概念
网络准入控制——Network Access Control 以下简称NAC。是关于安全防御技术的新概念。NAC面向的是终端设备,如果说防火墙是建立在内网和外网间的一堵城墙(下面这张),
那么我们可以说NAC就是终端和内网间的一堵高墙(下面这张),
NAC的运行逻辑
引言:任何接入网络的终端设备都可能成为网络攻击的发起者
1、任何想要进到内网的终端,默认是不安全的设备。
2、NAC通过对接入的终端进行安全性评估,符合安全要求的就放行,不符合安全要求的就拦截。实现对终端设备的属性、在线状态以及流量的掌握和控制。
网络威胁背景
针对威胁的情景,思考NAC存在的意义
- 恶意软件潜藏终端设备,设备接入后恶意软件窥视内网资源,上报重要数据甚至对数据私自篡改,导致企业机构经济损失严重。
- 终端来源不可知,木马感染终端接入内网、黑客接入内网进行攻击都将威胁内网的信息资产安全,令企业遭受惨重代价。
- 政府、大型国营/民营企业 内联网(Intranet)覆盖面大,内网环境复杂,一旦内联网受不法终端入侵信息系统遭受破坏,产生的经济和社会影响相当巨大,甚至可以影响到群众的日常生活。
终端存在的威胁
无论有意无意,带来威胁的永远不是工具,是人。
1、资产管理失控。人为了终端使用得心应手,发明了各类拓展设备,但硬件拓展也为终端接入提供了接入点。这些接入点被恶意的人利用就会成为进入内网的一个捷径,若这些心思不纯的神秘捣蛋鬼想搞事情,那内网环境是不得安宁了。
2、外部非法接入带来的安全隐患。当我们浏览一些神秘网站、下载一些奇奇怪怪的软件或者使用盗版破解工具,都存在感染病毒的风险,当我们又用这些设备接入企业网络就可能无意中将这些病毒扩散开来,若此时内网其他终端补丁/病毒库许久没有更新过,就为这些病毒的进一步扩散提供了机会,这将为企业内网带来持续性、灾难性的破坏。
3、违规外联。一些企业内部网络终端是纯内网环境,不允许上外网的,但是防不胜防,总有一些机灵鬼通过给内网终端接上双网卡、无线网卡来连接外部网络上网,这种行为相当于直接打通了外网人员对内网终端访问的一条路,若外网黑客沿着这条路进入到内网终端,那么内网资源对于黑客而言就是透明的了,至于是否会造成大规模灾难性事件,那就得看黑客心情了。
1072
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
