网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病d和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
据2005CSI/FBI安全报告称,虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病d、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。
机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
显然,仅凭传统的安全解决方案无法解决这些问题。所以就开发出了将领先的防病d、安全和管理解决方案结合在一起的全面的安全解决方案,以确保网络环境中的所有设备都符合安全策略。
NAC允许您分析并控制试图访问网络的所有设备。通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施),机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
虽然大多数机构都使用身份管理及验证、授权和记帐(AAA)?机制来验证用户并为其分配网络访问权限,但这些对验证用户终端设备的安全状况几乎不起任何作用。
如果不通过准确方法来评估设备状况,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。
1、帮助确保所有的用户网络设备都符合安全策略,从而大幅度提高网络的安全性,不受规模和复杂性的影响。通过积极抵御蠕虫、病d、间谍软件和恶意软件的攻击,机构可将注意力放在主动防御上(而不是被动响应)。
2、通过著名制造商的广泛部署与集成来扩展现有思科网络及防病d、安全性和管理软件的价值。
3、检测并控制试图连接网络的所有设备,不受其访问方法的影响(如路由器、交换机、无线、违禁词和拨号等),从而提高企业永续性和可扩展性。
4、防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。
5、降低与识别和修复不符合策略的、不可管理的和受感染的系统相关运行成本。
通常有5种准入控制:
1、802.1x准入控制
802.1x的准入控制的优点是在交换机支持802.1x协议的时候,802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机,必须重新更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。
2、DHCP准入控制
DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。
3、**型准入控制
**型准入控制不是严格意义上的准入控制。**型准入控制没有对终端接入网络进行控制,而只是对终端出**进行了控制。同时,**型准入控制会造成出口宕掉的瓶颈效应。
4、MVG准入控制
其前身是思科公司的VG(虚拟**)技术。但是该技术仅能支持思科公司相关设备。受该技术的启发,国内某些公司开发了MVG(多厂商虚拟**)技术。该技术可以支持目前市场上几乎所有的交换机设备。
5、ARP型准入控制
ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病d。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。
NAC的主要优点包括:
①控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;
②利用网络和防病d投资——NAC将网络基础设施中的现有投资与防病d技术结合在一起,对终端准入进行主机健康检查。
③控制力度强——通常采用在网络层面上的隔离、修复区方法。在终端接入网络访问业务数据之前就可以进行相应的控制。
平常学习工作中,你对哪块技术感兴趣呢?欢迎大家在留言区互动交流,我们也会挑选大家感兴趣的技术点来分享。
关于安全方面的认证,小编推荐大家可以考取CISP-PTE渗透测试工程师认证,IE-LAB网络实验室去年的全部学员都通过了考试拿到证书,所以通过率上,大家根本不用担心!后台可领取课程大纲~
IELAB网络实验室技术分享,转载需注明出处
学网络,就在IELAB 国内著名网络工程师培养基地
本文来自投稿,不代表商川网立场,如若转载,请注明出处:http://www.sclgvs.com/peixun/44377.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。