网络准入控制方式与对比_第1页
网络准入控制方式与对比_第2页
网络准入控制方式与对比_第3页
网络准入控制方式与对比_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、终端安全之准入控制保障内网合规(技术对比)随着网络应用的日趋复杂,计算机终端已不再是传统意义上我们所理解的终端”它不仅是内网中网线所连接的PC机,更是网络中大部分事物的起点和源头一一是用户登录并访问网络的起点、是用户透过内网访问In ternet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此,也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。在内网安全管理中,准入控制是所有终端管理功能实现的基础所在, 采用准入控制技术 能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑

2、隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。目前的准入控制技术主要分为两大类:基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有 EAPOL(Exte nsible Authe nticatio n Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。1.基于网络的准入控制EAPOLEAP是Extensible Authentication

3、 Protocol的缩写,EAP最初作为 PPP的扩展认证协议,使PPP的认证更具安全性。无线局域网兴起后,人们在无线局域网接入领域引入了EAP认证,同时设计了专门封装和传送EAP认证数据的IEEE 802.1X协议格式。802.1x协议除了支持WLAN夕卜,也支持传统的其他局域网类型,比如以太网、 FDDI、Token Ring。EAP 与802.1x的结合就是 EAPOL(EAP Over LAN),或者称为 EAP over 802.1x。作为一种标 准局域网的数据包协议, 802.1X几乎得到所有网络设备厂商的支持。EAPOL不仅能用来解决终端电脑身份认证的问题,也可以用来认证电脑的安

4、全状态。在进行身份认证的同时,顺便”检查终端电脑的安全状态,并能根据认证状态设置端口状态,动态切换VLAN,或者下载ACL列表。因为802.1X协议被网络厂商广泛支持,所以EAPOL是支持范围最广的网络准入技术。EAPOL的优点是它可以做到最严格的准入控制,控制点是网络的接入层交换机,最接近终端电脑,对不符合策略的电脑可以完全禁止其访问任何网络,使其对网络的危害最小。EAPOL除了需要网络设备支持以外,还需要一系列相关配套的软件,比如Cisco的NAC、H3C的EAD、启明星辰的天珣内网安全风险管理与审计系统等。EAPOU网络准入的概念是由 Cisco普及的,Cisco的NAC除了包含前面讨论

5、的 EAPOL ,还有 EAPOU(EAP Over UDP)。与EAPOL国际标准协议不同的是,EAPOU 是Cisco的专有协议,即独家技术。EAPOU是Cisco NAC 技术的第一个实现版本,2003年最早在Cisco的路由器上实现,后来在 Cisco的3层交换机上也实现了 EAPOU 。EAPOL是在网络接入层 进行准入控制,而 EAPOU则是在网络的汇聚层或核心层进行准入控制。EAPOU的工作原理是当支持 EAPOU的汇聚层设备接收到终端设备发来的数据包时, 汇聚层EAPOU设备将要求终端设备进行 EAP认证。EAP认证包封装在 UDP包内,在EAP 认证的内容中,身份认证其实并不

6、重要,重要的则是安全状态认证。如果安全状态不符合企 业策略,汇聚层 EAPOU设备将从策略服务器上下载 ACL,限制不安全的客户端的网络访 问,并对其进行修复。EAPOU技术的优点是它对网络接入设备要求不高,因而覆盖面较高;而且汇聚层设备一般明显少于接入层设备,因此部署相对要容易一些。目前支持EAPOU的设备只有Cisco的路由器和3层交换机,相关配套的系列软件为 NAC。2.基于主机的准入控制如果用户的网络设备不支持网络准入, 或不想花费太多的部署和管理时间, 还可以进行 基于主机的准入控制。 在此处主机是指网络中除网络设备之外的电脑主机,包括服务器和电脑终端。基于主机的准入控制最大特点就是

7、容易部署。系统及应用准入是在服务器的操作系统上安装准入控制软件,当电脑终端访问服务器 时,准入控制软件会检查对方的安全状态,如果符合策略则允许访问,如果不符合将拒绝对方的访问,并给出相关提示。而客户端准入控制是终端相互之间进行访问时,安装在终端上的软件也会检查对方的安全状态。基于主机的准入控制点一般安装在代理服务器、邮件服务器、内网 Web服务器、DNS服务器上或DHCP服务器上。这些服务器是企业内部员工最 常访问的服务器,因此准入效果较好,覆盖面广。实际部署时,一般只需在一到两个服务器上部署控制点即可做到对全局的准入控制。基于主机的准入控制优点首先是容易部署,一般网络准入配置起来都较复杂,不

8、同型号的设备的配置都各不相同,如果网络规模较大, 配置的工作量极其巨大,而基于主机的准入控制只需要在对应的主机上安装一个软件,相对而言容易得多。第二是适应性好、覆盖面广、不依赖任何网络设备的支持,可有效保护企业已有的投资。第三是对网络性能没有影响,基 于网络的准入控制在运行时会根据客户端的认证状态和安全状态改变自己的状态,比如 VLAN切换和动态ACL加载,这或多或少都将影响设备或网络的性能,特别是在大规模网 络环境下,这一点不能忽视。 基于主机的准入控制将其控制分散到每个终端和主机上,终端的状态变化对网络没有任何影响。第四是其访问控制功能是所有方案中最强的,基于主机的准入控制能够做到基于进程

9、的访问控制,以及基于进程的带宽管理,因此对蠕虫、木马的防治就能更加积极主动。基于主机的准入控制的缺点主要是控制强度较弱,系统及应用准入控制点处于企业网络的核心,远离终端,而客户端准入依赖于网络中已经广泛部署的客户端。目前采用基于主机的准入控制技术的产品主要有微软的NAP、启明星辰的天珣内网安全风险管理与审计系统等。作为内网终端计算机的信息中心和管理平台,启明星辰天珣内网安全风险管理与审计系统全面的多层准入控制机制构建出完善的内网安检”系统,支持包含802.1X协议、EOU协议的网络准入控制、支持在 DHCP、DNS、EXCHANGE 等服务器上配置策略网关的应用 准入控制,在通过以上二种认证准

10、入机制合法进入内网的终端之间,还可以进一步进行客户端准入控制,目前更可支持与启明星辰天清汉马USG 体化安全网关(UTM)的防火墙联动准入控制。利用多种准入控制模式的有机组合,天珣能够各取所长、协同防御,引领了内网 安全管理模式的变革,改变了以被动的、以事件驱动”为特征的传统内网安全管理模式,全面提升内网安全防护级别和准入控制能力,帮助用户构建起安全可信的合规内网。人的身体也是一个风水宝地。你的心念,你的所想所思,内在的情志,从你的外在,展现的淋漓尽致。你内心是不安,还是从容,都会从你的言语和行为中展现出来,所以人身体的本身就是一个风水场,它又是一个强大的磁场,吸引和抵御着好与坏的事物。人身体内在的机体,在儒家思想里以仁、义、礼、智、信来表述。佛家的思想中被阐述为,地、 水、火、风。老子;以道、天、地、王来表述。你的四大平稳和合,你身体的风水就为上乘风水,散发的都是好的能量,你的四大不合,就为差风水,散发出来的就是坏的能量。真正的好风水,好人生,其实就是我们内心的高贵。在这个世界上,内心的高贵比物质的高贵更加宝贵。富是物质的拥有,没有精神的高贵,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论