网络安全准入技术——NAC

最新推荐文章于 2024-08-13 22:28:01 发布

原创最新推荐文章于 2024-08-13 22:28:01 发布

· 2k 阅读

25 ·

版权

文章标签：

#web安全 #网络 #安全 #windows #网络安全 #学习 #podman

本文介绍了NAC技术的三种主要架构：基于端点的Software-base、基于网络设备的Infrastructure-base和新兴的Appliance-base。Appliance-base因其部署简便、控制力强而受到市场青睐。文章还详细阐述了Appliance-base架构中的策略路由、VLAN联动等技术，并以Forscout和盈高科技为例，展示了阻断和发现机制的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. NAC分类
根据美国著名调研机构Gartner研究，他们把所有的NAC厂家、技术统一做了归类与分析，提出了三个NAC技术框架的理论：
1、基于端点系统的架构–Software-base NAC;主要是桌面厂商的产品，采用ARP干扰、终端代理软件的软件防火墙等技术。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;主要是各个网络设备厂家和部分桌面管理厂商，采用的是802.1X、PORTAL、EOU等技术。
3、基于应用设备的架构—Appliance-base NAC;主要是专业准入控制厂商，如ForeScout、盈高科技、Sysgate SNAC。采用的是策略路由、MVG、VLAN控制等技术。

综观这三种框架的进化与发展：
1、现在完全基于Software-base的架构，范围及控制力度有限，目前已不被用户接纳;
2、而大多数网络设备厂商现在主要推崇Infrastructure-base的架构，但是对网络设备要求高。部署比较困难。
3、现在国外比较新兴的是采用Appliance-base 架构的NAC设备，这种NAC设备对网络设备的种类、型号几乎无要求。不需要安装任何客户端，大大降低部署难度的同时可以达到很好控制力度。是目前市场认可度比较好的NAC方案。

2. Appliance-based架构准入控制技术
策略路由联动
策略路由模式，要求网络基础设施的核心设备（例如核心交换机）支持策略路由功能。交换机通过策略路由的将报文定向到网络接入控制系统，经由网络接入控制系统针对终端的可信程度进行认证和判定后，采用丢弃或者正常转发到原路由下一跳的。
另外，大多数支持策略路由的核心设备同时也支持逃生模式，核心设备在确认策略路由的下一跳不可达的情况下，可以按照策略配置自动选择原有默认路由，从而保证网络业务的可持续运营。

Vlan联动
Vlan准入控制基于VLAN（Virtual Local Area Network）和SNMP（Simple Network Management Protocol ）两种技术，在VLAN环境中，把设备接入的VLAN分为可信VLAN和不可信VLAN，判断对应设备是否通过认证：未通过，则通过SNMP Write，将对应设备所接交换机端口所处VLAN，切为不可信VLAN，以后，该设备再访问网络，将会被重定向，直至认证通过后，虚拟网关才将其所处VLAN, 切换为可信VLAN，正常上网。

端口联动
基于SNMP技术获取交换机的端口列表以及端口下的mac地址列表。通过发送SNMP报文的形式，阻断某个MAC对应的交换机端口。

ACL联动
向交换机下发ACL规则，要求交换机支持ACL配置。

TCP RST
通过向网络发送tcp rst报文，阻断指定tcp会话。

3. Forscout调研
阻断机制

Forscout的支持和交换机、路由器、防火墙、VPN、无线接入点等联动。
分为三个程度：通知（Notify），确认(Conform)，阻断(Restrict)
通知技术：发送email, syslog等
确认技术：设置访客网络，交换机不同权限的VLAN，无线用户角色等
阻断技术：交换机端口联动，交换机ACL联动，防火墙联动，VLAN联动等

发现机制

4. 盈高科技调研

基础架构生成 shaping infrastructure
ASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。
观测 observation
ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。
策略实施 policy implement
ASM6000在前期大量安全视图的基础上，提供网络接入各种认证和控制手段，并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。
评估与管理 evaluation & management
ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据，可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。