返回
终端安全:准入控制保障“内网合规”

终端安全:准入控制保障“内网合规”

ID:23392354

大小:52.00 KB

页数:6页

时间:2018-11-07

终端安全:准入控制保障“内网合规”_第1页
终端安全:准入控制保障“内网合规”_第2页
终端安全:准入控制保障“内网合规”_第3页
终端安全:准入控制保障“内网合规”_第4页
终端安全:准入控制保障“内网合规”_第5页
资源描述:

《终端安全:准入控制保障“内网合规”》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、终端安全:准入控制保障“内网合规”~教育资源库  随着网络应用的日趋复杂,计算机终端已不再是传统意义上我们所理解的终端,它不仅是内网中网线所连接的PC机,更是网络中大部分事物的起点和源头是用户登录并访问网络的起点、是用户透过内网访问Inter的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此,也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。  在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不

2、安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。  目前的准入控制技术主要分为两大类:基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL(ExtensibleAuthenticationProtocolOverLAN)技术、EAPOU(ExtensibleAuthenticationProtocolOverUDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。  1.基于网络的准入控制  EAPOL  EAP是ExtensibleAuthent

3、icationProtocol的缩写,EAP最初作为PPP的扩展认证协议,使PPP的认证更具安全性。无线局域网兴起后,人们在无线局域网接入领域引入了EAP认证,同时设计了专门封装和传送EAP认证数据的IEEE802.1x协议格式。802.1x协议除了支持WLAN外,也支持传统的其他局域网类型,比如以太网、FDDI、TokenRing。EAP与802.1x的结合就是EAPOL(EAPOverLAN),或者称为EAPover802.1x。作为一种标准局域网的数据包协议,802.1x几乎得到所有网络设备厂商的支持。  EAPOL不仅能用来解决终端电脑身份认证的问题,也可以用来认证电脑的

4、安全状态。在进行身份认证的同时,顺便检查终端电脑的安全状态,并能根据认证状态设置端口状态,动态切换VLAN,或者下载ACL列表。因为802.1x协议被网络厂商广泛支持,所以EAPOL是支持范围最广的网络准入技术。EAPOL的优点是它可以做到最严格的准入控制,控制点是网络的接入层交换机,最接近终端电脑,对不符合策略的电脑可以完全禁止其访问任何网络,使其对网络的危害最小。  EAPOL除了需要网络设备支持以外,还需要一系列相关配套的软件,比如Cisco的NAC、H3C的EAD、启明星辰的天珣内网安全风险管理与审计系统等。  EAPOU  网络准入的概念是由Cisco普及的,Cisco

5、的NAC除了包含前面讨论的EAPOL,还有EAPOU(EAPOverUDP)。与EAPOL国际标准协议不同的是,EAPOU是Cisco的专有协议,即独家技术。EAPOU是CiscoNAC技术的第一个实现版本,2003年最早在Cisco的路由器上实现,后来在Cisco的3层交换机上也实现了EAPOU。EAPOL是在网络接入层进行准入控制,而EAPOU则是在网络的汇聚层或核心层进行准入控制。  EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时,汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内,在EAP认证的内容中,身份认证其

6、实并不重要,重要的则是安全状态认证。如果安全状态不符合企业策略,汇聚层EAPOU设备将从策略服务器上下载ACL,限制不安全的客户端的网络访问,并对其进行修复。  EAPOU技术的优点是它对网络接入设备要求不高,因而覆盖面较高;而且汇聚层设备一般明显少于接入层设备,因此部署相对要容易一些。目前支持EAPOU的设备只有Cisco的路由器和3层交换机,相关配套的系列软件为NAC。  2.基于主机的准入控制  如果用户的网络设备不支持网络准入,或不想花费太多的部署和管理时间,还可以进行基于主机的准入控制。在此处主机是指网络中除网络设备之外的电脑主机,包括服务器和电脑终端。基于主机的准入控

7、制最大特点就是容易部署。  系统及应用准入是在服务器的操作系统上安装准入控制软件,当电脑终端访问服务器时,准入控制软件会检查对方的安全状态,如果符合策略则允许访问,如果不符合将拒绝对方的访问,并给出相关提示。而客户端准入控制是终端相互之间进行访问时,安装在终端上的软件也会检查对方的安全状态。基于主机的准入控制点一般安装在代理服务器、邮件服务器、内网Web服务器、DNS服务器上或DHCP服务器上。这些服务器是企业内部员工最常访问的服务器,因此准入效果较好,覆盖面广。实际部署时,一般

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。