1. 网络准入控制(NAC)的需求与挑战
思科网络准入控制(NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
IBNS 的作用是验证用户的身份,而NAC 的作用是检查设备的“状态”。交换平台上的NAC 可以与思科信任代理(CTA) 共同构成一个系统。思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。思科正在与McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。
NAC的主要优点包括:
1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;
2. 多厂商解决方案——NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro;
3. 现有技术和标准的扩展——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议(EAP) 、802.1X和RADIUS服务;
4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。
2. 网络准入控制(NAC)技术介绍
a. NAC系统组件
如下图所示,NAC系统共包括四个组件:
NAC系统组件
网络准入控制主要组件:
端点安全软件(Cisco Security Agent/防病毒软件)
Cisco Trust Agent
网络接入设备(接入交换机和无线访问点)
策略/AAA服务器
防病毒服务器
管理系统
端点安全软件——包括AntiVirus防病毒软件,个人防火墙软件或Cisco Security Agent-思科安全代理,这些软件负责端点安全,并与Cisco Trust Agent (思科信任代理)通讯,共同决定对终端的信任关系。
Cisco Trust Agent——Cisco Trust Agent 负责收集多个安全软件客户端的安全状态信息,例如Anti-Virus 和Cisco Security Agent软件客户端,然后将信息传送到思科网络,在那里实施准入控制决策。对于未运行防病毒软件,或者没有适当版本的主机,按照预定策略,可以限制它对网络的接入范围,也可以其拒绝接入网络。
网络接入设备——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
策略服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器,它构成了策略服务器系统的基础。它可以与NAC合作商的应用服务器配合使用,提供更强的委托审核功能,例如防病毒策略服务器。
防病毒服务器——防病毒服务器对防病毒软件客户端发送的状态报告进行检查,并将检查的结果返回策略服务器,对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。
管理服务器——思科管理解决方案将提供相应的思科NAC组件,以及监控和报告操作工具。CiscoWorks VPN/安全管理解决方案(CiscoWorks VMS) 和CiscoWorks安全信息管理器解决方案(CiscoWorks SIMS) 形成了此功能的基础。思科的NAC合作商将为其端点安全软件提供管理解决方案。
NAC通过了两项最严格的兼容性测试:防病毒软件状况和操作系统信息。它不但包括防病毒厂商的软件版本、机器等级和签名文件等级,还包括操作系统类型、补丁和热修复。以后还将继续扩大安全保护范
围以及工作地点应用检查的范围。
b. NAC系统基本工作原理
上图是NAC的示意图,当运行NAC时,首先由网络接入设备发出消息,从主机请求委托书。然后,AAA服务器Cisco Trust Agent (CTA) 与主机上的Cisco Trust Agent (CTA) 建立安全的EAP对话。此时,CTA对AAA服务器执行检查。委托书可以通过主机应用、CTA或网络设备传递,由思科ACS接收后进行认证和授权。某些情况下,ACS可以作为防病毒策略服务器的代理,直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。
委托书通过审查后,ACS将为网络设备选择相应的实施策略。例如,ACS可以向路由器发送准入控制表,对此主机实施特殊策略。
对于非响应性设备,可以对主动运行CTA(网络或ACS)的设备实施默认策略。在以后的各阶段,还将通过扫描或其它机制对主机系统执行进一步检查,以便收集其他端点安全信息。
3. 网络准入控制(NAC)部署方案
要部署NAC方案,需要安装上面提到的所有NAC系统组件,这包括由思科提供的产品以及思科的合作伙伴提供的产品。
思科提供的产品包括
执行准入控制的网络设备――包括路由器、交换机、无线接入点和安全设备。各种功能通过软件增强集成到新老平台中。
Cisco Secure ACS――AAA RADIUS服务器,是用于确定接入权限的策略决策点。为支持NAC,正在增强ACS功能。
Cisco Trust Agent――主机代理,由思科开发,将通过多种方式分发:作为独立代理直接从思科或NAC 合作商分发,与Cisco Security Agent一起分发,或者嵌入到NAC防病毒厂商的更新软件中。
Cisco Security Agent ――可以在主机上使用,同时为防止蠕虫和病毒提供零天保护,并为NAC提供操作系统补丁和热修复信息。
CiscoWorks VMS可用于在路由器上批量配置NAC设置。
防病毒厂商将为主机和AV策略服务器提供系统的防病毒组件,目前加入NAC计划的防病毒厂商包括:IBM、趋势科技、McAfee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。
为了部署NAC,我们一般需要建议以下的具体步骤:
升级网络设备上的的IOS
升级主机上的防病毒软件
安装主机上的Cisco Trust Agent (可以包含在防病毒软件升级过程中)
安装Cisco Secure ACS 服务器(在实施基于802.1x的IBNS时已经部署)
安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS
另外,还需要考虑以下操作问题:
确定管理权限模式,妥善管理系统,并相应调整管理组件
确定和实施网络准入控制策略
确定可扩展性和性能要求,保证系统可以应付高峰状况(尤其是ACS等策略决策基础设施)
确定和实施隔离和修复环境
思科网络准人控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如Pc 、服务器、PDA )接入网络,而不允许其它设备接人。在初始阶段,当端点设备进入网络时,NAC 能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题 很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ? 基于安全准入技术的入网规范管理产品 ? 基于非法外联接入的入网规范管理系统 ? 基于可信域认证的内网管理系统 ? 计算机终端接入内外网的身份认证系统 ? 软件及硬件单独或相互联动的多重管理方式 接入 身份验证 合法 安全合规性检查 合规 分配权限入网 是 是拒绝接入否修复 否
网络准入控制系统集中 式管理方案 GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-
网络准入系统集中式管理方案1、项目背景 1.1 目前网络安全概况 自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。 1.2 网络架构概况 基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。 MPLS VPN网络拓扑图大概如下: 图1 MPLS VPN 网络拓扑图概图
各公司内网网络架构概图如下图2所示: 图2 各公司内部网络拓扑图概图1.3 各公司的调研情况 经调研统计,各公司的设备使用的情况如下表1:
表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。 1.4 信息安全管理的存在风险 目前,各公司都存在如下的信息安全管理风险: (1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。 (2)篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。 (3)因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人。
华为网络准入控制及终端安全方案 一、面临挑战 企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别; 多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战; 多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。 二、解决方案 1.华为网络准入控制及终端安全方案概述 宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。 其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。 在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式 2.1员工场景 ①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息; ②支持802.1X认证; ③支持802.1x+portal认证; ④支持802.1x+portal+动态码认证。 2.2访客场景 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等; ②微信认证,通过关注微信公众号进行认证连接上网;
网络准入控制解决方案 ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡: 基础架构生成shaping infrastructure ASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。生成全网的拓扑图、设备状态视图、终端状态视图等。 观测obsevation ASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implement ASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。 评估与管理evaluation & management ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。 方案特色及优势 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设
北信源网络接入控制系统 工作原理与功能 北京北信源软件股份有限公司 1
目录 1.整体说明 (3) 2.核心技术 (3) 2.1.重定向技术 (3) 2.2.策略路由准入控制技术 (4) 2.3.旁路干扰准入控制技术 (6) 2.4.透明网桥准入控制技术 (7) 2.5.虚拟网关准入控制技术 (7) 2.6.局域网控制技术 (8) 2.7.身份认证技术 (8) 2.8.安检修复技术 (9) 2.9.桌面系统联动 (9) 3.产品功能对比 (10) 2
1.整体说明 准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络; 管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向; 准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制; 2.核心技术 为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。 2.1. 重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外, 3
网络准入控制系统(ASM入网规范管理系统)特点概述 ASM(Admission Standard Management入网规范管理系统),是盈高科技自主知识产权的集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。 ASM入网规范的功能特点主要有以下几点: 1、清晰的边界划分 ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。 2、广泛的网络适应 ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。 3、安检策略丰富完善 ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。这就使用户能够快速进行安全规范应用。 4、安全定位灵活多样 ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。可以进一步向下细化定位,直至每台终端设备。也可以通过终端设备向上检索,找到其连接的网络设备。终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。可以从宏观和微观两方面进行考量。 5、安全功能持续扩展 ASM6000提供了弹性化的系统设计。支持多种扩展模块进行热插拔。用户可以根据自身管理需要选择。同时盈高科技也在不断开发各种安全功能模块以满足用户不断增长的安全需求。 6、弹性化(可选)客户端 ASM6000提供客户端弹性化,以满足不同用户的需求。支持的种类包括:零客户端、自消融客户端、完全客户端。甚至可以根据用户的规则进行设定,在同一个信息系统中进行三种客户端的混合部署。 7、支持分布式部署 ASM6000提供了控制器(ASC)产品,可以在网络规模特别大,网络结构特别复杂的情况下,将控制器部署在网络的不同区域,由中心设备统一对控制器进行管理,很好的适应巨系统的
准入控制解决方案 山东华软金盾软件股份有限公司 二零一六年十月
目录 一、行业背景 (2) 二、需求分析 (2) 1. 终端入网缺少身份认证 (2) 2. 服务器的准入保护 (3) 3. 网络访问管理粗放 (3) 4. 终端远程维护 (3) 三、解决方案 (3) 1. 入网身份认证 (3) 2. 入网准入控制 (4) 3. 网络可访范围划域控制 (4) 4. 全面运维管理 (5) 四、方案价值 (5)
一、行业背景 近年来,随着信息化网络的不断建设,各医院基本都已建立了完善的业务网络。随着信息化工作由基础建设转变为网络安全建设,信息安全工作逐渐受到各医院的广泛关注。如何保证医院网络资源的安全使用,如何保障项目资料的安全妥善保存,如何打造一个合法合规的高效、安全的网络使用环境,是对医院行业信息安全领域提出的新课题。随着信息化的不断发展,入网随意、各种文件发送手段层出不穷,医院网内突出的安全问题转变为网络随意接入拷贝数据有意或无意造成的泄密问题,如何有效解决数据泄密问题成为业内亟需解决问题。 二、需求分析 1.终端入网缺少身份认证 现阶段大多数医院业务网络搭建已相对完善,各种业务服务器能够在网内高效稳定的运行,但是,网络的建设一直重视的是对业务系统的建设及外网黑客的攻击防护,对于外来人员到达单位后随意插网线入网无认证的现状是普遍缺少针对措施的。在某些网络内,网络管理人员可能通过可网管交换机的MAC地址认证功能做了简单的网络入网认证,但是此种方式存在MAC地址易被冒用、入网后缺少后续的控制等是没有有效的控制方法的,医院网内亟需一套完善的准入控制、身份认证产品,不仅能对终端进行入网的身份认证,还须具备身份防冒用、入网后的持续监管控制等功能。
网络准入控制系统、局域网接入控制软件使用方法 大势至网络准入控制系统(百度自己搜索下载吧)是一款面向企事业单位的局域网网络安全防护系统,可以防止蹭网、禁止非单位电脑接入局域网、进行IP和MAC绑定、禁止局域网代理、防止网络嗅探等。具体设置如下: 安装步骤 首先运行LANProtector.exe,安装主程序,直接点击下一步直至完成即可;然后运行winpcap.exe,安装抓包程序,同样直接下一步; 如果有加密狗,则需要安装加密狗驱动(试用版无需安装)。 配置方法 依次点击开始-程序-大势至网络准入控制系统,初次使用需要配置网段,点击软件左上角“配置网段”,如果您只有一个网段选择“配置单网段”,然后选择当前上网所用网卡,最后点击确定。
图:添加单网段 如果您有多个网段,则您需要选择“配置多网段”,然后添加各个网段对应的IP 段即可。如下图所示:
添加多网段 添加完毕之后,点击“确定”,然后点击“启动管理”即可,点击后面的”停止监控“即可实时停止控制。 (三)功能说明 1、黑名单与白名单 点击“启动管理”后,即可扫描到所有主机,同时扫描到的主机默认都在黑名单显示,您可以按住shift键全选,然后点击下面的“移至白名单”即可将所有主机移动到白名单,反之您也可以将单个或部分主机选中后点击“移至黑名单”即可移动到黑名单。如下图所示: 2、隔离选项
可选择“禁止黑白名单互访”和“禁止黑名单访问外网”。其中“禁止黑白名单互访”不仅可以阻止黑名单电脑访问白名单电脑,而且还可以阻止白名单电脑主动访问黑名单电脑,从而实现双向隔离;而“禁止黑名单电脑访问外网”是禁止黑名单电脑访问互联网。 3、隔离强度 这里可以选择:高、中、弱等三个选项,分别代表软件的隔离强度。 4、IP变更时自动隔离 勾选后,一旦白名单电脑修改IP地址,则自动会将其放入黑名单并自动隔离,以此实现禁止电脑修改IP地址的目的。 5、静态绑定IP和MAC 勾选“静态绑定IP和MAC”并点击“管理”,弹出“IP和MAC静态绑定表”,如果点击“从白名单获取”,则系统自动获取当前白名单电脑的IP和MAC地址,也可点击“手工添加绑定”并自行输入要绑定的IP地址和MAC地址,最后点击“保存配置”即可。
网络准入准入控制系统解决方案
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP等众多系统和数据库,未经过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 一般情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外
联发送或泄漏公司的商业秘密。 三、使用者上网行为问题 很多公司员工经常使用QQ、MSN之类的进行聊天,使用迅雷之类的软件P2P下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ?基于安全准入技术的入网规范管理产品 ?基于非法外联接入的入网规范管理系统 ?基于可信域认证的内网管理系统 ?计算机终端接入内外网的身份认证系统 ?软件及硬件单独或相互联动的多重管理方式
山东朗通网络接入控制系统 解决方案
目录 一、面临的挑战 (2) 二、产品必要性 (4) 三、产品概述 (6) 四、产品特色 (8) 4.1先进、灵活的准入技术 (8) 4.2多重身份鉴别方式组合验证,保证身份信息可靠性 (9) 4.3细粒度网络访问权限控制 (11) 4.4国家信息安全等级测评库 (12) 4.5自主快速一键智能修复 (16) 4.6内嵌超大弱口令测评库 (16) 4.7全面安全审计、智能分析网络安全系数 (17) 4.8在线安全测评、无需客户端程序 (20) 4.9智能负载均衡、双机热备 (21) 4.10融合云计算技术,保障超大网络级联管理 (21) 五、设备选型 (23) 六、产品报价 (23) 七、荣誉资质 (25) 八、典型客户 (26) 集团企业 (26) 科研院所 (26) 服务业企业 (26)
一、面临的挑战 随着网络环境愈发复杂,企业都非常重视其信息化建设。并且,近年来企业网络负责人也愈发发现,如何使内网更加安全已成为一个十分重要的课题。当前,我国已建成规模宏大、覆盖全国的信息网络,国家重要信息网络和信息系统,已成为支撑国民经济和社会发展的重要基础设施。与此同时,单位重要网络和信息系统仍存在一定安全隐患和漏洞,不断遭受来自各方面的威胁。 1.不能实现实名制入网,无法知道当前有哪些人在上网。 2.外来设备接入网络,很难做到及时发现并对其进行控制。 3.内、外网隔离的网络环境下,终端用户非法外联频发。 4.个别中毒电脑,接入网络后,感染同一网络电脑,导致病毒大面积爆发。
5.IP/MAC资源管理难,无法做到有效管理,乱改私改IP/MAC的事时有 发生。 6.现有的补丁系统易用性和强制性太差,无法及时地将补丁打到每一个电 脑上。
1. 网络准入控制(NAC)的需求与挑战 思科网络准入控制(NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。 IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。 瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。 IBNS 的作用是验证用户的身份,而NAC 的作用是检查设备的“状态”。交换平台上的NAC 可以与思科信任代理(CTA) 共同构成一个系统。思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。思科正在与McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。 NAC的主要优点包括: 1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入; 2. 多厂商解决方案——NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro; 3. 现有技术和标准的扩展——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议(EAP) 、802.1X和RADIUS服务; 4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。 2. 网络准入控制(NAC)技术介绍 a. NAC系统组件
准入控制系统 1、系统概述 信息安全、网络安全在各大企业、机构中越来越受到重视,提高入网规范管理以成为必要。我们从终端接入控制、边界完整性检查、主机身份鉴别、内网访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面入手,共同完成信息系统的安全保护。 2、设计特点 准入控制系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承“不改变网络、不装客户端”的特性,重点解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能,满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。 网络准入控制平台将实现以下功能点: 2.1.1 双实名制 准入控制系统在提供多样化的身份认证,保障接入网络人员合法性的同时,支持对设备的实名认证,保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。 2.1.2 多样化身份认证 准入控制系统既提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信、EMAIL等第三方身份认证系统进行联动,保障身份认证功能的多样化。 2.1.3 来宾管理 准入控制系统提供“我是来宾”选择访问模式,管理员可以事先配置来宾区资源基于应用的方式对来宾访问权限进行控制,可以实现既满足业务需要,又保护好用户内网资源的目标。 2.1.4 多样化引导 准入控制系统在提供传统的网页智能引导的功能的同时,更拓展支持通过邮件客户端引导,进一步地方便了用户的入网体验和快速入网的流程。
网络接入控制解决方案
目录 1.前言 (4) 2.网络接入控制的必要性 (5) 3.某网络接入控制解决方案 (6) 3.1.方案概述 (6) 3.2.建设目标 (6) 3.3.某网络接入控制方案实现 (7) 3.3.1.网络接入控制流程 (7) 3.3.2.基于802.1x协议的准入控制方案 (8) 3.3.3.基于接入网关的准入控制方案 (17) 3.3.4.基于EOU技术的准入控制方案 (27) 3.3.5.基于VIFR技术的准入控制方案 (32) 3.3.6.其他网络准入控制辅助技术 (34) 4.方案总结 (37)
1.前言 技术的日益更新带来了动态而无定形的安全生态系统。现今,复杂的网络环境需要具有较高动态性和可扩展性的安全解决方案,可以应对不同类型的威胁和黑客攻击。安全技术解决方案现已紧密集成到网络的基础结构中。 研究人员发现大多数安全漏洞源于网络内部,在一段时间内并不能被检测出来。安全漏洞可对机构造成破坏,如终端服务、损失收益、增加清除开销、机构名誉受损、客户满意度降低以及法律风险。 传统的安全产品和技术都是相互独立工作的,如防火墙、访问控制措施和入侵检测与防护系统,并不能提供充足的防御来抵抗内部的威胁。因为这些产品和技术主要面向网络外部的攻击。 安全挑战不断增加,仅进行边界防御远远不够。因为边界防御使用传统方法和独立的运行方式,已不能应对现今出现的安全挑战。安全模型正快速的由被动模型向主动模式转变。 而网络接入控制则带来了新的安全时代。从根本上说,网络接入控制限制谁能够进入这个网络以及一旦连接之后他们能够做什么。它使用身份识别和共同安全策略规定用户能够访问哪里和能够访问哪些信息,同时还能够扫描适当的杀毒软件和其它网络威胁防护软件。其核心思想在于屏蔽一切不安全的设备和人员接入网络,或者规范用户接入网络的行为,从而铲除网络威胁的源头,避免事后处理的高额成本。
网络安全准入系统
网络安全准入系统 产品清单: 序号品目名称技术规格数量 1 网络准入控制管理系统详见附件1项 2 LIS数据实时备份系统详见附件1项 1.网络准入控制管理系统 序号指标参数要求 1品牌 型号 ★北信源VRV-BMG-FY 2 硬件 特征 及性 能要 求★单台最少支持300个用户数的并发 ★应具备液晶显示系统,能实时查看设备的CPU和内存占用情况、系统运行状态以及设备的网络接口IP信息。 硬件支持至少4个千兆电口 支持至少500M的数据吞吐率 单台至少支持双路业务控制 满足7*24小时不间断工作,设备无故障运行时间不低于80000小时
3 注册 管理支持自定义注册信息,要求可以定义必须填写的注册信息项,可根据需要启用/禁用自定义项。 要求可根据需要自定义客户端注册的服务端地址,客户端可自动识别服务端信息并注册。 要求提供终端注册的日志记录功能,并可根据时间、设备名、注册者、IP 及动作等关键字进行记录查询。 ★应能根据准入客户端保活情况确定客户端的事实存在(未被卸载或者终止进程),保活周期应不高于1分钟(即如若准入客户端被卸载,1分钟内就可以发现) ★准入客户端应支持一对多注册功能,即单一的准入客户端可与多台准入控制硬件设备进行联动,并且可以在每台硬件设备上查看到客户端的注册信息。 ★要求支持注册审核管理功能,已注册终端必须通过管理员手动审核通过之后才可以接入网络。
★要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册。 4 资产 管理要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。 要求支持终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。 ★要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB 设备接入等)。 必须支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
网络准入系统集中式管理方案 1、项目背景 1.1 目前网络安全概况 自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。 1.2 网络架构概况 基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。 MPLS VPN网络拓扑图大概如下:
各公司内网网络架构概图如下图2所示:
表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。 1.4 信息安全管理的存在风险 目前,各公司都存在如下的信息安全管理风险: (1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。 (2)篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。 (3)因为公司内网的很多网络设备是不可管理,当网络内部出现
与北信源网络准入控制系统的对比分析: 1、管理服务器部署: 北信源管理服务器部署时,需要分别安装多个服务器部件,并需严格按顺序安装。操作比较繁琐,部署效率较低。
操作简便,简单易懂,部署效率高。 2、Radius认证服务器部署 北信源安全准入管理中并无自己的Radius服务器,启用802.1x准入控制需
安装第三方免费的Radius服务器(如IAS或者ACS的RADIUS认证服务器)才能实现802.1x准入控制。北信源完全没有对Radius认证服务器的任何开发、维护能力,借助第三方Radius认证服务器,一旦出现网络准入故障,较难排查故障原因,而且对于终端接入的状态检查能力也较弱。第三方Radius服务器单独部署配置,操作较为繁琐。 联软科技LeagView网络准入控制系统,采用独立自主研发的Radius认证服务器,能够支持802.1x、EoU等多种方式的网络准入控制检查认证,除了能够检查终端接入网络的用户帐号身份,还能够进一步检查终端自身的安全状态是否合规,能够检查接入终端硬件信息,对终端接入检查进行更为严格的绑定检查。单台Radius最大能够支持2万终端用户认证,能够与管理服务器整合在一个平台下集中部署,也能够独立部署,安装和配置都十分简单。
3、网络准入控制接入方式
北信源仅支持基于802.1x协议的准入控制方式,结合北信源自己的硬件VRV-BMG,还能够实现基于强制注册网关:在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。 联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入 控制,还支持Cisco NAC架构中的EoU协议网络准入控制方式,同时联软科技还提供LeagView? UniAccess TM NAC Controller准入控制器(简称“NACC”),是一种基于Cisco EAP over UDP协议技术的硬件网关型设备,专为解决非802.1X 网络环境下(接入层交换机不支持802.1X )的网络准入控制问题而设计。
目录 1. Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述 1 1. Gateway Enforcer 设备工作原理 (5) 2. Symantec Network Access Control 11.0 LAN Enforcement 概述 (6) 3. LAN Enforcer:理解基本模式和透明模式 (13) 4. LAN Enforcer:如何配置以便处理尚未连接到SEPM 管理器的新安装客户端? (15) 5. DHCP Enforcer 设备工作原理 (16) 6. Symantec Network Access Control 11.0 DHCP Enforcement 概述 (18) 7. 在没有安装客户端的情况下,Symantec Network Access Control 强制如何管理计算机? 21 8. Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance (23) 9. Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer (28) 1.Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述 本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。 情形 您想对主机完整性功能有一个大概的了解 解释 主机完整性 什么是主机完整性? 主机完整性使得企业可以在企业网络(包括 VPN、无线和 RAS 拨号服务器)的所有入口点处强制执行安全性策略。主机完整性具有如下能力:在允许访问企业网络前检查防火墙、入侵防护、防病毒和其他第三方应用程序是否存在并更新其状态。 主机完整性由以下两个组件构成。 1. SEPM 定义的策略 - 管理员定义
智能电厂网络准入系统的设计及应用郭时龙 摘要:本文简析了大型火电厂安全准入管理的必要性,选取了安全严格的准入 管理设备,详细介绍了网络控制的系统设计和原理,制定了区域分时授权的策略,并开发了对应的网络控制管理系统,同时对区域内的事故应急进行了优化,充分 保证准入管理系统的准确性和安全性。 关键词:人脸识别、控制原理、区域分时授权、网络管理、事故应急策略 一、概述 21世纪以来,生产型企业的安全管理越发严格,以人为本的理念逐渐被大家 所推崇。同时网络信息化得到的巨大的发展,依赖于网络信息化的趋势,电力行 业的信息化程度也得到了质的飞跃,逐渐建成了智能化的发电企业。现代大型火 力发电厂,其生产工艺复杂且有多种危险区域,所以对生产区域进行智能化准入 管理,显得极为重要。于是,结合新兴的网络控制设备,产生了网络控制与准入 认证相结合的网络准入系统,用以对人员进行区域授权安全管理。 二、人脸识别现场控制系统及原理 目前为止,我们共经历了机械锁,IC卡认证,指纹认证,人脸识别等阶段。 之前的各种准入管理设备都因自身的缺点被市场所淘汰。而近年研发出的人脸识 别技术,它具有网络管理、识别度高、唯一性、防作弊等特点。所以带网络控制 功能的人脸识别系统,对于工厂的区域安全管理具有不可替代的优越性。 人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。它的 现场控制部分由网络控制器、人脸识别仪、转闸控制板、电磁阀、红绿灯、直流 电源及机械转闸等构成。可以在相关数据载入后脱离网络控制的情况下单机运行,实现基本的准入控制功能。 图一:现场控制结构图 如图一所示,开关电源为系统提供直流电源,人脸仪扫描人脸图像并对比预 存人脸数据库后,完成人物身份识别,然后传送给网络控制器,判断是否具有通 行权限,网络控制器再发出控制信号给转闸控制板,驱动相应方向的绿灯点亮和 电磁阀失电,完成一次通行后系统复原。同时控制器和摄像机记录本次通行的相 关信息和视频,经网络送至系统服务器和硬盘录像机,存档备查。 3.1 网络结构的设计 大型火电厂范围大,子区域分散,与机房的传输距离基本都超过网线的传输 距离。所以选用光纤通讯,达到远距离信号可靠传输的目的。同时,由于该系统 是控制信号和视频信号同时发送,且视频信号占用很大的带宽,而控制信号却是 最重要的,直接影响现场设备的控制效果。所以考虑其重要性,我们选择控制信 号和视频信号分光纤传输的策略,保证双路信号的准确性。 3.2 信号传输途径及网络控制原理 当需要对人脸进行录入系统时,只需要在网络中的任意一台人脸识别仪,进 行人脸数据录入操作,并对其工号、姓名、部门等身份信息进行完善,就完成了 该名人员的个人信息备案。并经软件操作通过网络同步到所有的人脸识别仪,以 便人员通行时进行身份识别。然后通过软件操作,依据一定的区域权限规则,授 予该人员身份相对应的区域通行权限和时效。并经过准入系统控制交换机以及网络,传输到各处的网络控制器,完成人员身份和区域权限的写入。 同时各处的网络摄像机24小时不间断拍摄通道处的视频,对通过的人员进行
终端安全之准入控制保障“内网合规” (技术对比) 随着网络应用的日趋复杂,计算机终端已不再是传统意义上我们所理解的“终端”,它不仅是内网中网线所连接的PC机,更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此,也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。 在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。 目前的准入控制技术主要分为两大类:基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。 1.基于网络的准入控制 EAPOL EAP是Extensible Authentication Protocol的缩写,EAP最初作为PPP的扩展认证协议,使PPP的认证更具安全性。无线局域网兴起后,人们在无线局域网接入领域引入了EAP 认证,同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。802.1x协议除了支持WLAN外,也支持传统的其他局域网类型,比如以太网、FDDI、Token Ring。EAP 与802.1x的结合就是EAPOL(EAP Over LAN),或者称为EAP over 802.1x。作为一种标准局域网的数据包协议,802.1x几乎得到所有网络设备厂商的支持。 EAPOL不仅能用来解决终端电脑身份认证的问题,也可以用来认证电脑的安全状态。在进行身份认证的同时,“顺便”检查终端电脑的安全状态,并能根据认证状态设置端口状态,动态切换VLAN,或者下载ACL列表。因为802.1x协议被网络厂商广泛支持,所以EAPOL 是支持范围最广的网络准入技术。EAPOL的优点是它可以做到最严格的准入控制,控制点是网络的接入层交换机,最接近终端电脑,对不符合策略的电脑可以完全禁止其访问任何网络,使其对网络的危害最小。 EAPOL除了需要网络设备支持以外,还需要一系列相关配套的软件,比如Cisco的NAC、H3C的EAD、启明星辰的天珣内网安全风险管理与审计系统等。 EAPOU