常见的网络准入控制方式详细对比

2017-10-09 14:50:00 作者:专题 分类 : 比特网

  准入控制NAC概述

  随着计算机技术和网络通信技术的发展、应用的日趋复杂,计算机终端已不再是传统意义上我们所理解的“终端”,它不仅是网线所连接的PC,还包括手机、PAD等各类新式的移动设备。这些形形色色的终端给信息安全工作带来了巨大挑战:类型众多,以各种方式接入;并且是大部分事物的起点和源头:是用户登录并访问网络的起点、是用户访问Internet的起点、是应用系统访问和数据产生的起点、更是病毒攻击、从内部发起恶意攻击和内部保密数据盗用或失窃的源头。因此,终端安全管理对每个企业来说都极其重要,只有通过完善的终端安全管理才能够真正从源头上控制各种事件的启始、遏制由内网发起的攻击和破坏。

  在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。

  常见的网络准入控制技术

  网关准入控制

  在接入终端和网络资源(如:服务器/互联网出口)之间,设置一个网关,终端只有通过网关的验证和检查后,才能访问网关后面的资源;实际上网关准入控制只是防火墙功能的一个扩展,可以认为是网络准入控制中的一种特殊形式,绝大多少传统的防火墙厂商都提供该类解决方案

  注:

  1、Cisco NAC的NAC-L3-IP解决方案可以用路由器作为网关完全替代网关准入控制解决方案;

  2、NACC的串行模式也可以完全替代网关准入控制解决方案。

  802.1x准入控制

  802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制,是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源,支持多网络厂商,可在网络交换机无线AP上实现。

  802.1X认证系统使用EAP来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中;在设备端与RADIUS服务器之间,可以使用两种方式来交换信息:一种是EAP协议报文由设备端进行中继,使用EAPOR封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端进行终结,采用包含PAP或CHAP属性的报文与RADIUS服务器进行认证交互。

  Cisco EOU准入控制

  Cisco EOU架构的特点:与网络设备紧密集成的准入控制;多种类型的网络设备均支持准入控制;接入认证统一用Radius来控制,扩展、管理方便;Cicso EOU是一个准入控制架构平台,目的是让其它厂商在此平台上构建用户的桌面安全管理系统;Cisco EOU本身不提供准入控制以外的功能与特性,例如:补丁管理、软件分发等。Cisco EOU实现准入控制的三种方式:NAC-L2-802.1x,NAC-L2-IP,NAC-L3-IP

  Leagsoft NACC准入控制

  NACC是联软科技拥有自主知识产权的硬件准入控制设备,基于EAP over UDP协议,专为解决非802.1X网络环境下的网络准入控制问题。NACC有两种工作模式。

  第一种,策略路由模式:

  策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。

  第二种,端口镜像模式:

  端口镜像(portMirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。

  NACC为了解决非802.1X网络环境准入,适用如下场景:

  1、接入层网络环境复杂,HUB设备数量多且不易管理;

  2、网络交换机只支持端口镜像环境;

  3、支持企业VPN接入;支持无线、有线等复杂网络环境;

  4、支持特殊网络环境:MPLS VPN多域;

  5、支持一台设备同时支持多个隔离网接入;

  6、支持NAT接入检测。

  --------以下技术,只是Agent强制安装技术,不属于真正的准入控制技术----------

  DHCP准入控制

  终端连接到网络时,DHCP服务器给终端分配一个临时的IP和路由,使得终端只能访问有限的资源,终端通过安全检查之后,重新获取一个IP,此时可以正常访问网络,DHCP类型不是真正意义上的准入控制,Microsoft的NAP最初采用此解决方案,NAP后来又支持802.1x, IPsec等。

  ARP干扰准入控制

  通过ARP干扰实现准入控制,制造IP地址冲突,技术实现简单;利用了ARP协议本身的一些缺陷,终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制;无需调整网络结构,需要在每个网段设置ARP干扰器;过多的ARP广播包会给网络带来诸多性能、故障问题,国内部分小厂商支持,适合小型网络。

  常见的网络准入控制技术对比表

  联软准入控制与其他厂商的对比

说明: http://www.leagsoft.com/attachedfile/image/20160810/20160810091149_44832.jpg

  选择联软准入控制,不单是做设备入网的接入管控,更是搭建一个全方位安全防护体系的基础,在技术高速发展和业务灵活多变的今天,让选择更有选择!

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。