1. 網路准入控制的技術介紹
a. NAC系統組件
網路准入控制主要組件有:
。終端安全檢查軟體
。網路接入設備(接入交換機和無線訪問點)
。 策略/AAA伺服器
終端安全檢查軟體 — 主要負責對接入的終端進行主機健康檢查和進行網路接入認證。當前更傾向於採用輕量級或可溶解的客戶端。以降低終端的部署和使用壓力。
網路接入設備 — 實施准入控制的網路設備包括路由器、交換機、無線接入點和安全設備。這些設備接受主機委託,然後將信息傳送到策略伺服器,在那裡實施網路准入控制決策。網路將按照客戶制定的策略實施相應的准入控制決策:允許、拒絕、隔離或限制。
策略/AAA伺服器——策略伺服器負責評估來自網路設備的端點安全信息,並決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。
b. NAC系統基本工作原理
當終端接入網路時,首先由終端設備和網路接入設備(如:交換機、無線AP、VPN等)進行交互通訊。然後,網路接入設備將終端信息發給策略/AAA伺服器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA伺服器上定義的策略後, 策略/AAA伺服器會通知網路接入設備,對終端進行授權和訪問控制。
2. 准入控制系統都有哪些准入管控方式
管控方式比較好也比較全的 還是推薦使用 金盾軟體旗下的 鎂盾准入控制吧
准入管控方式有下面幾種:
細粒度網路准入控制:(1) 杜絕非法入網、(2) 入網許可權設置等等
拓撲圖自動警告
身份認證:終端入網強制身份認證,未經授權禁止接入網路,確保只有合法終端才能入網
安全測評:終端安全技術測評,安全隱患項目隔離修復,確保入網終端始終處於安全狀態
違規報警:終端安全狀態動態保護,存在危險異常項目及時處理並報警通知,防止安全隱患
行為規范:終端安全規范,嚴控各類外設使用,明確網路訪問細則許可權,確保用戶擁有網路使用的「最小授權」
報表統計:全網安全事件圖表化分析匯總,既可提供針對特定行為的分析報告,也可對全網安全趨勢分析
希望可以幫助到您吧
3. 國內最好的網路准入控制系統是哪些產品
目前主要有802.1X、網關型、DHCP、EOU、NACC、ARP等方式,各有優缺點和應用場景。一般在項目實施中需要定準入方式的時候,要根據網路環境和公司的業務特徵要求來定。就標准而言,個人比較准入控制的龍頭廠商聯軟科技說的802.1x是行業標準的說法,安全性能高,不改造網路。如果允許個人還是建議採用802.1x形式。
4. 國內有哪些網路准入控制系統具體有哪些功能
金盾軟體:NACP網路准入控制系統 (為網路運維人員和管理人員提供接入認證、安全評測、違規報警、通信規范等符合等/分保要求的產品方案,能夠為管理員提供終端安全風險分析、入網風險分析、違規事件分析等數據分析功能)。
1.身份認證,終端入網強制身份認證,未經授權禁止接入網路,確保只有合法終端才能入網。
2.安全測評,終端安全技術測評,安全隱患項目隔離修復,確保入網終端始終處於安全狀態。
3.動態保護,終端安全狀態動態保護,存在危險異常項目及時處理並報警通知,防止安全隱患。
4.通訊規范,終端安全通訊規范,明確網路訪問細則許可權,確保用戶擁有網路使用的「最小授權」。
5.數據分析,全網安全事件圖表化分析匯總,既可提供針對特定行為的分析報告,也可全網安全趨勢分析。
5. 網路准入控制的常見方法
通常有4種准入控制:
a.802.1x准入控制
802.1x的准入控制的優點是在交換機支持802.1x協議的時候,802.1x能夠真正做到了對網路邊界的保護。缺點是不兼容老舊交換機,必須重新更換新的交換機;同時,交換機下接不啟用802.1x功能的交換機時,無法對終端進行准入控制。
b.DHCP准入控制
DHCP的准入控制的優點是兼容老舊交換機。缺點是不如802.1x協議的控制力度強。
c.網關型准入控制
網關型准入控制不是嚴格意義上的准入控制。網關型准入控制沒有對終端接入網路進行控制,而只是對終端出外網進行了控制。同時,網關型准入控制會造成出口宕掉的瓶頸效應。
d.MVG准入控制
其前身是思科公司的VG(虛擬網關)技術。但是該技術僅能支持思科公司相關設備。受該技術的啟發,國內某些公司開發了MVG(多廠商虛擬網關)技術。該技術可以支持目前市場上幾乎所有的交換機設備。
e.ARP型准入控制
ARP准入控制是通過ARP欺騙實現的。ARP欺騙實際上是一種變相病毒。容易造成網路堵塞。由於越來越多的終端安裝的ARP防火牆,ARP准入控制在遇到這種情況下,則不能起作用。
6. 如何挑選網路准入控制產品
一般考慮到要部署准入控制系統的單位,信息化建設已經達到了一定高度,網路環境已經建設好,存在多種網路設備和復雜終端設備。作為網路准入控制系統的選擇,要考慮產品是否支持多種入網強制技術,以適應各種復雜性的網路環境。所以選擇准入控制產品必須能夠適應用戶多種多樣的信息系統環境,准入控制系統廠商應該能夠提供各種環境下的准入控制方案,盡量避免進行大范圍的網路改造。
二是高可靠性,確保業務連續性 用戶一旦建成網路准入控制系統後,就意味著所有終端每天進入網路,都依賴於這套網路准入控制系統的解決方案。建議用戶根據自身網路規模和網路重要性,進行合理的選擇。
三配套服務完善,響應及時 建設網路准入控制項目不同於部署網關型的產品,只部署在一點,需要進行改動時,僅僅對其一點進行改動就可以了。而網路准入控制系統的部署關繫到網路中的每一台終端、每一個使用者,缺乏部署經驗,盲目的進行部署,勢必造成大范圍的問題。因此要建設好網路准入控制的項目,一定需要有一個相關項目經驗豐富,具有良好風險管理的專業技術服務團隊支撐。像南京陽途的話就比較好 ,從事相關行業好多年了,不僅專業、售後還有保障。
7. 網路准入控制系統,一般都會怎麼選擇產品或設備
網路准入控制系統如何能選擇好呢》其實關鍵要具有以下功能:
入網管理
管理員可以對計算機接入網路進行管理,標記,授權或拒絕、刪除管理等功能
接入報警
對於未被允許及不合規的非法計算機接入網路系統會自動報警並提示客戶端和管理端
內置服務識別
網路拓撲發現與設備類型識別,Radius伺服器、HA熱備、DHCP服務等
終端認證方式支持
MAC地址\IP地址\用戶名和密碼\機器指紋\U-KEY\智能卡\數字證書認證\LDAP及無縫結合域AD管理認證\手機簡訊\實名認證等。
級聯支持
對於大型用戶,支持vlan,准入伺服器支持分布式級聯部署
安全檢測
自帶默認終端入網安全合規檢測庫、支持自定義合規檢測條件、支持漏洞自動修復、殺毒軟體檢測等
終端補丁檢測
評估客戶端的補丁安裝是否合格,包括:操作系統(Windows 98/me/2000/XP/2003/Vista/win7/win10/win2008 )。
智能終端設備接入
支持手持\移動等智能終端的接入管理
終端運行狀態實時檢測
可以對上線用戶終端的系統信息進行實時檢測,發現異常客戶端或被卸載時自動阻斷網路,強制安裝。
網路隔離區
對於安全狀態評估不合格的用戶,可以限制其訪問許可權,被隔離到網路隔離區,待危險終端到達安全級別後方可入網。
8. 國內哪家網路准入控製做的好
國內網路准入控製做的比較好的推薦聯軟科技,網路准入控制系統推薦使用聯軟科技UniNAC網路准入控制系統。
UniNAC是中國網路准入控制市場的開創者與引領者,產品持續16年研發更新迭代,是網路級端點安全領域的專業解決方案。UniNAC不僅是一個安全工具,也是解決安全管理問題的基礎設施,為大型機構的網路安全、終端管理、信息安全管理提供直接支撐。UniNAC提倡直接與網路設備聯動實現網路准入控制,以實現優秀的網路安全性、可靠性和組網靈活性,目前能直接聯動的網路設備型號達數百種。通過與網路設備聯動及聯軟NACC准入控制器配合,UniNAC能解決各種復雜環境下的網路准入控制問題,包括:LAN(Switch/HUB)、WLAN、WAN、VPN,甚至NAT環境。
想要了解更多有關網路准入控制的相關信息,推薦咨詢聯軟科技。聯軟深耕金融行業,經過十餘年發展,產品已在銀行、保險、證券等金融各細分領域得到廣泛應用,在端點安全產品在金融領域市場份額居行業前列,並在製造業、運營商、黨政軍、醫療、能源和交通等行業構建了較強的市場影響力,已服務超過3000家高端行業客戶。
9. 什麼是網路准入控制系統有什麼作用
網路准入控制系統是通過可視化和自動化實時檢測入網終端的合規性,對於不合規的終端給予最小化訪問許可權,對於合規終端給予放行,並持續檢測。
主要有以下幾點作用,以寧盾網路准入控制系統為例。
1. 合規檢測
寧盾網路准入控制系統可對入網終端身份的合法性進行檢查,以安全基線為檢測標准,滿足等級保護2.0標准。
2. 可視化終端管理
寧盾網路准入控制系統可視化各類型電腦、手機、攝像頭、網路設備、列印機等終端,並可以區分公司設備、訪客、員工自帶設備等。
3. 實時隔離風險終端
寧盾網路准入控制系統主動檢測各終端的合規性,包括終端類型、殺毒軟體狀態、補丁版本更新狀態、安裝的軟體、運行進程、網路流量等,實時定位終端風險,並及時對其進行自動隔離,以確保網路的安全性。
4. 無需安裝客戶端,輕量級准入設備
和傳統准入不一樣的是寧盾網路准入控制系統的終端識別、准入控制、策略執行都是由伺服器端實現的,客戶端只負責向伺服器端匯報收到的終端信息,所以手機、攝像頭等BYOD、IOT設備在不裝客戶端的情況下也能進行識別。
10. 四招教你如何挑選網路准入控制產品
一般考慮到要部署准入控制系統的單位,信息化建設已經達到了一定高度,網路環境已經建設好,存在多種網路設備和復雜終端設備。作為網路准入控制系統的選擇,要考慮產品是否支持多種入網強制技術,是否支持多樣化的異構終端識別(如:智能手機、平板電腦、字元終端、網路列印機等),以適應各種復雜性的網路環境。所以選擇准入控制產品必須能夠適應用戶多種多樣的信息系統環境,准入控制系統廠商應該能夠提供各種環境下的准入控制方案,盡量避免進行大范圍的網路改造。
二.框架先進,控制力強
1、基於端點系統的架構Software-base NAC;主要是桌面廠商的產品,採用ARP干擾、終端代理軟體的軟體防火牆等技術。
2、基於基礎網路設備聯動的架構—Infrastructure-base NAC;主要是各個網路設備廠家和部分桌面管理廠商,採用的是802.1X、PORTAL、EOU等技術。
3、基於應用設備的架構—Appliance-base NAC;主要是專業准入控制廠商,如ForeScout、盈高科技、Sysgate SNAC。採用的是策略路由、MVG、VLAN控制等技術。
綜觀這三種框架的進化與發展,現在完全基於Software-base的架構,范圍及控制力度有限,目前已不被用戶接納;而大多數網路設備廠商現在主要推崇Infrastructure-base的架構,可以促進他們網路設備的市場銷售,但是對網路設備要求高,需要特定型號和廠家的設備。存在互相設置壁壘的問題;現在國外比較新興的是採用Appliance-base 架構的NAC設備,這種NAC設備對網路設備的種類、型號幾乎無要求,在降低部署難度的同時可以達到很好控制力度。
目前市場認可度比較好的NAC方案,是Appliance-base NAC,即第三代准入系統架構。
三.高可靠性,確保業務連續性
用戶一旦建成網路准入控制系統後,就意味著所有終端每天進入網路,都依賴於這套網路准入控制系統的解決方案。現在市面上的網路准入控制方案有純軟體、有純硬體也有軟硬體結合的。軟體系統通常安裝在用戶提供的伺服器上,價格相對較便宜,但是性能和穩定性受限於伺服器和操作系統;硬體系統由於採用了專用的硬體和操作系統,穩定性高,性能可控,但是價格通常較高。建議用戶根據自身網路規模和網路重要性,進行合理的選擇。
另外選擇無論哪種方案,一定要求有完善的逃生方案,具備「Fail-Open」模式,不存在單點故障。絕對不能因為網路准入控制系統的建設影響業務連續性,導致正常辦公業務無法開展。
四.配套服務完善,響應及時
建設網路准入控制項目不同於部署網關型的產品,只部署在一點,需要進行改動時,僅僅對其一點進行改動就可以了。而網路准入控制系統的部署關繫到網路中的每一台終端、每一個使用者,缺乏部署經驗,盲目的進行部署,勢必造成大范圍的問題。因此要建設好網路准入控制的項目,一定需要有一個相關項目經驗豐富,具有良好風險管理的專業技術服務團隊支撐。
在項目建設前期,需要能夠規劃出適合用戶網路的准入控制解決方案。從安全、管理、項目建設成本、風險控制等方面都要有詳細的計劃。在項目實施時,需要有一套完整的項目建設計劃與配套的項目管理制度。在項目運行後,一定要有及時響應的客服體系。技術服務水平的好壞在准入控制項目中尤為突出。
實現內網安全的基礎在於屏蔽一切不安全的設備和人員接入網路,並且規范用戶接入網路的許可權。