本文介绍了网络准入控制的发展历程,从早期基于软件的解决方案,到基于基础设施的802.1X和EOU技术,再到现代Appliance-base架构的策略路由和MVG技术。强调了各代技术的特点、优缺点和市场接受度。
前几天发现了一篇介绍网络准入控制的文章,写的很详细,给大家安利下。
1. 网络准入控制产生的原因
早先大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户的接入合法性、并且能够为其分配网络访问权限,但是对于接入用户终端设备的安全状况一无所知。如果不通过准确方法来评估设备状况,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。
而网络准入控制,早期被称之为终端接入控制,最早由CISCO在2002年提出,目前该技术可与传统的网络安全技术如防火墙、防病毒技术结合,可通过身份认证、终端安全检查、访问控制等多个功能模块,实现对接入网络的终端进行全面的安全检测,防止感染病毒、木马、蠕虫或其它不合法的终端进入网络后对企业造成危害,将被动防御变为主动防御,有效促进内网合规建设,减少网络事故。
2. 网络准入控制的架构演进
第一代:基于软件的架构–Software-base NAC;
主要是桌面厂商产品,采用ARP干扰、终端代理软件的软件防火墙等技术。
2.1 ARP干扰技术
通过ARP干扰实现准入控制,制造IP地址冲突;实际上是利用了ARP协议本身的一些缺陷,终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制;国内部分小厂商支持,适合小型网络。
优点:技术实现简单;无需调整网络结构
缺点:设置路由、ARP映射等后,需在各个网段设置ARP干扰器;过多的ARP广播包会给网络带来诸多性能
最低0.47元/天 解锁文章
扫一扫
2667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
