準入控制

準入控制是網路準入控制(NAC)的簡稱。準入控制是指對網路的邊界進行保護,對接入網路的終端和終端的使用人進行合規性檢查。

什麼是準入控制

準入控制是實名制ID網路準入控制(NAC)的簡稱。準入控制是指對網路的邊界進行保護,對接入網路的終端和終端的使用人進行合規性檢查。準入控制這一概念是由思科發起、後續由聯軟、華為、北信源等多家信息安全廠商根據此概念,在基於NACC、802.1xEOU、WebAuth、MAB、IAB的基礎上進行自主研發的一門新興技術。其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害,為企業建設一套網路安全體系。
準入控制希望到達的目標是:
1.不安裝客戶端、不改變網路結構就對接入網路邊界的人進行認證和授權。
2.旁路接入,兼容各品牌交換機,支持HUB、傻瓜交換機,防止私接路由器、防止非法外聯。
3.劃分安全域、防止私改IP、根除ARP、非法IP/MAC監測並阻斷,對接入網路的終端進行合規性檢查。
4.支持DHCP準入控制、網路邊界維護,全網可視可控,符合等保要求。

常見網路準入控制技術

網路準入控制技術通常包括:
1.802.1x準入控制
2.DHCP準入控制
3.網關型準入控制
4.ARP型準入控制

802.1x準入控制介紹

802.1x準入控制的設計強調對交換機連線埠的控制。但與網路兼容性較差。在用戶使用終端接入前,會將終端隔離在隔離VLAN中。只有在進行完身份認證後,才將終端改放在應屬的VLAN中。當802.1x準入技術要求交換機必須支持802.1x。當連線埠下掛Hub或普通交換機的情況下,則無法實現對非法人和終端的VLAN隔離。

DHCP準入控制介紹

DHCP準入控制與現有網路兼容性較好。但一般廠家的DHCP準入控制採用DHCP伺服器與DHCP準入控制裝置分離的控制方法,實施較難。一些廠家採用一體化DHCP準入控制,能夠很好地解決802.1x和普通DHCP準入控制的問題。

網關型準入控制介紹

網關型準入控制實際上不是一種真正意義上的準入控制。因為網關型準入控制只控制了網路的出口,沒有控制區域網路的邊界接入。

ARP型準入控制介紹

ARP型準入控制是用ARP欺騙和ARP攻擊對不合規的終端進行攻擊,達到對網路邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火牆的終端沒有作用。另外,ARP的攻擊會造成網路堵塞,不利於大型網路。

相關詞條

相關搜尋

熱門詞條

聯絡我們