文章      动态     相关文章     最新文章     手机版动态     相关动态     |   首页|会员中心|保存桌面|手机浏览

hckmu

http://oml01z.riyuangf.com/comhckmu/

相关列表
文章列表
  • 暂无文章
推荐文章
从天融信TopNac看如何选择网络准入产品[图]
发布时间:2024-11-19        浏览次数:0        返回列表

随着信息技术的不断发展,各国家、单位和个人也更加注重对信息的安全防护。各种安全设备(防火墙、IPS等)都纷纷部署中来保障信息的安全,但是依然无法阻止公司内部机密信息的泄漏和病毒的肆意扩散。据美国FBI&CSI联合调查统计,85%的安全威胁来自公司内部,如何阻止内部安全威胁让公司各层领导头疼不已。

从天融信TopNac看如何选择网络准入产品[图]

与此同时,市场上开始出现各类针对内网安全的产品,其中,网络准入控制产品也逐步被人熟知起来,它起到一个内网安全大门的作用,能够阻挡不合法的终端(数据)进入内网。选择一个合适的网络准入产品对内网管理起到事半功倍的效果。

目前市场上的网络准入产品主要从三个大的方向来实现网络准入控制的:基于网络设备准入类、基于设备准入类和干扰准入类。以下进行简单介绍三个方向产品的优劣,以便管理员选择适合的网络准入产品。

基于网络设备准入类

在网络入口处进行准入控制,准入控制力度最高,主要有802.1x和的EOU准入技术的产品。

802.1X准入产品

802.1X是制定关于用户络的认证标准,所以市场上的均能满足此技术 ,另802.1x是二层协议,不需要到达三层,对产品的整体性能要求不高。802.1x常用到EAP(扩展认证协议),可以提供良好的扩展性和适应性。目前国内安全厂商主要采用 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权给客户端。

该类产品不足之处对、、专线等环境不支持,且大部分厂商无法解决环境准入认证问题。

EOU准入产品

EOU是思科公司私有的准入控制技术。由于EOU技术工作在3层,采用UDP封装,所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活,且能很好的解决HUB环境准入认证问题,部分设备还能够支持NAT环境下的准入认证。如果环境允许,建议使用此类产品。

此类产品不足之处是只能在思科3550以上的交换机才能使用,有一定的局限性。

基于网关设备准入类

网关型准入控制简单的来说就是通过网络限制,网关认证等方式授权客户端访问网络。此类产品通常由防火墙厂家推出。通常所说的Portal认证、WEB认证等都属于网关设备准入技术类产品。

该类产品特点是维护比较方便,无需调试下面的交换机,部分厂商可以不用部署客户端,实施方便。

使用此类产品的主要考虑的问题有1.容灾性;2.并发认证及稳定性;3.网络吞吐量;4.网络结构是否改变。

干扰型准入类

ARP干扰准入产品

通过对不合规的终端进行ARP欺骗和干扰实现网络阻断。ARP欺骗和干扰本来就是攻击行为,容易造成网络瘫痪,后期会加重管理员的维护任务,且此技术漏洞太大,随便一个ARP防火墙就能轻松绕过阻断,所以此类产品现在基本不做考虑。

DHCP准入产品

通过对接入网络的终端下发临时地址和VLAN,临时地址仅能访问有限的资源,当认证通过后,能够进行正常网络访问。此类产品可以与现有的网络兼容性较好,部分厂商采用一体化DHCP准入控制,能够很好地解决802.1x和普通DHCP准入控制的问题。

该类产品不适合于大型网络准入,部分厂商对特殊设备(如打印机)处理不够好。若产品的DHCP服务器与准入控制装置分离的话,实施起来会比较困难。

下面主要对以上几种技术类的产品进行对比,简要对比分析

有客户端准入和无客户端准入

准入控制产品可以分为无客户端或者有客户端,现将两种方式的优劣势进行对比。

天融信网络准入系统-TopNac

其中北京天融信公司自主研发的硬件一体化准入系统(TopNac),它集802.1x准入、网关准入和DHCP型准入为一体,能够多种网络准入解决方案,满足不同网络环境下的网络准入,支持双机热备、AD联动等功能,且能够北京天融信自主研发的安全终端管理系统(TopDesk)、网络审计系统(TA-DB)及安全无线管理系统(TopAC&AP)进行联动。

下面是天融信网络安全准入系统(TopNac)不同的准入方式:

•TopNac使用802.1x准入

使用802.1x准入方式时,需要接入层交换机支持802.1x,可以实现双机热备、AD联动等功能。

•TopNac网关准入

使用网关准入方式时,可以同时采用WEB认证和基于客户端的认证,设备稳定、吞吐性能高,支持硬件bypass功能。

•TopNac采用DHCP准入