一、准入控制技术综述
网络准入控制产品出现已经有近20年的历史,从最早的基于终端软件控制实现准入控制到当前基于应用设备实现准入控制,可以分为三个时代。
1、基于端点系统的架构–Software-base NAC;最早的NAC控制产品采用此类技术,主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术。此阶段可以认为还没有形成完整的准入控制产品,基本上是终端安全产品的附送功能。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;当前主流的准入控制产品基本上采用此类技术。主要是各个网络设备厂家和部分桌面管理厂商,采用的是802.1X、PORTAL、EOU等技术。
3、基于应用设备的架构—Appliance-base NAC;随着网络设备的发展,新出现的准入技术,主要是专业准入控制厂商引领了准入控制技术的发展,采用的是策略路由、MVG、VLAN控制等技术。
综观这三种框架的进化与发展:
1、现在完全基于Software-base的架构,范围及控制力度有限,目前已不被用户接纳;
2、而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,但是对网络设备要求高。部署比较困难。
3、现在国外比较新兴的是采用Appliance-base 架构的NAC设备,这种NAC设备对网络设备的种类、型号几乎无要求。不需要安装任何客户端,大大降低部署难度的同时可以达到很好控制力度。是目前市场认可度比较好的NAC方案。
当前市场上主流的准入控制产品基本上均支持Infrastructure-base的架构和Infrastructure-base的架构。
本文章不对Software-base NAC技术做介绍,主要介绍Infrastructure-base NAC和Appliance-base NAC相关技术。
二、Infrastructure-base