网络准入与控制概述
NAC (Network Access Control) 这一概念最早由思科发起,后续Juniper、华为、联软、北信源等多家厂商根据此概念,不断发展新兴技术并完善相关标准。网络准入控制产品出现至今将近20年历史,其宗旨是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害。借助网络准入控制技术,可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络,而未经授权的终端不能接入。
网络准入与控制通常有4种准入控制:
a.802.1x准入控制
802.1x的准入控制的优点是在交换机支持802.1x协议的时候,802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机,必须重新更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。
b.DHCP准入控制
DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。
c.网关型准入控制
网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制,而只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。
d.MVG准入控制
其前身是思科公司的VG(虚拟网关)技术。但是该技术仅能支持思科公司相关设备。受该技术的启发,国内某些公司开发了MVG(多厂商虚拟网关)技术。该技术可以支持市场上几乎所有的交换机设备。
e.ARP型准入控制
ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。
准入控制能够在用户访问网络之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况。因为笔记本电脑等移动计算设备在工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
网络准入与控制重要性
随着计算机技术和网络通信技术的发展、应用的日趋复杂,计算机终端已不再是传统意义上我们所理解的“终端”,它不仅是网线所连接的PC,还包括手机、PAD等各类新式的移动设备。这些形形色色的终端给信息安全工作带来了巨大挑战:类型众多,以各种方式接入。并且是大部分事物的起点和源头,是用户登录并访问网络的起点、是用户访问Internet的起点、是应用系统访问和数据产生的起点、更是病毒攻击、从内部发起恶意攻击和内部保密数据盗用或失窃的源头。
因此,终端安全管理对每个企业来说都极其重要,只有通过完善的终端安全管理才能够真正从源头上控制各种事件的启始、遏制由内网发起的攻击和破坏。
在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。
网络准入与控制类型
硬件网络准入与控制类型
软件网络准入与控制类型
软硬一体网络准入与控制类型
产品功能
身份认证
提供严格的身份认证功能,支持多种认证方式,并可混合使用,极大增加了身份认证的多样性与灵活性,根据实际情况,自由选择。
入网规范管理
系统对接入网络的员工以及设备进行规范管理,有效规范员工日常行为,内置多种行业标准库模板,方便行业用户使用。
健康监测
系统将对入网设备进行健康检测,可以自动检测并修复终端存在的安全风险,同时根据终端的健康级别进行不同等级的处理。
移动介质管理
系统提供移动存储介质管理功能,对接入的存储型介质,例如U盘、移动硬盘等进行管控,防止移动介质的随意接入。
补丁管理
系统提供专业强大的补丁库,对补丁按不同级别分类管理以及进行细致的策略下发,专业补丁维护,快速更新。
软件分发
系统提供软件分发功能,可以根据需要自行定义需要安装的软件,进行统一分发,并提供多种软件分发策略。
设备管理
支持对笔记本、台式机以及平板电脑、手机等多种设备进行管理,同时对网络内无线路由器以及NAT设备接入进行严格管控。
非法外联
系统支持非法外联,针对内网连接、拨号上网以及3G移动上网等进行管控,防止用户进行非法外联,对内网安全造成隐患。
网络访问控制
支持笔记本、台式机以及平板电脑、手机等多种设备进行管理,同时可以对使用权限进行动态授权,便捷准确地进行网内设备管理。
资产管理
系统实时感知终端系统软硬件配置属性信息,支持各类条件进行动态资产信息查询,对资产进行统计分析。
拓扑发现
系统支持交换机到终端计算机的网络拓扑管理功能,能够自动绘制出网络拓扑图,可准确显示真实的网络拓扑,并对终端及网络设备进行管理。
报表审计
系统提供详细日志以及报表,对员工以及设备的行为进行审计记录,并形成统一报表,针对终端安全情况进行排行统计。
部署方式
串联部署
旁路部署
暂无评论内容