淺談網(wǎng)絡(luò)紅人準(zhǔn)入控制_第1頁(yè)
淺談網(wǎng)絡(luò)紅人準(zhǔn)入控制_第2頁(yè)
淺談網(wǎng)絡(luò)紅人準(zhǔn)入控制_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

淺談網(wǎng)絡(luò)紅人準(zhǔn)入控制

隨著網(wǎng)絡(luò)應(yīng)用的復(fù)雜性,計(jì)算機(jī)終端不是傳統(tǒng)意義上的“終端”。它不僅是一個(gè)連接到內(nèi)網(wǎng)的pc機(jī),也是一個(gè)開(kāi)始和網(wǎng)絡(luò)上許多事務(wù)的起點(diǎn)和來(lái)源。用戶登錄和訪問(wèn)網(wǎng)絡(luò)的起點(diǎn)。用戶通過(guò)內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)的起點(diǎn)是用應(yīng)用程序訪問(wèn)和寫(xiě)入網(wǎng)絡(luò)的起點(diǎn)。此外,病毒攻擊的源是內(nèi)部的惡意攻擊源,也是竊取或竊取內(nèi)部秘密數(shù)據(jù)的源。因此,也只有通過(guò)完善的終端安全管理才能夠真正從源頭上控制各種事件的源頭,遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。在內(nèi)網(wǎng)安全管理中,準(zhǔn)入控制是所有終端管理功能實(shí)現(xiàn)的基礎(chǔ)所在,采用準(zhǔn)入控制技術(shù)能夠主動(dòng)監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài),將不安全的電腦進(jìn)行隔離、修復(fù)。準(zhǔn)入控制技術(shù)與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻、防病毒技術(shù)結(jié)合,將被動(dòng)防御變?yōu)橹鲃?dòng)防御,能夠有效促進(jìn)內(nèi)網(wǎng)合規(guī)建設(shè),減少網(wǎng)絡(luò)事故。目前的準(zhǔn)入控制技術(shù)主要分為兩大類:基于網(wǎng)絡(luò)的準(zhǔn)入控制和基于主機(jī)的準(zhǔn)入控制?;诰W(wǎng)絡(luò)的準(zhǔn)入控制主要有EAPOL(ExtensibleAuthenticationProtocolOverLAN)技術(shù)、EAPOU(ExtensibleAuthenticationProtocolOverUDP)技術(shù);基于主機(jī)的準(zhǔn)入控制主要有應(yīng)用準(zhǔn)入控制、客戶端準(zhǔn)入控制。1.eapol網(wǎng)絡(luò)準(zhǔn)入(1)EAPOL。EAP是ExtensibleAuthenticationProtocol的縮寫(xiě),EAP最初作為PPP的擴(kuò)展認(rèn)證協(xié)議,使PPP的認(rèn)證更具安全性。無(wú)線局域網(wǎng)興起后,人們?cè)跓o(wú)線局域網(wǎng)接入領(lǐng)域引入了EAP認(rèn)證,同時(shí)設(shè)計(jì)了專門(mén)封裝和傳送EAP認(rèn)證數(shù)據(jù)的IEEE802.1x協(xié)議格式。802.1x協(xié)議除了支持WLAN外,也支持傳統(tǒng)的其他局域網(wǎng)類型,比如以太網(wǎng)、FDDI、TokenRing。EAP與802.1x的結(jié)合就是EAPOL(EAPOverLAN),或者稱為EAPover802.1x。作為一種標(biāo)準(zhǔn)局域網(wǎng)的數(shù)據(jù)包協(xié)議,802.1x幾乎得到所有網(wǎng)絡(luò)設(shè)備廠商的支持。EAPOL不僅能用來(lái)解決終端電腦的身份認(rèn)證問(wèn)題,也可以用來(lái)認(rèn)證電腦的安全狀態(tài)。在進(jìn)行身份認(rèn)證的同時(shí),“順便”檢查終端電腦的安全狀態(tài),并能根據(jù)認(rèn)證狀態(tài)設(shè)置端口狀態(tài),動(dòng)態(tài)切換VLAN,或者下載ACL列表。因?yàn)?02.1x協(xié)議被網(wǎng)絡(luò)廠商廣泛支持,所以EAPOL是支持范圍最廣的網(wǎng)絡(luò)準(zhǔn)入技術(shù)。EAPOL的優(yōu)點(diǎn)是它可以做到最嚴(yán)格的準(zhǔn)入控制,控制點(diǎn)是網(wǎng)絡(luò)的接入層交換機(jī),最接近終端電腦,對(duì)不符合策略的電腦可以完全禁止其訪問(wèn)任何網(wǎng)絡(luò),使其對(duì)網(wǎng)絡(luò)的危害最小。EAPOL除了需要網(wǎng)絡(luò)設(shè)備支持以外,還需要一系列相關(guān)配套的軟件,比如Cisco的NAC、H3C的EAD、啟明星辰的天王旬內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)等。(2)EAPOU。網(wǎng)絡(luò)準(zhǔn)入的概念是由Cisco普及的,Cisco的NAC除了包含前面討論的EAPOL,還有EAPOU(EAPOverUDP)。與EAPOL國(guó)際標(biāo)準(zhǔn)協(xié)議不同的是,EAPOU是Cisco的專有協(xié)議,即獨(dú)家技術(shù)。EAPOU是CiscoNAC技術(shù)的第一個(gè)實(shí)現(xiàn)版本,2003年最早在Cisco的路由器上實(shí)現(xiàn),后來(lái)在Cisco的3層交換機(jī)上也實(shí)現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡(luò)接入層進(jìn)行準(zhǔn)入控制,而EAPOU則是在網(wǎng)絡(luò)的匯聚層或核心層進(jìn)行準(zhǔn)入控制。EAPOU的工作原理是當(dāng)支持EAPOU的匯聚層設(shè)備接收到終端設(shè)備發(fā)來(lái)的數(shù)據(jù)包時(shí),匯聚層EAPOU設(shè)備將要求終端設(shè)備進(jìn)行EAP認(rèn)證。EAP認(rèn)證包封裝在UDP包內(nèi),在EAP認(rèn)證的內(nèi)容中,身份認(rèn)證其實(shí)并不重要,重要的則是安全狀態(tài)認(rèn)證。如果安全狀態(tài)不符合企業(yè)策略,匯聚層EAPOU設(shè)備將從策略服務(wù)器上下載ACL,限制不安全的客戶端的網(wǎng)絡(luò)訪問(wèn),并對(duì)其進(jìn)行修復(fù)。EAPOU技術(shù)的優(yōu)點(diǎn)是它對(duì)網(wǎng)絡(luò)接入設(shè)備要求不高,因而覆蓋面較高,而且匯聚層設(shè)備一般明顯少于接入層設(shè)備,因此部署相對(duì)要容易一些。目前支持EAPOU的設(shè)備只有Cisco的路由器和3層交換機(jī),相關(guān)配套的系列軟件為NAC。2.主機(jī)準(zhǔn)入控制如果用戶的網(wǎng)絡(luò)設(shè)備不支持網(wǎng)絡(luò)準(zhǔn)入,或不想花費(fèi)太多的部署和管理時(shí)間,還可以進(jìn)行基于主機(jī)的準(zhǔn)入控制。在此,主機(jī)是指網(wǎng)絡(luò)中除網(wǎng)絡(luò)設(shè)備之外的電腦主機(jī),包括服務(wù)器和電腦終端?;谥鳈C(jī)的準(zhǔn)入控制最大特點(diǎn)就是容易部署。系統(tǒng)及應(yīng)用準(zhǔn)入是在服務(wù)器的操作系統(tǒng)上安裝準(zhǔn)入控制軟件,當(dāng)電腦終端訪問(wèn)服務(wù)器時(shí),準(zhǔn)入控制軟件會(huì)檢查對(duì)方的安全狀態(tài),若符合策略則允許訪問(wèn),若不符合將拒絕對(duì)方的訪問(wèn),并給出相關(guān)提示。而客戶端準(zhǔn)入控制是指終端相互之間進(jìn)行訪問(wèn)時(shí),安裝在終端上的軟件也會(huì)檢查對(duì)方的安全狀態(tài)。基于主機(jī)的準(zhǔn)入控制點(diǎn)一般安裝在代理服務(wù)器、郵件服務(wù)器、內(nèi)網(wǎng)Web服務(wù)器、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪問(wèn)的服務(wù)器,因此準(zhǔn)入效果較好,覆蓋面廣,實(shí)際部署時(shí),一般只需在一到兩個(gè)服務(wù)器上部署控制點(diǎn)即可做到對(duì)全局的準(zhǔn)入控制?;谥鳈C(jī)的準(zhǔn)入控制優(yōu)點(diǎn)首先是容易部署,一般網(wǎng)絡(luò)準(zhǔn)入配置起來(lái)都較復(fù)雜,不同型號(hào)設(shè)備的配置都各不相同,如果網(wǎng)絡(luò)規(guī)模較大,配置的工作量極其巨大,而基于主機(jī)的準(zhǔn)入控制只需要在對(duì)應(yīng)的主機(jī)上安裝一個(gè)軟件,相對(duì)而言容易得多。第二是適應(yīng)性好、覆蓋面廣、不依賴任何網(wǎng)絡(luò)設(shè)備的支持,可有效保護(hù)企業(yè)已有的投資。第三是對(duì)網(wǎng)絡(luò)性能沒(méi)有影響,基于網(wǎng)絡(luò)的準(zhǔn)入控制在運(yùn)行時(shí)會(huì)根據(jù)客戶端的認(rèn)證狀態(tài)和安全狀態(tài)改變自己的狀態(tài),比如VLAN切換和動(dòng)態(tài)ACL加載,這或多或少都將影響設(shè)備或網(wǎng)絡(luò)的性能,特別是在大規(guī)模網(wǎng)絡(luò)環(huán)境下,這一點(diǎn)不能忽視?;谥鳈C(jī)的準(zhǔn)入控制將其控制分散到每個(gè)終端和主機(jī)上,終端的狀態(tài)變化對(duì)網(wǎng)絡(luò)沒(méi)有任何影響。第四是其訪問(wèn)控制功能是所有方案中最強(qiáng)的,基于主機(jī)的準(zhǔn)入控制能夠做到基于進(jìn)程的訪問(wèn)控制,以及基于進(jìn)程的帶寬管理,因此對(duì)蠕蟲(chóng)、木馬的防治就能更加積極主動(dòng)?;谥鳈C(jī)的準(zhǔn)入控制其缺點(diǎn)主要是控制強(qiáng)度較弱,系統(tǒng)及應(yīng)用準(zhǔn)入控制點(diǎn)處于企業(yè)網(wǎng)絡(luò)的核心,遠(yuǎn)離終端,而客戶端準(zhǔn)入依賴于網(wǎng)絡(luò)中已經(jīng)廣泛部署的客戶端。目前采用的基于主機(jī)準(zhǔn)入控制技術(shù)的產(chǎn)品主要有微軟的NAP、啟明星辰的天王旬內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)等。作為內(nèi)網(wǎng)終端計(jì)算機(jī)的信息中心和管理平臺(tái),啟明星辰天王旬內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)全面的多層準(zhǔn)入控制機(jī)制構(gòu)建出完善的內(nèi)網(wǎng)“安檢”系統(tǒng),支持包含802.1X協(xié)議、EOU協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制,支持在DHCP、DNS、EX-CHANGE等服務(wù)器上配置策略網(wǎng)關(guān)的應(yīng)用準(zhǔn)入控制。在通過(guò)以上兩種認(rèn)證準(zhǔn)入機(jī)制合法進(jìn)入內(nèi)網(wǎng)終端的同時(shí),還可以進(jìn)一步進(jìn)行客戶端準(zhǔn)入控制,目前更可支持與啟明星辰

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論