随着园区网络的应用和发展,病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中,一般认为园区内网是安全的,安全威胁主要来自外界。但是研究证明,80%的网络安全漏洞都存在于网络内部,它们导致的网络故障对网络的破坏程度和影响范围在持续扩大,经常引起业务系统崩溃、网络瘫痪。
网络准入控制(NetworkAdmission Control,NAC)从对接入网络的终端安全控制入手,将终端安全状况和网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户终端的主动防御能力,保证园区中每个终端的安全性,进而保护园区网络的安全性。
网络准入控制的技术背景
非法用户随意接入园区内部网络,会危害园区的信息安全。
接入园区网络的终端种类多,且园区内用户行为难以管控。
出于对安全问题的考虑,园区网络不能对所有终端开放访问权限,需要基于终端对应的用户身份和终端状态进行认证,不符合条件的终端不能接入网络。
网络准入控制以“只有合法的用户、安全的终端才可以接入网络”为主导思想,通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力。
用户终端:
各种终端设备,例如PC、手机、打印机、摄像头等。
网络准入设备:
终端访问网络的认证控制点,准入设备对接入用户进行认证,是园区安全策略的实施者,按照网络指定的安全策略实施相应的准入控制(如允许接入网络或拒绝接入网络)。
准入设备可以是:交换机、路由器、无线接入点、VPN网关或其他安全设备。
准入服务器:
准入服务器的功能是实现对用户的认证和授权,用于确认尝试接入网络的终端身份是否合法,还可以指定身份合法的终端所能拥有的网络访问权限。
准入服务器通常有认证服务器(如RADIUS服务器)和用户数据源服务器(存储用户的身份信息)。
网络准入控制基本原理
1.用户身份认证请求:网络准入设备通过和终端进行报文交互,获取终端的身份凭证。
2.用户身份认证:网络准入设备将身份凭证发送给准入服务器进行身份认证。
3.用户身份校验:准入服务器进行身份校验,确定终端身份是否合法,并将校验结果及策略下发给网络准入设备。
4.用户策略授权:网络准入设备作为策略的实施者,根据准入服务器的授权结果对终端实施策略的控制。
网络准入控制的策略管控
策略管控:即使终端通过认证接入网络,也并不意味着可以访问网络内的所有资源,而是需要基于用户身份对其加以区分,分别赋予其不同的网络访问权限。
网络准入控制的策略授权
本文暂时没有评论,来添加一个吧(●'◡'●)