返回
企业内部网络接入控制技术应用浅谈

企业内部网络接入控制技术应用浅谈

ID:46355597

大小:67.50 KB

页数:7页

时间:2019-11-23

企业内部网络接入控制技术应用浅谈_第1页
企业内部网络接入控制技术应用浅谈_第2页
企业内部网络接入控制技术应用浅谈_第3页
企业内部网络接入控制技术应用浅谈_第4页
企业内部网络接入控制技术应用浅谈_第5页
资源描述:

《企业内部网络接入控制技术应用浅谈》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业内部网络接入控制技术应用浅谈摘要:企业信息化应用程度越来越广,越来越深入,信息安全的要求也随之而来,其中网络接入控制是信息安全的一个非常重要的方案,本文通过对目前比较流行的网络接入控制的技术进行分析,得出适合各种不同类型企业的优缺点。关键词:信息安全网络接入控制1网络接入控制技术概述网络接入控制,也称网络准入控制(NetworkAdmissionControl,简称NAC)概念最早是由Cisco提出来的,最初目的是利用网络基础设施来防止病毒和蠕虫危害网络。CiscoNAC方案是Cisco自防御网络计划的第一阶段。企业目前的大多数

2、信息资料都可以通过连入到内部信息网络中获取,所以控制内部网络的接入成了整个信息安全很重要的一环,为此希望通过实施网络接入控制加强信息安全的管理手段。网络准入控制实现终端注册、安全检查、安全隔离、安全通知和安全修复,保证接入到网络的终端设备的身份是可信的、是满足强制安全策略要求的。对于外来终端设备可以限制其只能访问一些公开的资源;对于不符合强制安全策略要求的终端设备可以对其进行安全隔离,只有修复后才能正常访问网络资源;只有符合强制安全策略要求并且是内部用户的终端设备才能正常访问网络资源。图1是网络准入控制通用架构。接入网络的终端设备通

3、过代理程序向接入控制服务器提供自己的安全特性信息,接入控制服务器向策略服务器验证安全特性信息是否符合强制策略要求、终端设备的身份,接入控制器根据验证结果控制接入控制点,告诉接入控制点终端设备可以访问的网络资源。2主流网络接入控制技术分析网络准入控制实现上要解决的一个关键问题是如何能够适应用户的各种网络环境。目前有四种常见技术来实现网络准入控制:CiscoNAC、微软NAP(NetworkAccessProtection)、网关(防火墙、代理服务器)、ARP技术。这些技术采用的接入控制点设备不同,所以代理与接入控制点之间、接入控制点与

4、接入控制服务器之间的协议也不相同,能够起到的效果也不尽同。2.1CiscoNAC技术为了解决不同网络环境的准入控制问题,CiscoNAC提出了三种实现方式:2.1.1NAC-L2-802.lx基于IEEE802.lx协议,根据接入网络的终端设备身份和安全特性,动态打开/关闭网络交换机端口、或者动态切换网络交换机端口的VLAN来控制终端设备能够访问的网络资源。NAC-L2-802.lx要求接入层网络交换机支持IEEE802.lx协议,并且每个交换机端口只能连接一个终端设备,不支持Hub方式连接。Cisco2940以上的大部分网络交换机

5、都支持IEEE802.lx协议,另外其它主流厂商的网络设备如华为-3Com—些网络交换机也支持该协议。所有基于IEEE802.lx协议的网络准入控制方法包括NAC-L2-802.lx都是最彻底的解决方法,因为在终端设备没有得到验证之前网络是不通的。2.1.2NAC-L2-IP为了解决NAC-L2-802.lx要求所有接入层交换机支持IEEE802.lx并且每个交换机端口只能连接一个终端设备的限制,Cisco在标准EAP协议基础上增加了一种EAPoUDAP的协议,该协议被Cisco的3550以上的交换机支持。网络的接入层、汇聚层或者核

6、心层支持EAPoUDP协议(即有Cisco3550以上交换机)的交换机都可以作为网络准入控制的'‘控制点设备”。当终端设备接入网络并发送ARP包或者DHCP包时,接入层、汇聚层或者核心层中支持EAPoUDP协议的网络交换机在转发ARP或者DHCP包之前,会要求终端设备提供身份信息和安全特性信息,并转发给ACS服务器,ACS服务器根据验证结果向网络交换机的相应端口动态设置该终端设备的ACL,这样终端设备就只能访问规定的网络资源。另外ACS服务器还可以向网络交换机端口下载一个重定向URL,当终端设备访问Web服务器时,就会被网络交换机重

7、定向到指定URL中,如修复服务器的URL。2.1.3NAC-L3-IPNAC-L3-IP采用Cisoc路由器作为"控制点设备”。与NAC-L2-IP类似,通过设置NAC-L3-IP也是设置路由器端口的ACL和重定向URL来控制终端设备可以访问的网络资源。2.2微软NAP技术微软NAP提供了四种方法来解决不同网络环境的网络准入控制:%1基于IPSec通讯。基于IPSec的NAP客户端会根据与其通讯的对方客户端拥有什么样的健康证书(HealthCertificate)来决定是否与其通讯。NAP系统通过HCS为网络内的客户端分配健康证书以

8、及指定客户端在通讯时是否需要对方提供健康证书将网络分为三部分:安全网络、边界网络和受限网络。安全网络内的设备都拥有健康证书并且要求通讯对方也拥有健康证书;边界网络内的设备也拥有健康证书但它不要求对方拥有健康证书;受限网络内的设备不拥有

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。