从天融信TopNac看如何选择网络准入产品
2018-06-11 来源:
随着信息技术的不断发展,各国家、单位和个人也更加注重对信息的安全防护。各种安全设备(防火墙、IPS等)都纷纷部署网络中来保障信息的安全,但是依然无法阻止公司内部机密信息的泄漏和病毒的肆意扩散。据美国FBI&CSI联合调查统计,85%的安全威胁来自公司内部,如何阻止内部安全威胁让公司各层领导头疼不已。
与此同时,市场上开始出现各类针对内网安全的产品,其中,网络准入控制产品也逐步被人熟知起来,它起到一个内网安全大门的作用,能够阻挡不合法的终端(数据)进入内网。选择一个合适的网络准入产品对内网管理起到事半功倍的效果。
目前市场上的网络准入产品主要从三个大的方向来实现网络准入控制的:基于网络设备准入类、基于网关设备准入类和干扰准入类。以下进行简单介绍三个方向产品的优劣,以便管理员选择适合的网络准入产品。
基于网络设备准入类
在网络入口处进行准入控制,准入控制力度最高,主要有802.1x和思科的EOU准入技术的产品。
802.1X 准入产品
802.1X是IEEE制定关于用户接入网络的认证标准,所以市场上的交换机均能满足此技术,另802.1x是二层协议,不需要到达三层,对产品的整体性能要求不高。802.1x常用到EAP(扩展认证协议),可以提供良好的扩展性和适应性。目前国内安全厂商主要采用VLAN 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权给客户端。
该类产品不足之处对VPN、WLAN、专线等环境不支持,且大部分厂商无法解决HUB环境准入认证问题。
EOU准入产品
EOU是思科公司私有的准入控制技术。由于EOU技术工作在3层,采用UDP封装,所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活,且能很好的解决HUB环境准入认证问题,部分设备还能够支持NAT环境下的准入认证。如果环境允许,建议使用此类产品。
此类产品不足之处是只能在思科3550以上的交换机才能使用,有一定的局限性。
基于网关设备准入类
网关型准入控制简单的来说就是通过网络限制,网关认证等方式授权客户端访问网络。此类产品通常由防火墙厂家推出。通常所说的Portal认证、WEB认证等都属于网关设备准入技术类产品。
该类产品特点是维护比较方便,无需调试下面的交换机,部分厂商可以不用部署客户端,实施方便。
使用此类产品的主要考虑的问题有1.容灾性;2.并发认证及稳定性;3.网络吞吐量;4.网络结构是否改变。
干扰型准入类
ARP干扰准入产品
通过对不合规的终端进行ARP欺骗和干扰实现网络阻断。ARP欺骗和干扰本来就是攻击行为,容易造成网络瘫痪,后期会加重管理员的维护任务,且此技术漏洞太大,随便一个ARP防火墙就能轻松绕过阻断,所以此类产品现在基本不做考虑。
DHCP准入产品
通过对接入网络的终端下发临时IP地址和VLAN,临时地址仅能访问有限的服务器资源,当认证通过后,能够进行正常网络访问。此类产品可以与现有的网络兼容性较好,部分厂商采用一体化DHCP准入控制,能够很好地解决802.1x和普通DHCP准入控制的问题。
该类产品不适合于大型网络准入,部分厂商对特殊设备(如打印机)处理不够好。若产品的DHCP服务器与准入控制装置分离的话,实施起来会比较困难。
下面主要对以上几种技术类的产品进行对比,简要对比分析
产品类别 |
管控能力及范围 |
优势 |
劣势 |
802.1x技术类 |
高,管控到内网入口 |
扩展性和适应性好 |
HUB和WLAN环境支持不好 |
Cisco EOU技术类 |
高,管控到内网入口 |
HUB和NAT环境支持,灾备、特殊设备处理灵活 |
思科专业协议,仅思科设备支持 |
网关类 |
中,网关之下无法管控 |
维护比较方便,可不用安装客户端,使用WEB认证 |
管控力度不够,网关之下设备无法管控 |
ARP干扰型类 |
弱,单个网段管控 |
无 |
使用攻击手段达到管控目的,容易造成网络瘫痪,容易绕过 |
DHCP型 |
中高,适合小型网络 |
网络兼容性好,一体化DHCP准入控制产品实施较为方便 |
不适用于大规模网络 |
有客户端准入和无客户端准入
准入控制产品可以分为无客户端或者有客户端,现将两种方式的优劣势进行对比。
是否有客户端 |
优势 |
劣势 |
无客户端 |
1.无需安装agent 2.部署快捷 |
1.准入力度不够 2.认证触发问题多 3.部分产品使用浏览器插件,稳定性及兼容性不够 |
客户端 |
1.准入力度大 2.认证触发不受干扰 3.可以与桌管类产品客户端集成 |
1.系统及软件兼容性 2.部署麻烦 |
天融信网络准入系统-TopNac
其中北京天融信公司自主研发的硬件一体化网络安全准入系统(TopNac),它集802.1x准入、网关准入和DHCP型准入为一体,能够多种网络准入解决方案,满足不同网络环境下的网络准入,支持双机热备、AD联动等功能,且能够北京天融信自主研发的安全终端管理系统(TopDesk)、网络审计系统(TA-DB)及安全无线管理系统(TopAC&AP)进行联动。
下面是天融信网络安全准入系统(TopNac)不同的准入方式:
n TopNac使用802.1x准入
使用802.1x准入方式时,需要接入层交换机支持802.1x,可以实现双机热备、AD联动等功能。
n TopNac网关准入
使用网关准入方式时,可以同时采用WEB认证和基于客户端的认证,设备稳定、吞吐性能高,支持硬件bypass功能。
n TopNac采用DHCP准入
TopNac将DHCP服务器和准入控制器集中到一个设备中,无需安装客户端,对特殊设备添加黑白名单,进行永久禁用/放行。
标签: arp防火墙 安全 标准 防火墙 服务器 漏洞 美国 网络 网络安全 问题 信息技术 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。