相关热词搜索：
相关阅读：
? 10:01:13
? 09:25:50
? 10:39:48
? 10:00:45
? 13:45:25
? 11:11:49
? 14:28:45
? 10:54:26
? 14:09:27
? 10:27:08
2015年世界移动通信大会将于3月2日至3月5日，在西班牙巴...
　　美国国际消费类电子产品展览会（CES）由美国电子消...
免费获取革命性办公耳麦Jabra Evolve 80　
为解决中国金融机构在发展中所面临的新问题，文思海辉在...
点击排行&&&
电话：+86-10-，+86-10- 传真：+86-10- 投稿：
地址：北京市西城区新德街20号513室（100088）
网络110报警服务
京公网安备-1号四招教你如何挑选网络准入控制产品
四招教你如何挑选网络准入控制产品 - 北京市丰台网欢迎您---了解丰台区县首选678114丰台网|打造丰台一流网络媒体|新闻,旅游,文化,信息,娱乐,社会,图片,音乐 - 国联网
| 中国区县联盟网 全面整合地方资源 打造本地网络最大媒体 |
四招教你如何挑选网络准入控制产品
来源: 本站编辑
跟帖已关闭
&&&&浙江&()－－近来频发的重大网络安全事件引起了人们对网络安全问题的特别关注，特别是来自于网络内部的安全威胁开始受到重视。终端网络准入控制系统被越来越多的网络管理者纳入采购的日程表。&
&&&&由于网络准入控制系统本身的复杂性，面对国内外各种准入控制产品，应该如何才能进行有效的选择呢？在此提供以下四条黄金法则作为选择依据：&
&&&&一．高适应性，不惊动网络&
&&&&一般考虑到要部署准入控制系统的单位，信息化建设已经达到了一定高度，网络环境已经建设好，存在多种网络设备和复杂终端设备。作为网络准入控制系统的选择，要考虑产品是否支持多种入网强制技术，是否支持多样化的异构终端识别（如：智能手机、平板电脑、字符终端、网络打印机等），以适应各种复杂性的网络环境。所以选择准入控制产品必须能够适应用户多种多样的信息系统环境，准入控制系统厂商应该能够提供各种环境下的准入控制方案，尽量避免进行大范围的网络改造。&
&&&&二．框架先进，控制力强&
&&&&现在各种厂家介绍了很多种网络准入控制的技术解决方案，那么我们先要了解一下现行的网络准入控制框架都有哪些？他们分别有什么优缺点？网络准入控制未来的发展趋势是怎么样的？&
&&&&根据美国著名调研机构Gartner研究，他们把所有的NAC厂家、技术统一做了归类与分析，提出了三个NAC技术框架的理论：&
&&&&1、基于端点系统的架构--Software-base NAC；主要是桌面厂商的产品，采用ARP干扰、终端代理软件的软件防火墙等技术。&
&&&&2、基于基础网络设备联动的架构―Infrastructure-base NAC；主要是各个网络设备厂家和部分桌面管理厂商，采用的是802.1X、PORTAL、EOU等技术。&
&&&&3、基于应用设备的架构―Appliance-base NAC；主要是专业准入控制厂商，如ForeScout、盈高科技、Sysgate SNAC。采用的是策略路由、MVG、VLAN控制等技术。&
&&&&综观这三种框架的进化与发展，现在完全基于Software-base的架构，范围及控制力度有限，目前已不被用户接纳；而大多数网络设备厂商现在主要推崇Infrastructure-base的架构，可以促进他们网络设备的市场销售，但是对网络设备要求高，需要特定型号和厂家的设备。存在互相设置壁垒的问题；现在国外比较新兴的是采用Appliance-base 架构的NAC设备，这种NAC设备对网络设备的种类、型号几乎无要求，在降低部署难度的同时可以达到很好控制力度。&
&&&&目前市场认可度比较好的NAC方案，是Appliance-base NAC，即第三代准入系统架构。&
&&&&三．高可靠性，确保业务连续性&
&&&&用户一旦建成网络准入控制系统后，就意味着所有终端每天进入网络，都依赖于这套网络准入控制系统的解决方案。现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合的。软件系统通常安装在用户提供的服务器上，价格相对较便宜，但是性能和稳定性受限于服务器和操作系统；硬件系统由于采用了专用的硬件和操作系统，稳定性高，性能可控，但是价格通常较高。建议用户根据自身网络规模和网络重要性，进行合理的选择。&
&&&&另外选择无论哪种方案，一定要求有完善的逃生方案，具备“Fail-Open”模式，不存在单点故障。绝对不能因为网络准入控制系统的建设影响业务连续性，导致正常办公业务无法开展。&
&&&&四．配套服务完善，响应及时&
&&&&建设网络准入控制项目不同于部署网关型的产品，只部署在一点，需要进行改动时，仅仅对其一点进行改动就可以了。而网络准入控制系统的部署关系到网络中的每一台终端、每一个使用者，缺乏部署经验，盲目的进行部署，势必造成大范围的问题。因此要建设好网络准入控制的项目，一定需要有一个相关项目经验丰富，具有良好风险管理的专业技术服务团队支撑。&
&&&&在项目建设前期，需要能够规划出适合用户网络的准入控制解决方案。从安全、管理、项目建设成本、风险控制等方面都要有详细的计划。在项目实施时，需要有一套完整的项目建设计划与配套的项目管理制度。在项目运行后，一定要有及时响应的客服体系。技术服务水平的好坏在准入控制项目中尤为突出。&
&&&&实现内网安全的基础在于屏蔽一切不安全的设备和人员接入网络，并且规范用户接入网络的权限。只有选对合适的准入控制产品，对终端访问实行有效控制与管理，才能从源头上消除内网的安全威胁，让管理员高枕无忧。
免责声明：本文仅代表作者个人观点，与本站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
☆相关文章
没有任何相关文章查看:2349|回复：5
XYSP原创： 玩准入控制多年，不得不分享给大家一些准入控制技术方面的东西
NAC、网络准入控制、什么是网络准入控制、什么叫网络准入控制NAC 、有哪些准入控制技术、我们做准入控制应该知道什么、如何选择网络准入控制技术、 抛砖引玉，大家共勉
IT界说的&&准入控制 简单来说就是: 网络准入控制NAC，Network Access&&control的简称，有的也说是：端点准入控制、终端准入控制、网络准入控制、网络边界安全、接入认证、终端准入、NAC，等等反正叫法很多。
准入控制&&是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。
准入控制&&让接入你网络的每一个人，每个终端都具有合法性，合规性，是可信的。
主要是认证+授权，一般不设计计费（根据后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件）。
网络准入控制技术通常包括：
根据分类网络准入控制技术主要包含以下三大类：
1. 基于网络设备的准入控制技术：
802.1X 准入控制技术 ： IEEE 802.1X是IEEE制定关于用户接入网络的认证标准&&，二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；常用到EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；由于是IEEE标准所以被许多交换机厂家广泛支持，而且在国内许多的准入控制软件厂商中也得到广泛应用。但很遗憾的是很多软件厂商做得很差，客户端维护麻烦，还需要修改网卡属性。而且802.1X虽然是IEEE标准，但是各个交换机厂商在采用认证加密的算法可能不一样，很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的（兼容所有的厂商，而且部署简单的厂商是有的，很少而已）802.1X认证。
802.1X主要采用VLAN 动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权客户端。
802.1X目前的不足指出在于：由于是二层协议，同时802.1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透3层网络环境。而且在HUB的情况下.VLAN无法切换。更有很多厂商无法解决HUB环境认证的问题。
CISCO&&EOU 准入控制 技术： EAP OVER UDP ,是思科公司私有的准入控制技术；CISCO 3550 以上设备支持，传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的，当然不可能是仅限于此目的；EOU技术工作在3层，采用UDP封装，客户端开放UDP 21862 端口，&&由于是3层所以在很多地方比二层协议更灵活，如在灾备，设备例外，认证放行等特性上都较为灵活。
CISCO EOU 准入控制技术 ，同时分为二层EOU 和 三层EOU 即：IPL2,IPL3;两者不同的在于：2层EOU是指运行在交换设备上的（3层交换机也包括），2层EOU认证是靠ARP 和DHCP触发认证的，所以在客户端和认证网络设备之间Authenticator System（设备端）之间必须可以让ARP 和 DHCP包能够通过；3层的EOU&&L3IP_EOU，是工作在路由器上的，他是靠包转发来触发认证，所以支持各种接入环境，如果设备牛B的还可以支持NAT环境，NAT环境很少厂商能支持的。2层EOU和3层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术。
其实基于网络设备的准入控制技术才是真真的准入控制技术。
2. 基于网关设备的准入控制技术：
网关型准入控制 ：&&简单的来说是就是通过网络限制，网关认证等方式授权客户端访问网络。此方案一般由防火墙厂家推出，具有很多问题！如：&&网关型准入控制只控制了网络的出口，没有控制内网的边界接入。
主要特色是维护方便，无需调试下面的交换机，如果一个厂家采用了业界共用的技术开发的准入网关如EOU 技术，则可兼容其他准入控制系统，还是较好的，但是如果是厂家自己开发的什么认证协议，那都是忽悠，维护更加麻烦（注：不是每个厂家都这样）
网关式的准入控制选型我们必须注意以下几个方面：1，容灾性，网关挂了，谁都是吃不了兜着走的；2，认证并发数，大家上班不可能每天都等待准入认证，并发数必须要大，而且稳定；3.吞吐量足够，这个必须的网关；4.是否会改变你的网络结构？如果需要改变网络结构需要慎重。
3. 伪准入控制，假干扰性技术：
作为一位安全工作者，我必须把这些混淆他人试听的行为揪出来&&，以下技术由于漏洞多，无法解决根本问题
ARP型准入控制：&&通过ARP欺骗和干扰技术实现，互联网发展到今天，这个技术应该在2005年就要淘汰了。为什么？ARP欺骗和干扰本来就是病毒行为，后期会加重管理员的维护任务；而且在今天的技术下绕过这个准入简直是易如反掌，比如你装一个360安全卫士，直接拦截ARP攻击，轻松绕过，其他的方法我就不详谈了，在访客和授权的管理上缺陷很大，一般都部署不下去。
DHCP准入控制 ：看了上面的ARP技术，在来看看DHCP准入控制技术，你觉得靠谱吗？ NO；&&简单来说DHCP准入原理：设备接入，先给你一个临时IP和后台通讯检测你的合法性，合法在给你重新分配一个合法的IP地址正常办公。既然是这样，如果绕过大家都知道把？？？&&手工配置IP地址即可绕过。 或许有人会说可结合dhcp snooping等技术 ，试问大哥你想过没有？dhcp snooping 等其他技术&&不是每个交换机都支持的，只是个交换机的特性，非所有设备都支持，与其这样不如推荐802.1x，且DHCP耗竭攻击，这个目前交换机能防护的程度就是检查DHCP 消息中的SMAC和RMAC，可同时伪造两个MAC欺骗。
DHCP准入控制，由于需要动态地址分配，在许多保密场所和大型企业都是觉得使用的。后期的维护是相对的困难，最多只适合100台终端以下的环境使用。在解决打印机，特殊设备上有很大的缺陷，在防止伪造MAC,IP 上无防护手段相对于EOU技术和802.1X技术 漏洞较多。 在访客管理 和授权的管理上缺陷很大，&&一般厂家的DHCP准入控制还采用DHCP服务器与DHCP准入控制装置分离的控制方法 部署过程相当的艰难。ARP 和DHCP 都容易造成网络堵塞，不利于大型网络。
应用层准入：感觉更忽悠的味道，有很多中实现方式：如ISA和AD联动实现；还有一种比如在OA上装一个插件，大家都要访问OA，就必须装个客户端，否则无法访问，其实这个干扰，如果我不访问OA，我访问你的CRM,窃&&取客户信息你咋办？所以这很假。
小提示：准入控制，和桌面安全&&终端安全其实都属于网络边界安全，现在准入控制和桌面安全结合是主流趋势。所以大家还要注意准入和桌面的结合，我想谁喜欢简单的运维系统，如果装几个客户端在你电脑上，&&你是什么感觉？ 或者作为IT管理员 每个电脑要你去配置一边 你是什么感觉？不爽 呵呵。&&说到这里，后面跟帖时我会介绍到，选择怎样的一个产品，可以让我们上班抽抽烟，喝喝茶，不再成为救火员。
以上是个人对准入控制技术的浅解，欢迎鲜花！
有论坛中各位兄弟兄弟一再提到两个问题：
1. 无客户端准入和有客户端准入的问题。
2. 准入如何和终端安全管理做一个有效的结合。
我先来说一下无客户端准入：
优点：1.无需安装AGENT,部署快捷.
缺点：1.准入力度不够---大都在汇聚层或核心层面实现。
2.被渗透的可能性很大---很多设备考虑性能和认证的要求，对所经过其流量的控制只是抓去特定的数据包控制，其他数据包存在放行的嫌疑，而且如果采用的网页插件的方式，则可通过修改相应的HTTP请求进行破解，可轻松绕开所谓的准入控制；如果采用插件则还会带来插件升级，插件被清除，插件导致IE崩溃等现象给准入或以为带来很多不必要的麻烦。
3.认证触发存在很多问题---很多网关设备只能检测到特定的数据包后才能发起认证，如采用HTTP,QQ触发认证；当如果采用其他方式的时候比如C/S，此时将无法认证，网络不通，而且无任何提示。
4.认证触发存在很多问题---很多网关设备只能检测到特定的数据包后才能发起认证，如采用HTTP,QQ触发认证；当如果采用其他方式的时候比如C/S，此时将无法认证，网络不通，而且无任何提示。
客户端准入：
缺点：1.需安装AGENT,担心部署.&&//其实现在企业大多AD域，或借助行政手段（搞安全必备）+技术手段可轻松部署了。
2.担心客户软件的兼容性。 //不要担心也不用随意听信，厂家来了直接叫他给你举例出10个高端用户+3个 10000个点以上的案例，找个WIN7 32位、64位测试一把，甚至是LINUX&&X86,X64 测试一把，就知道真假了，真金不怕火炼，其他的不要废话。人家高端的都行，10000以上的终端运行稳定难道还不满足你嘛。
优点：1.准入力度大---可在接入层、汇聚层或核心层各个层面实现。
2.被渗透的几率小---既然有了软件那么认证过程总所检查的类容和加密的方式，我想不是被轻易得到的，也不是轻易能够破解的。
3.认证触发不受干扰--- 无论是C/S,B/S都不收到影响，客户端完成认证即可，对于不能装客户端的，准入控制强大的系统自由解决方案。
4. 可建立统一的终端桌面安全管理体系 ,从终端接入前，接入中，接入后都有安全防护措施；玩的更大一点可集准入控制、资产管理、终端安全、业务防泄露于一体&&，环环相扣，可谓是一个体系的建立，可将原有的网络访问控制上升为资源访问控制。
后面会更新添加CISCO ISE 思科身份服务引擎
让更多的人了解准入控制，让更多的人可以在选择准入控制时候规避风险，希望有你的付出---贴之精华，心之所向。
:D :lol :lol :lol :lol :lol :lol
助理工程师
很厉害的样子。。。学习了。。。
助理工程师
LZ联软软件怎么样？联软就是结合桌面管理、防泄密、准入的一款安全软件；他的准入支持：802.1X、思科 EOU、无代理准入；
条理清晰，学习了，多谢分享。
看网上说盈高准入很NB的样子，楼主为啥没说策略路由这种模式呢，看盈高主要是策略路由跟MVG准入，很高大上的样子呀！准入控制_行业标准制定者-盈高科技官网-网络准入_网络准入控制行业领先
版权所有 (C)