来自当知百科
跳转到: 导航搜索

目录

1. 网络准入控制(NAC)的需求与挑战

简介

  准入控制能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。

  瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。

NAC 的作用

  NAC 的作用是检查设备的“状态”。终端NAC代理(CTA)可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。

NAC的主要优点

  NAC的主要优点包括:

  a.控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;

  b. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,对终端准入进行主机健康检查。

2. 网络准入控制(NAC)技术介绍

a. NAC系统组件

  网络准入控制主要组件有:

  。终端安全检查软件

  。网络接入设备(接入交换机和无线访问点)

  。 策略/AAA服务器

  终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。

  网络接入设备 —实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。

  策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。

b. NAC系统基本工作原理

  当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后,策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。

3. 网络准入控制(NAC)部署方案

  要部署NAC方案,需要安装上面提到的所有NAC系统组件。在企业中,通常网络已拥有终端和网络接入设备。只需要再部署策略/AAA服务器。

4. 目前几种常见的网络准入控制方法

  目前通常有4种准入控制:

  a。802.1x准入控制

  b。DHCP准入控制

  c。网关型准入控制

  d。ARP准入控制

  802.1x的准入控制的优点是在交换机支持802.1x协议的时候,802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机,必须重新更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。

  DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。

  网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制,而只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。

  ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。

5. 网络准入控制的展望

  随着网络应用的普及和云计算的兴起,网络准入控制会变得越来越重要。网络准入控制对保证网络边界完整,进行访问控制会起到重要的作用。

个人工具
名字空间

变换
查看
操作
导航
工具箱