准入控制(NAC)技术调研
1. NAC分类
根据美国著名调研机构Gartner研究,他们把所有的NAC厂家、技术统一做了归类与分析,提出了三个NAC技术框架的理论:
1、基于端点系统的架构–Software-base NAC;主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;主要是各个网络设备厂家和部分桌面管理厂商,采用的是802.1X、PORTAL、EOU等技术。
3、基于应用设备的架构—Appliance-base NAC;主要是专业准入控制厂商,如ForeScout、盈高科技、Sysgate SNAC。采用的是策略路由、MVG、VLAN控制等技术。
综观这三种框架的进化与发展:
1、现在完全基于Software-base的架构,范围及控制力度有限,目前已不被用户接纳;
2、而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,但是对网络设备要求高。部署比较困难。
3、现在国外比较新兴的是采用Appliance-base 架构的NAC设备,这种NAC设备对网络设备的种类、型号几乎无要求。不需要安装任何客户端,大大降低部署难度的同时可以达到很好控制力度。是目前市场认可度比较好的NAC方案。
2. Appliance-based架构准入控制技术
策略路由联动
策略路由模式,要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能。交换机通过策略路由的将报文定向到网络接入控制系统,经由网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的。
另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从而保证网络业务的可持续运营。
Vlan联动
Vlan准入控制基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN, 切换为可信VLAN,正常上网。
端口联动
基于SNMP技术获取交换机的端口列表以及端口下的mac地址列表。通过发送SNMP报文的形式,阻断某个MAC对应的交换机端口。
ACL联动
向交换机下发ACL规则,要求交换机支持ACL配置。
TCP RST
通过向网络发送tcp rst报文,阻断指定tcp会话。
3. Forscout调研
阻断机制
Forscout的支持和交换机、路由器、防火墙、VPN、无线接入点等联动。
分为三个程度:通知(Notify),确认(Conform),阻断(Restrict)
通知技术:发送email, syslog等
确认技术:设置访客网络,交换机不同权限的VLAN,无线用户角色等
阻断技术:交换机端口联动,交换机ACL联动,防火墙联动,VLAN联动等
发现机制
4. 盈高科技调研
基础架构生成 shaping infrastructure
ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。
观测 observation
ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施 policy implement
ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理 evaluation & management
ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
准入控制(NAC)技术调研相关推荐
- 网络准入控制-NAC
病毒.蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱.生产率和机会.与此同时,移动计算的普及进一步加剧了威胁.移动用户能够从家里或公共热点连接互联网或办公室网络 - 常在无意中 ...
- 局域网流量控制_基于软件定义的网络准入控制体系
引 用 本 文 邓永晖,周佳,鹿文杨.基于软件定义的网络准入控制体系[J].通信技术,2020,53(04):970-975.DENG Yong-hui,ZHOU Jia,LU Wen-yang. N ...
- 网络准入控制产品发展
一.准入控制技术综述 网络准入控制产品出现已经有近20年的历史,从最早的基于终端软件控制实现准入控制到当前基于应用设备实现准入控制,可以分为三个时代. 1.基于端点系统的架构–Software-bas ...
- 准入控制 打造安全“黄金甲”
网络应用种类日益增多,病毒和黑客入侵比比皆是,准入控制技术因此成为终端管理的热门话题,它将被动防御变为主动防御,能有效加强终端安全管理,减少网络事故. 准入控制技术目前成为终端管理的热门话题,采用准入 ...
- HCIE-datacom | 网络准入控制
一.前言 之前提供网络技术咨询服务时,有一位实习生同学向我咨询了有关网络准入的相关情景,在这里我结合华为HCIE-datacom中"网络准入控制"这一节等相关资料,对网络准入技术进 ...
- 体重控制补品行业调研报告 - 市场现状分析与发展前景预测
体重控制补品市场的企业竞争态势 该报告涉及的主要国际市场参与者有Amway.Herballife.Pfizer Consumer Healthcare.Nature's Bounty.General ...
- 碱度控制化学品行业调研报告 - 市场现状分析与发展前景预测
出版商:贝哲斯咨询 获取报告样本: 企业竞争态势 该报告涉及的主要国际市场参与者有Schlumberger Limited.Accepta.IXOM.ChemTreat.GE Corporation. ...
- 好用的用户准入控制管理系统
企业网络的安全应当从终端管理和网络准入两个方面入手,本产品主要解决对接入到企业网络的终端设备的鉴权管理,只有被信任的终端设备才可以入网,达到整体网络安全的目的.通过本产品可以实现对非法设备阻断其连接, ...
- 湖仓一体技术调研(Apache Hudi、Iceberg和Delta lake对比)
湖仓一体技术调研(Apache Hudi.Iceberg和Delta lake对比) 作者:程哥哥.刘某迎 .杜某安.刘某.施某宇.严某程 1 引 言 随着当前的大数据技术逐步革新,企业对单一的数 ...
最新文章
- 虚拟机上SourceInsight访问Linux系统的代码
- 201421410040 张运焘 实验一
- 安装仪表盘控件Iocomp会遇到的几个常见问题
- mac下androidStudio 运行模拟器出现:
- C语言已知二进制码求循环码,循环码系统与非系统编码的C语言实现
- Kotlin学习笔记(3)- 语法
- 【转】Web API项目中使用Area对业务进行分类管理
- oracle+技术面试,Oracle面试问题 技术篇
- Linux磁盘分区/格式化/挂载目录
- 8848Android 版本,【8848钛金手机M5评测】拍照配置保持Android阵容顶配堆积_8848 钛金手机M5_手机评测-中关村在线...
- 文化学刊杂志文化学刊杂志社文化学刊编辑部2022年第3期目录
- 第4章第20节:异形图表:使用子母饼图制作人员组成表 [PowerPoint精美幻灯片实战教程]
- (原创)修改BIOS让华硕Z87-A老主板支持NVMe硬盘启动(采坑实录)
- 面试官:为啥需要枚举?枚举有什么作用?怎么用枚举实现单例?
- 【新2023Q2模拟题JAVA】华为OD机试 - 预订酒店
- 电话薄程序java程序实现
- MySQL_启动_Windows
- spyder快捷键大全
- (附源码)springboot 在线考试系统 毕业设计461317
- 当页面有缓存 路由传参无法更新试图
热门文章
- python 写入文件编码_使用Python写入文本文件时的编码问题
- JavaScript垃圾回收
- 分层架构、六边形架构、CQRS架构模式解读
- html百分比单位,视窗单位 vs 百分比单位
- mysql小鲸鱼_杀死一只小鲸鱼
- 计算机怎么取消u盘启动程序,计算机设置U盘自动启动程序| U盘自动播放设置
- ssm整合oracle分页,java实现ssm分页工具类及其使用方法
- python列表json_python-带有列表的JSON_normalize JSON文件包含字...
- android emulator培训,android emulator(未完)
- itextpdf添加表格元素_itext生成pdf文件-表格