准入控制
准入控制
准入控制是網路准入控制(NAC)的簡稱。准入控制是指對網路的邊界進行保護,對接入網路的終端和終端的使用人進行合規性檢查。
目錄
什麼是准入控制
准入控制是實名制ID網路准入控制(NAC)的簡稱。准入控制是指對網路的邊界進行保護,對接入網路的終端和終端的使用人進行合規性檢查。准入控制這一概念是由思科發起、後續由聯軟、華為、北信源等多家信息安全廠商根據此概念,在基於NACC、802.1x、EOU、WebAuth、MAB、IAB的基礎上進行自主研發的一門新興技術。其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害,為企業建設一套網路安全體系。
准入控制希望到達的目標是:
1.不安裝客戶端、不改變網路結構就對接入網路邊界的人進行認證和授權。
3.劃分安全域、防止私改IP、根除ARP、非法IP/MAC監測並阻斷,對接入網路的終端進行合規性檢查。
4.支持DHCP准入控制、網路邊界維護,全網可視可控,符合等保要求。
常見網路准入控制技術 網路准入控制技術通常包括: 1.802.1x准入控制 2.DHCP准入控制 3.網關型准入控制 4.ARP型准入控制 802.1x准入控制介紹 802.1x准入控制的設計強調對交換機埠的控制。但與網路兼容性較差。在用戶使用終端接入前,會將終端隔離在隔離VLAN中。只有在進行完身份認證后,才將終端改放在應屬的VLAN中。當802.1x准入技術要求交換機必須支持802.1x。當埠下掛Hub或普通交換機的情況下,則無法實現對非法人和終端的VLAN隔離。 DHCP准入控制介紹 DHCP准入控制與現有網路兼容性較好。但一般廠家的DHCP准入控制採用DHCP伺服器與DHCP准入控制裝置分離的控制方法,實施較難。一些廠家採用一體化DHCP准入控制,能夠很好地解決802.1x和普通DHCP准入控制的問題。網關型准入控制介紹 網關型准入控制實際上不是一種真正意義上的准入控制。因為網關型准入控制只控制了網路的出口,沒有控制內網的邊界接入。 ARP型准入控制介紹 ARP型准入控制是用ARP欺騙和ARP攻擊對不合規的終端進行攻擊,達到對網路邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火牆的終端沒有作用。另外,ARP的攻擊會造成網路堵塞,不利於大型網路。