常见的网络准入控制技术对比表

 

 

产品类别	管控能力及范围	优势	劣势
802.1X	高，管控到内网入口	1.802.1x是一个国际标准，多个厂商支持 2.通过动态VLAN切换，实现对不安全终端的隔离 3.不会影响网络的性能	1.只有通过LAN接入才能做准入控制，VPN/Wirelesss不行 2.许多网络交换机、HUB不支持802.1x协议 3.许多无线AP支持802.1x，但是不支持动态VLAN切换 4.不同厂商在802.1x协议实现上有差别，存在兼容性问题
Cisco EOU	高，管控到内网入口	1.支持交换机、路由器、VPN多种类型设备等等 2.允许设置例外，如网络打印机 3.通过ACL动态下载，可以实现非常精确的资源访问，针对不同的终端、不同的用户可以访问不同的网络资源 4.用户违反安全管理规定时，网络设备对其HTTP访问重定向；重定向URL可以在Radius服务器上设置 6.不影响网络的可靠性、性能等，在边缘接入或者汇聚层进行准入控制	1.Cisco的解决方案，其它厂商网络设备不支持 2.必须安装CTA ̶̶ Cisco Trust Agent 3.要结合其它的安全厂商才能做更多的功能，例如防病毒，安全补丁，资产管理，安全行为管理
NACC	高，管控到内网入口	1.路由模式：属于限制认证方式，认证不通过则限制访问，管控非常全面，支持双机热备 2.端口镜像模式：全旁路模式，无网络瓶颈、网络故障风险，零网络  改造 3.NAT模式：全旁路模式，能够将分支结构中NAT环境下的客户端设备通过一种强制手段安装安全助手，弥补之前无法管理NAT下终端设备的情况，可区分多种认证状态 4.网桥模式：对网络的修改较小，支持Bypass功能	1.路由模式： 要求核心网络设备支持策略路由功能，增加网络拓扑的复杂性 2.端口镜像模式： 端口镜像一般不能跨网络设备，负载过大会导致交换机丢包，非完全控制认证方式，支持TCP 3.NAT模式 依赖客户端安全助手的网络插件 4.网桥模式 单点故障 网络瓶颈
网关类准入	中，网关之下无法管控	1.网络设备、网络结构没有关系 2.部署相对比较简单	1.可靠性问题，如果设备发生故障，怎么办？ 2.性能问题，终端的所有网络访问都要经过网关，如果数据中心有很多服务器，要求网关必须有非常高的性能； 3.安全性问题，终端之间的访问没有控制，非法接入的终端可以干扰、影响其它的终端；
DHCP型	中高，适合小型网络	1.网络兼容性好，一体化DHCP准入控制产品实施较为方便 2.费用低，通过更换DHCP服务器软件即可实现	1.不适用于大规模网络 2.用户如果手工设置IP，可以绕开准入控制 3.终端如果感染ARP广播病毒，可以继续破坏网络
ARP干扰	弱，单个网段管控	技术简单，实现成本低	1.在网络上产生ARP广播，可能会影响网络的正常运行 2.要求在每个网段部署一个干扰器 3.通过设置静态ARP映射等方法，可以被绕过