NAC是什么;目前通常有四種準入控制方式
NAC(Network Access Control)是一種網絡安全技術,旨在限制未經授權的設備和用戶連接到網絡中。它通過對設備和用戶的身份進行驗證,并確保設備具有適當的安全配置,才允許連接到網絡。
網絡準入控制 (NAC) 是一項由思科發起、多家廠商參加的計劃,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。借助 NAC,客戶可以只允許合法的、值得信任的終端設備(例如 PC、服務器、PDA)接入網絡,而不允許其它設備接入,利用 NAC 技術,企業能夠減少病毒對企業網絡的干擾。
(1)終端安全檢查軟件 終端安全檢查軟件負責對接入的終端進行主機健康檢查和網絡接入認證。
(2)網絡接入設備 網絡接入設備包括路由器、交換機、無線 AP 和安全設備等,這些設備接受主機委托,然后將信息傳送到策略服務器,在那里實施 NAC 決策。
(3)策略 / AAA 服務器
策略 / AAA 服務器負責評估來自網絡設備終端的安全信息,并決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。
NAC 系統基本工作原理是:當終端接入網絡時,首先由終端設備和網絡接入設備(如交換機、無線 AP、VPN 等)進行交互通信;然后,網絡接入設備將終端信息發給策略 / AAA 服務器,服務器對接入終端和終端使用者進行檢查;當終端及使用者符合策略 / AAA 服務器上定義的策略后,策略 / AAA 服務器會通知網絡接入設備,對終端進行授權和訪問控制。
目前通常有四種準入控制方式:
- 802.1x 準入控制:802.1x 的準入控制的優點是在交換機支持 802.1x 協議的時候,能夠真正做到了對網絡邊界的保護,缺點是不兼容老舊交換機,必須更換使用新的交換機;
- DHCP 準入控制:兼容老舊交換機,缺點是不如 802.1x 協議的控制力度強;
- 網關型準入控制:不是嚴格意義上的準入控制,它沒有對終端接入網絡進行控制,而只是對終端訪問外網進行了控制,同時,網關型準入控制會造成出口宕掉的瓶頸效應;
- ARP 準入控制:通過 ARP 欺騙實現,實際上是一種變相病毒,容易造成網絡堵塞,由于越來越多的終端安裝了 ARP 防火墻,在這種情況下,ARP 準入控制不能發揮作用。
點個贊! ()
