什么是网络准入控制
网络准人控制的宗旨是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害。借助网络准入控制技术,可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络,而未经授权的终端不能接人。
网络准入控制的发展背景
基于身份的网络服务(IBNS)能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是其中一部分,尽管依照总体安全策略,用户有权进入网络,但是其使用的计算机可能不适合接入网络。这种情况是因为笔记本电脑等移动计算设备的普及提高了用户的生产率,但是同时会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新人银行网络时,就会将病毒等恶意代码在不经意之间带入银行工作环境。
瞬间病毒和蠕虫侵入将继续干扰银行业务的正常运作,造成停机、业务中断和不断地打补丁。利用网络准入控制技术,能够减少病毒和蠕虫对信息系统运行的干扰,因为它能够防止易损主机接人正常网络。在计算机接人正常网络之前,网络准人控制能够检查它是否符合银行最新制定的防病毒和操作系统补丁策略。可疑计算机或有问题的计算机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止才可接入网络。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
基于身份的网络服务的作用是验证用户的身份,而网络准入控制的作用是检查设备的“状态”。交换平台上的网络准入控制可以与信任代理共同构成一个系统。信任代理可以从多个安全软件客户端(例如防病毒客户端)搜集安全状态信息,并将这些信息发送到制定访问控制决策的网络安全系统。应用和操作系统的状态(例如防病毒和操作系统补丁等级或者身份证明)可以被用于制定相应的网络准人决策。网络准人控制整体解决方案,将会把信任代理与安全软件客户端集成到一起。
网络准入控制的原理
网络准入控制系统基于一个全新系统架构,它将整个内网安全防护策略划分为逻辑上的3个组成部分:①内网边界安全防护,对来自网络外部的安全威胁进行安全防护;②内网安全威胁防护,对来自网络内部的安全威胁进行防护;③外网移动用户安全接人防护,用于保证内部移动用户在不同网络环境中的自身安全及企业网络安全。因此,只有建立完整的网络准入控制体系才能有效保护内部网络安全,也只有拥有网络准入控制的终端安全管理体系才能够提供终端的全程、纵深终端安全保障体系。
网络准入控制的主要优点
(一)控制范围大。它能够检测计算机用于与网络连接的所有接人方法,包括园区网交换、无线接入、路由器WAN链路、IPSee远程接入和拨号接人。
(二)多厂商解决方案。网络准人控制是一项由思科发起、多家防病毒厂商参加的项目,包括Net—workAssociates、Symantec和TrendMicro。
(三)现有技术和标准的扩展。网络准人控制扩展了现有通信协议和安全技术的用途,例如可扩展认证协议(EAP)、802.IX和RADIUS服务。
(四)利用网络和防病毒投资。网络准人控制将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准人控制设施。
网络准入控制的常见方法
通常有4种准入控制:
a.802.1x准入控制
802.1x的准入控制的优点是在交换机支持802.1x协议的时候,802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机,必须重新更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。
b.DHCP准入控制
DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。
c.网关型准入控制
网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制,而只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。
d.MVG准入控制
其前身是思科公司的VG(虚拟网关)技术。但是该技术仅能支持思科公司相关设备。受该技术的启发,国内某些公司开发了MVG(多厂商虚拟网关)技术。该技术可以支持目前市场上几乎所有的交换机设备。
e.ARP型准入控制
ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。