NAC(Network Access Control)是一种网络安全技术,旨在限制未经授权的设备和用户连接到网络中。它通过对设备和用户的身份进行验证,并确保设备具有适当的安全配置,才允许连接到网络。
NAC(Network Access Control)是一种网络安全技术,旨在限制未经授权的设备和用户连接到网络中。它通过对设备和用户的身份进行验证,并确保设备具有适当的安全配置,才允许连接到网络。
网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助 NAC,客户可以只允许合法的、值得信任的终端设备(例如 PC、服务器、PDA)接入网络,而不允许其它设备接入,利用 NAC 技术,企业能够减少病毒对企业网络的干扰。
(1)终端安全检查软件 终端安全检查软件负责对接入的终端进行主机健康检查和网络接入认证。
(2)网络接入设备 网络接入设备包括路由器、交换机、无线 AP 和安全设备等,这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施 NAC 决策。
(3)策略 / AAA 服务器
策略 / AAA 服务器负责评估来自网络设备终端的安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。
NAC 系统基本工作原理是:当终端接入网络时,首先由终端设备和网络接入设备(如交换机、无线 AP、VPN 等)进行交互通信;然后,网络接入设备将终端信息发给策略 / AAA 服务器,服务器对接入终端和终端使用者进行检查;当终端及使用者符合策略 / AAA 服务器上定义的策略后,策略 / AAA 服务器会通知网络接入设备,对终端进行授权和访问控制。
目前通常有四种准入控制方式:
- 802.1x 准入控制:802.1x 的准入控制的优点是在交换机支持 802.1x 协议的时候,能够真正做到了对网络边界的保护,缺点是不兼容老旧交换机,必须更换使用新的交换机;
- DHCP 准入控制:兼容老旧交换机,缺点是不如 802.1x 协议的控制力度强;
- ***型准入控制:不是严格意义上的准入控制,它没有对终端接入网络进行控制,而只是对终端访问外网进行了控制,同时,***型准入控制会造成出口宕掉的瓶颈效应;
- ARP 准入控制:通过 ARP 欺骗实现,实际上是一种变相病毒,容易造成网络堵塞,由于越来越多的终端安装了 ARP 防火墙,在这种情况下,ARP 准入控制不能发挥作用。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考;文章版权归原作者所有!本站作为信息内容发布平台,页面展示内容的目的在于传播更多信息;本站不提供任何相关服务,阁下应知本站所提供的内容不能做为操作依据。市场有风险,投资需谨慎!如本文内容影响到您的合法权益(含文章中内容、图片等),请及时联系本站,我们会及时删除处理。
