常见的几种网络安全接入技术分析

  • 格式:pdf
  • 大小:242.60 KB
  • 文档页数:4
Trust Security
Connection)是建立在基于主机的可信计算技术之上的,
其主要目的在于通过使用可信主机提供的终端技术,实现 网络访问控制的协同工作。TNC的权限控制策略采用终 端的完整性校验来检查终端的“健康度”。TNC结合巳存
Agent(思科可信代理):CTA
可以从多个安全软件组成的客户端防御体系收集安全状 态信息,例如防毒软件、操作系统更新版本、信任关系等, 然后将这些信息传送到相连的网络中,在这里实施准入控 制策略I (2)网络接入设备:包括路由器、交换机、防火墙以 及无线AP等。这些设备接受终端计算机请求信息,然后
通过管理员指定的安全策略,对接入内部网络的主机进行
安全性检测,自动拒绝不安全的计算机接入内部网络直到 这些计算机符合网络内的安全策略为止。当前比较好的几
种安全网络接人控制技术,包括思科的NAC(网络接入 控制)、微软的NAP(网络准入保护)、Juniper的UAC (统一接入控制)、可信计算组(TCG)的TNC(可信网 络连接)等。下面将分别对这几种技术进行介绍。
行状况证书。
3.3
遵循本地网络内需要的安全策略,并可保证不符合安全策
略的设备无法接入该网络及设置可补救的隔离区供端点修 正网络策略,或者限制其可访问的资源。
TNC技术 可信网络连接技术TNC(Trusted Network
NAC主要有以下部分组成: (1)客户端软件(AV防毒软件,Cisco Agent)与Cisco
但采用这种原理实现的网络接入控制系统,存在如下
的技术缺陷:
2.1非法终端能在网上存活一段时间
由于需要对全网所有地址进行扫描,对每个地址有一 定的扫描间隔周期,因此,这段时间内非法接入终端能在
不怀好意者在企业毫不知情的情况下侵入内部网络,从而
造成敏感数据泄密、传播病毒等严重后果I而企业内部合 法用户的终端,同样会给企业内部网络带来安全风险,如 没有及时升级系统补丁和病毒库以及安装来源不明的软件 都可能导致其成为企业内部网络的安全隐患而给企业内网 安全造成沉重的打击。 网络接入控制技术正是在这种需求下应运而生,网络 接入控制技术能确保访问网络资源的所有设备得到有效的 安全控制,以抵御各种安全威胁对网络资源的影响,提升 企业管理与生产效率。它使网络中的所有接入层设备成为
PCRs(TPM平台配置寄存器),TPM服务端需要预先制
定完整性的要求,并交给完整性验证者(IMV),它的核 心组件是Infranet控制器。
3.4 UAC
UAC是Juniper公司提出来的统一接入控制(UAC)
解决方案, UAC由多个单元组成,包括用作集中策略管理器的 Infranet控制器I客户端代理软件UAC(对于不支持下
常见的几种网络安全接入技术分析
杨飞
(广东电网公司佛山供电局,广东佛山528000) 摘要:本文首先介绍了传统网络安全接入技术的不足, 并对目前主流的网络安全接入技术进行详细的介绍和分析。 关键词:网络安全接入技术;NAC;NAP;TNC;UAC
Abstract:This paper network
aCCeSS
终端里面,这也就是将网络策略所需信息经散列后存人
通过接入设备(防火墙、交换机、路由器等),强制将不 符合要求的终端设备隔离在一个指定区域,只允许其访问
补丁服务器、病毒库服务器等完成终端的。在验证终端主 机没有安全问题后,再允许其接入被保护的网络。 其次,这几种技术的实现思路也比较相似,都分为客 户端、策略服务以及接入控制3个主要层次。 但另一方面,由于这4种技术的发布者自身的背景, 4种技术又存在不同的偏重性。NA C由于是思科发布的,
网络中存活一定时间,而在这段时间内,攻击者有可能已
经完成部分攻击行为。 而且随着网络规模的扩大,每次扫描发现的时间间隔 延长,非法终端在网络上存活的时间越长,对于网络的威 胁就越大。
2.2在某些情况下.系统不能发现接入的非法终端 (1)由于需要指定扫描的网络范围,当非法接入终端
使用的地址在指定的扫描范围之外时,系统无法。发现”
agent以及接入服务(VPN、DHCP、802.1x、IPSec组件 ),这与微软自身的技术背景也有很大的关联;而TNC技 术则重点放在与TPM绑定的主机身份认证与主机完整性
验证,或者说TNC的目的是给TCG发布的TPM提供一 种应用支持。 目前,尽管思科NAC与微软的NAP已经联手,但
(1)Infranet控制器:Infranet控制器是UAC的核心
first
introduced
the traditional
network
&ccess
control
technologies,and then
introduce
zed
znzlysis
the
mainstream
of
control technologies.
Key words:NAC;NAP;TNc;UAC
罔圈圈罐呼q 7一一~面唧
PDP),这些都是逻辑实体,可以分布在任意位置。TN C 将传统的接入方式。先连接,后安全评估”变为“先安全 评估,后连接”,能大大增强网络接入的安全性。
(3)UAC执行点:UAC执行点包括802.1X交换机
/无线接入点,或者Juniper网络公司防火墙/VPN平 台。
(1)网络访问层:从属于传统的网络互联和安全层,
(网络访问请求)、PEP(策略执行)和NAA(网络访问 授权)3个组件I
(2)完整性评估层:这一层依据一定的安全策略评估
AR(访问请求者)的完整性状况, (3)完整性测量层:这一层负责搜集和验证AR的完 整性信息。在完整测量层中,客户端建立网络接入之前, TNC客户端需要准备好所需要的完整性信息,交给完整 性收集端(IMC)。在一个拥有TPM(可信平台模块)的
洞更是数以千计。传统的终端计算机安全技术(Antivirus、
Desktop
FirewaU等)在努力保护被攻击终端的同时,对
2传统的网络接入控制技术
传统的网络接人控制技术,大都基于。扫描一发现一
阻断”的工作模式,通过网络接入控制系统的管理中心,
于保障企业内部网络的安全和可使用性却显得捉襟见肘。
面对日益复杂的企业网络安全现状,如何应用管理手段控 制企业的信息系统网络,提高企业IT内控水平,是企业 当前所面临和需要解决的重要问题。 不可避免的,企业与外部交流的频繁势必导致进入企 业内部网络的外来用户数量越来越多,企业管理人员也越
3.1
(2)Windows Longhorn Server(NAP SeⅣer):对 于不符合当前系统运行状况要求的计算机进行强制受限网
络访问,同时运行Internet身份验证服务(IAS),支持
NAC技术
网络接入控制(Network Access Control,简称
系统策略配置和NAP客户端的运行状况验证协调。 (3)策略服务器:为IAS服务器提供当前系统运行情
所以其构架中接人设备的位置占了很大的比例,或者说
NAC自身就是围绕着思科的设备而设计的,UAC与思科 类似,也围绕着Juniper的设备而设计,但在接人服务方 面选择遵循802.IX这种标准协议。NAP则偏重在终端
载的客户端,如外部人员的设备,可使用无代理模式)以
及多种不同形式的执行点,包括Juniper防火墙以及能 支持第三方的802.1X协议的交换机及/或无线接入点等。
组件。主要功能是将UA C代理应用到用户的终端计算机 中,以便收集用户验证、端点安全状态和设备位置等信息 或者在无代理模式中收集相同的信息,并将此类信息与策 略相结合来控制网络、资源和应用接入。随后,Infranet
控制器在分配IP地址前在网络边缘通过802.IX,或在
网络核心通过防火墙将这个策略传递给UAC执行点。
况,并包含可供NAP客户端访问以纠正其非正常运行状
NAC)是由思科(Cisco)主导的产业级协同研究成果,
NA C可以协助保证每一个终端在进入网络前均符合网络
态所需的修补程序、配置和应用程序。策略服务器还包括
防病毒隔离和软件更新服务器。
安全策略。 NAC技术可以提供保证端点设备在接入网络前完全
(4)证书服务器:向基于IPSec的NAP客户端颁发运
多个厂商还都在陆续推出各自为政的网络准入和控制标准,
标准之争还需等待多时。但无论如何,我们看到,随着未 来网络安全从威胁防御到安全设计的重点的转变,安全将 内建到我们的网络技术中,使网络从一开始就是安全的,
(2)UAC代理:UAC代理部署在客户端,允许动态 下载。UA C代理提供的主机检查器功能允许管理员扫描 端点并解各种安全应用/状态,包括但不限于防病毒、防
在的网络访问控制策略(例如802.1x、IKE、Radius协
议)实现访问控制功能。
TNC的架构分为3类实体:请求访问(the Requestor,AR)、策略执行者(Policy Point,PEP)、策略定义者(Policy
Access
Enforcement Point,
Decision
万 方数据
恶意软件和个人防火墙等l UA C代理可通过预定义的主 机检查策略以及防病毒签名文件的自动监控功能来评估最 新定义文件的安全状态I UA C代理还允许执行定制检查 任务,如对注册表和端口状态进行检查,并可执行MD5 校验和检查,以验证应用是否有效。
1概述
随着计算机网络的飞速发展,针对网络和终端计算 机的各种安全威胁每天都呈爆炸性的增长一现在每天有
成百种新型病毒在网上出现,而主流应用平台的安全漏
安全加强点,而终端设备必须达到一定的安全和策略条件
才可以通过路由器和交换机接入访问网络。这样就可以大
大消除蠕虫和病毒等对联网业务越来越严重的威胁和影响, 从而帮助客户发现、预防和消除安全威胁。
3目前主流的网络接入控制技术