1. NAC分类

根据美国著名调研机构Gartner研究，他们把所有的NAC厂家、技术统一做了归类与分析，提出了三个NAC技术框架的理论：
1、基于端点系统的架构–Software-base NAC;主要是桌面厂商的产品，采用ARP干扰、终端代理软件的软件防火墙等技术。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;主要是各个网络设备厂家和部分桌面管理厂商，采用的是802.1X、PORTAL、EOU等技术。
3、基于应用设备的架构—Appliance-base NAC;主要是专业准入控制厂商，如ForeScout、盈高科技、Sysgate SNAC。采用的是策略路由、MVG、VLAN控制等技术。

综观这三种框架的进化与发展：
1、现在完全基于Software-base的架构，范围及控制力度有限，目前已不被用户接纳;
2、而大多数网络设备厂商现在主要推崇Infrastructure-base的架构，但是对网络设备要求高。部署比较困难。
3、现在国外比较新兴的是采用Appliance-base 架构的NAC设备，这种NAC设备对网络设备的种类、型号几乎无要求。不需要安装任何客户端，大大降低部署难度的同时可以达到很好控制力度。是目前市场认可度比较好的NAC方案。

2. Appliance-based架构准入控制技术

策略路由联动

策略路由模式，要求网络基础设施的核心设备（例如核心交换机）支持策略路由功能。交换机通过策略路由的将报文定向到网络接入控制系统，经由网络接入控制系统针对终端的可信程度进行认证和判定后，采用丢弃或者正常转发到原路由下一跳的。
另外，大多数支持策略路由的核心设备同时也支持逃生模式，核心设备在确认策略路由的下一跳不可达的情况下，可以按照策略配置自动选择原有默认路由，从而保证网络业务的可持续运营。

Vlan联动

Vlan准入控制基于VLAN（Virtual Local Area Network）和SNMP（Simple Network Management Protocol ）两种技术，在VLAN环境中，把设备接入的VLAN分为可信VLAN和不可信VLAN，判断对应设备是否通过认证：未通过，则通过SNMP Write，将对应设备所接交换机端口所处VLAN，切为不可信VLAN，以后，该设备再访问网络，将会被重定向，直至认证通过后，虚拟网关才将其所处VLAN, 切换为可信VLAN，正常上网。

端口联动

基于SNMP技术获取交换机的端口列表以及端口下的mac地址列表。通过发送SNMP报文的形式，阻断某个MAC对应的交换机端口。

ACL联动

向交换机下发ACL规则，要求交换机支持ACL配置。

TCP RST

通过向网络发送tcp rst报文，阻断指定tcp会话。

3. Forscout调研

阻断机制

Forscout的支持和交换机、路由器、防火墙、VPN、无线接入点等联动。
分为三个程度：通知（Notify），确认(Conform)，阻断(Restrict)
通知技术：发送email, syslog等
确认技术：设置访客网络，交换机不同权限的VLAN，无线用户角色等
阻断技术：交换机端口联动，交换机ACL联动，防火墙联动，VLAN联动等

发现机制

4. 盈高科技调研

基础架构生成 shaping infrastructure
ASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。
观测 observation
ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。
策略实施 policy implement
ASM6000在前期大量安全视图的基础上，提供网络接入各种认证和控制手段，并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。
评估与管理 evaluation & management
ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据，可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。

准入控制(NAC)技术调研相关推荐

网络准入控制－NAC
病毒.蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱.生产率和机会.与此同时,移动计算的普及进一步加剧了威胁.移动用户能够从家里或公共热点连接互联网或办公室网络 - 常在无意中 ...
局域网流量控制_基于软件定义的网络准入控制体系
引用本文邓永晖,周佳,鹿文杨.基于软件定义的网络准入控制体系[J].通信技术,2020,53(04):970-975.DENG Yong-hui,ZHOU Jia,LU Wen-yang. N ...
网络准入控制产品发展
一.准入控制技术综述网络准入控制产品出现已经有近20年的历史,从最早的基于终端软件控制实现准入控制到当前基于应用设备实现准入控制,可以分为三个时代. 1.基于端点系统的架构–Software-bas ...
准入控制打造安全“黄金甲”
网络应用种类日益增多,病毒和黑客入侵比比皆是,准入控制技术因此成为终端管理的热门话题,它将被动防御变为主动防御,能有效加强终端安全管理,减少网络事故. 准入控制技术目前成为终端管理的热门话题,采用准入 ...
HCIE-datacom | 网络准入控制
一.前言之前提供网络技术咨询服务时,有一位实习生同学向我咨询了有关网络准入的相关情景,在这里我结合华为HCIE-datacom中"网络准入控制"这一节等相关资料,对网络准入技术进 ...
体重控制补品行业调研报告 - 市场现状分析与发展前景预测
体重控制补品市场的企业竞争态势该报告涉及的主要国际市场参与者有Amway.Herballife.Pfizer Consumer Healthcare.Nature's Bounty.General ...
碱度控制化学品行业调研报告 - 市场现状分析与发展前景预测
出版商:贝哲斯咨询获取报告样本: 企业竞争态势该报告涉及的主要国际市场参与者有Schlumberger Limited.Accepta.IXOM.ChemTreat.GE Corporation. ...
好用的用户准入控制管理系统
企业网络的安全应当从终端管理和网络准入两个方面入手,本产品主要解决对接入到企业网络的终端设备的鉴权管理,只有被信任的终端设备才可以入网,达到整体网络安全的目的.通过本产品可以实现对非法设备阻断其连接, ...
湖仓一体技术调研(Apache Hudi、Iceberg和Delta lake对比)
湖仓一体技术调研(Apache Hudi.Iceberg和Delta lake对比) 作者:程哥哥.刘某迎 .杜某安.刘某.施某宇.严某程 1 引言随着当前的大数据技术逐步革新,企业对单一的数 ...

准入控制(NAC)技术调研