模式有两种。
一是战略路由模式:
战略路由是一种比基于目标网络的路由更灵活的数据包路由转发机制。应用战略路由,路由器将决定如何通过路由图处理需要路由的数据包,路由图决定了数据包的下一个跳转转发路由器。
二是端口镜像模式:
端口镜像(portMirroring)交换机一个或多个端口(VLAN)数据镜像到一个或多个端口的方法。
NACC为了解决非.1X以下场景适用于网络环境准入:
1.接入层网络环境复杂,HUB设备数量多,不易管理;
2.网络交换机只支持端口镜像环境;
3.支持企业VPN支持无线.复杂的网络环境,如有线;
4.支持特殊网络环境:MPLSVPN多域;
5.支持一台设备和多个隔离网接入;
6.支持NAT接入检测。
--------只有以下技术Agent强制安装技术不是真正的准入控制技术----------
DHCP准入控制
当终端连接到网络时,DHCP服务器临时分配给终端IP和路由,使终端只能访问有限的资源,终端通过安全检查,重新获得一个IP,此时可以正常访问网络,DHCP类型不是真正意义上的准入控制,Microsoft的NAP本解决方案最初采用,NAP后来又支持.1x,IPsec等。
ARP干扰准入控制
通过ARP干扰实现准入控制,制造IP地址冲突,技术简单;使用ARP协议本身的一些缺陷,终端可以设置自己的路由.ARP映射等绕开ARP访问控制;无需调整网络结构,需要在每个网段设置ARP过多的干扰器ARP广播包会给网络带来很多性能.国内一些小厂商支持故障问题,适合小网络。
