准入控制厂商技术比较

1、WORD格式PAGE1 / NUMPAGES11随着安全思想不断深入，和安全形势的不断变化，内网安全成为市场讨论的热点，而作为能有效解决内网安全的桌面准入技术，自然成为安全厂商竞相投入大批人力物力的方向，因而现有桌面准入市场的产品层出不穷，如何摘要合适的桌面准入产品成为信息管理人员的一个难题，撰写本文的目的，就是以本人的角度，谈谈我对桌面准入产品的理解，希望对大家有所帮助，欢迎大家讨论。安全准入的思想首先有cisco提出，而后得到全球X围内IT厂商的一致相应，进而各大厂商也竞相推出自己的安全准入产品，具体分类如下：1网络设备厂商：CISCONACH3CEADHUAWEISECOSPACEJUN

2、IPER2信息提供商：microsoftNAPsynamticSEP3桌面管理提供商landesk北信源联软宝信盈高本文讨论的X畴亦在上述产品中。其他产品不在本文讨论访问内下面先给出实现安全准入的常见手段：1802.1x技术（内嵌agen）t-在支持802.1x认证的网络设备上，使用EAPOVERLAN协议，对client的身份做验证，来确保进入授信网络的主机可信性。此种实现方式，准入强度最高，但是对接入层设备要求有对802.1x支持能力，同时对不支持802.1x条件下的设备，用户控制力度较弱。同时传统的802.1x技术，无法对终端做安全状况的检查。只是实现对用户身份验证。2AGENT+802

3、.1x技术-在支持802.1x认证的网络设备上，使用EAPOVERLAN协议，传递数据到radius，对终端的身份做验证，用户身份得到验证同时，通过agent传送终端的安全状况的信息到posture终端安全管理中心，检查终端安全状况是否符合要求，只允许同时符合身份验证和安全可信的终端接入到授信网络中。此种实现方式：准入强度最高，同时结合终端安全信息检查的功能，是现有技术最成熟的实现方式，3ciscoNAC技术-ciscoNAC技术准确的来说是技术集合，从现有的情况来看，包括传统的NAC技术-NACframework和新兴的NAC技术-NACapplianceNACframework技术-A80

4、2.1x技术-特指支持802.1x的cisco所有设备使用ciscoCTAagent+802.1x可实现第2点的所用功能。适用环境-所有环境BNAC-l2-ip-特指支持ciscoNAC技术的l2层设备，35-37-45-65平台。使用支持NAC技术的l2设备，同时使用ciscoCTAagent，采用动态ACL下发到l2设备，来达到类似802.1x端口管理的功能。也可实现第2点的功能适用环境-campus园区等l2接入环境，CNAC-L3-IP-特指支持ciscoNAC技术的l3设备，28-36-38-37等平台。使用支持NAC技术的l2设备，同时使用ciscoCTAagent，采用动态ACL

5、下发到l3设备，来达到类似802.1x端口管理的功能。亦可实现第2点的功能适用环境-远程VPN用户和l3接入用户管理NACappliance-实现方式有L2和l3，同时将非cisco设备的网络设备，纳入ciscoNAC管理X围。配合ciscoCCAagnet+ciscoCAM设备，亦可实现第2点的功能。ANACIB-此时接入网络设备-为支持vlan管理trunk的可网管设备即可，并非一定是cisco网络设备此时要求所有网络流量从ciscoCAM设备通过，此时AGENT传送终端的身份和安全状况给CAS设备，由CAS设备来检查是否符合要求，进而由CAM使用vlan跳转技术，保证授信终端进入授信vl

6、an，进而达到安全准入的机制，即使通过验证，所有的网络依然从CAM设备通过。BNACOOB-此时网络设备为支持ciscoSNMPtrap管理的设备，对比NACframework，设备只要为中低端的cisco设备即可。使用cisco特有的协议，来验证和检查终端的身份和安全状况，此时所有的流量从CAM通过，此时AGENT传送终端的身份和安全状况给CAS设备，由CAS设备来检查是否符合要求，进而由CAM使用vlan跳转技术，保证授信终端进入授信vlan，进而达到安全准入的机制，通过验证后，所有流量不再从ciscoCAM设备通过。H3cJuniperHW等网络设备，使用类似第2点的NACframewo

7、rk技术，来实现安全准入公共，唯一不同的就是对应802.1x设备为各自厂商设备4桌面管理厂商实现方式现有桌面管理厂商对安全准入技术支持，有以下常见的方式：1类似第2点的AGENT+802.1x方式，与第2点所述一致2使用AGENT+非802.1x设备-此时，agent使用普通的IP协议，发送身份和安全状况信息给策略管理中心，由管理中心判定终端是否符合安全要求，此时控制准入，完全依赖于agent的软件底层控制能力，与网络设备无关。此种情况下：对agent的底层开发能力要求较高，实现准入强度，完全依赖于软件agent，同时由于网络设备端口，始终处于开放状态，有潜在的安全隐患。无法实现未安装agen

8、t的终端管理功能。3使用agent+非802.1x设备+无agent管理设备-此时类似4中第2点实现方式，只是各物理网段旁路部署无agent管理设备，此设备用于实现未安装agent的终端重定向功能和实现非授权终端禁止X围网络的功能。完善4中第2点遇到的问题。此类无agent设备旁路部署-多实现arp干扰技术，来实现管理。此时准入强度和效果，完全依赖软件本身，而管理效果，则依赖与无agent管理设备。4使用agent+非802.1x设备（SNMPtrap管理）选+无agent管理设备在4中第3点遇到主要问题，还是在于ARP干扰技术，对现有网络环境有影响，某些特殊环境和复杂环境，不适合，也是采用类

9、似于CISCOapplicance技术OOB原来，使用SNMP技术，对接入网络设备的端口进行控制，达到安全准入的机制。此时对软件厂商软件开发技术和网络设备兼容性要求较高，但是实现准入强度较高，可以与第2点媲美。5microsoftNAP技术Microsoft实现方式；有2种1传统的xp终端等+802.1x设备此种实现方式，类似于第2点2使用windows2008+SCCM2007管理软件，实现安全准入管理使用方式依然是2种：A结合802.1x设备技术实现，此时也类似第2点B对于接入设备不支持802.1x设备，microsoft使用DHCPenhancement来实现无agent的管理。DHCP

10、enhancement实现原理为：无论终端是否是合法终端，通过dhcp分配到访客vlan，通过验证分配到对应的vlan，实现为未安装agent的终端的网络X围控制。Dhcpenhancement技术实际为未安装agent的终端的管理，作用类似arp干扰技术。对应已经安装agent的终端，通过GPO结合SCCM策略管理器，实现安全策略和身份验证。7landesk桌面管理套件Landesk实现方式：1结合802.1x-类似第2点2DHCPenhancenment-类似微软实现方式3ipsecenhancement-类-似微软ipsec管理通道，要求2个端点都开启landesk的信任代理证书，来确保

11、身份，来达到身份验证准入和状态检测的机制。4与ciscoNAC技术配合-具体说是nacframework技术配合。要求cisco要求设备。6symantec的SEP技术Symantec的SEP技术，结合symantec的杀毒软件SEPagent和安全管理中心，实现方式1Lanenforcement,symantec术语，其实就是与802.1x设备，结合，实现方式类似第2点功能2与dhcpenhancement，来实现未安装agent终端的管理，类似第6点中微软第2小点原理3gatewayenforcement-串行部署在要保护或者线路主干上面，使得要穿越的流量必须通过设备，从而达到安全准入的目

12、的的。4self-enforcement-symantec术语，其实就是只是通过agent来实现终端的安全准入机制，实现方式类似于第4点中的第2点。5web-enforcement(on-demandprotection)其,实就是针对web应用，特定划出的方式，实现方式类似检查安装active插件来实现webclient的安全性的检查。至于具体实现，类似与microsoft的工作原理，上面主要介绍啦常见安全准入产品的工作原理：总结下：1配合802.1.x-没有问题，成熟方案-实现效果最好，网络准入控制依赖网络设备为安装agent的终端，无法接入网络，2无802.1x设备-安装agent，实现终端安装准入检查，此时网络准入控制安全依赖-软件自身，效果依赖于软件开发功力。未安装agent的客户端，依然可接入网络，如何实现具体控制依赖厂商实现方式，而且是实现正式意义上的准入控制的功能，必须依赖加装部署无agentment管理设备旁路部署1DHCPenhancement2ARP干扰技术3snmptrap设备管理能力Inline：部署那么自然能控制，不依赖方式，只用1NACapplicanceIB部署方式2gatewayenhancem