精华内容
下载资源
问答
  • 大势至网络准入控制系统是大势至(北京)软件工程有限公司推出的一款局域网网络接入控制系统,本系统以有效防止外来电脑接入公司局域网、有效隔离局域网电脑(禁止电脑上网或禁止电脑访问局域网服务器共享文件,或者...
  • 企业网络从有线向无线转型的过程中, 为保障网络安全, 需实现有线无线一体化 准入
  • 大势至内网准入控制系统是大势至(北京)软件工程有限公司推出的一款专业的局域网安全防护系统,以有效防止外来电脑接入公司局域网、有效隔离局域网电脑(禁止电脑上网或禁止电脑访问局域网服务器共享文件,或者禁止...
  • 捍卫者准入控制管理系统是捍卫者软件系列中一款准入控制,终端准入,局域网监控为一身的准入控制系统。是目前国内唯一可以最有效防止非法外联、局域网监控、局域网管理、禁止局域网U盘复制、监视U盘和移动硬盘随意...
  • 大势至网络准入控制系统是当前国内首款基于B/S架构的局域网安全管理系统,本文主要给大家介绍下大势至网络准入控制系统、局域网接入认证系统、网络接入管理系统,需要的朋友们可以参考下
  • 网络准入控制 (NAC) 其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。准入控制能够在用户访问网络之前确保用户的身份是信任关系,只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不...

    网络准入控制 (NAC) 其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。准入控制能够在用户访问网络之前确保用户的身份是信任关系,只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。也可以阻止感染了病毒或未升级系统补丁的电脑接入网络。

    在2007年曾经研究过《802.1X+IAS+AAA+DVLAN实现用户身份认证和IP地址动态管理》并应用于企业环境。但由于802.1x的特点,部署后压力非常大,一方面802.1x客户端的配置工作量大,另一方面服务器端的维护压力也大,没实施多久就被迫停止了。

    您是否也部署过基于802.1x架构的准入控制系统?在部署后是否经常接到过让人头疼而又倍感压力的电话?

    但准入技术发展的日新月异,加上无客户端化浪潮的不断演进,原有技术细则中过多偏向于802.1x技术实现的弊病也显露无疑。早在2010年左右,NAC产品已有了翻天覆地的变化。在Forrester对NAC厂商的排名中,我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准:

    Unified management (整合管理)

    Integration (集成度,或兼容性)

    Clientless (agentless) mode (无客户端模式)

    Hardware (appliance) (硬件应用)

    Heavy focus on IT consumerization, mobiledevice control and data center virtualization (关注前端、移动端和虚拟化)

    准入产品中的无客户端化已经成为了最基本的要求。

    目前市面上的NAC产品也比较多,经过一番对比,我们最终选择了ForeScout设备,采用旁路方式连接。

    本文主要分享控制策略,并不介绍ForeScout设备的配置,配置也非常简单,参考相关的资料很快就能上手。

    实施过程我们分为两个阶段:

    第一阶段:PC合法性检查,即只允许受信任的PC能够接入公司网络。

    第二阶段:PC合规性检查,即检查是否安装防病毒软件,是否升级到最新的系统补丁等。

    目前我们只完成第一阶段的部署,第二阶段正在收集数据并分析中。

    企业环境介绍:

    公司有无线网络和有线网络两种接入方式,无线网络采用的是LEAP协议,通过域帐号和密码来做身份认证,访问Internet通过HTTP代理方式。公司在全球有不同的分支机构,也有不同的域名称,其中总部出差用户较多,需要能够访问服务器和Internet,因此要做单独的控制策略。

    新增了一个GuestWLAN的SSID来应对客户的网络接入,无需输入密码,接入后分配至独立的VLAN,可以直接访问Internet,不能访问公司的网络资源。

    详细地终端分类和控制要求、方法如下表所示。

    在这里插入图片描述

    问题1:发现偶尔无法阻止部分移动终端连接。

    原因:我们是通过无线控制器WLC来做MAC地址过滤,经检查,WLC最大能支持2048个MAC地址,超过容量之后将无法再添加,ForeScout也就无法实现阻止。

    解决方案:用Cisco ACS来做第三方AAA服务器。

    问题2:ForeScout无法阻止UDP连接。

    原因:ForeScout只能阻止TCP连接,无法阻止UDP连接,如果能够连接上,像QQ,微信是可以使用的,但打不开网页。

    解决方案:无。没有了解过其它的NAC产品是否也有该问题?

    问题3:我只有1000台电脑,但系统中会显示1500,甚至更多。

    原因:ForeScout只认IP地址,如果一台网络设备有多个IP地址,将会识别为多台设备。一台笔记本电脑同时连接有线网络和无线网络,也会识别为两台设备。

    解决方案:针对网络设备,修改网段配置,将网关等网络设备的IP地址排除;针对笔记本电脑,可以安装Lenovo access connection,这只针对Intel芯片的网卡,当连接有线网络后,无线网络自动中断,当断开有线网络后,自动连接无线网络,同时,在ForeScout系统中将Offline过期时间设置为1小时。

    其它功能:

    在“Inventory”下有很多其它的统计功能,比如,可以看到一个域帐号是否在多台电脑上登陆,以及登陆电脑名;可以看到交换机端口下是否连接了HUB等设备。这些都是在期望之外的,算是一点小惊喜吧。估计其它的NAC产品也会有这些功能。

    在这里插入图片描述

    展开全文
  • 大势至局域网准入控制系统是一款专门隔离局域网电脑的软件。软件不仅可以防止外来电脑接入公司局域网,而且还可以隔离局域网电脑访问其他电脑或服务器共享文件,禁止局域网电脑之间相互通讯,同时还可以禁止局域网...
  • 泛终端边界准入防御策略下的网络安全研究——基于人民银行网关准入控制系统和一体化终端管理系统相结合的实践.pdf
  • 内网安全管理隐患应从准入控制做起,银行是我国金融体系中最重要主体,目前已有超过90%的银行业务依赖于网络和信息系统,因此针对信息网络的
  • 如何禁止局域网电脑之间相互通讯,禁止局域网一台电脑访问另外一台电脑,如何更好地保护局域网安全,保护单位无形资产和商业机密。本文提供了一种非常有效的方法,可以帮你解决这些网络管理难题!
  • 网络准入控制技术在终端安全管理系统中的应用 宋经伟 中国北车集团大同电力机车有限责任公司 信息中心 山西 大同 摘 要 探讨了网络准入控制技术在终端安全管理系统中的应用 介绍了网络准入控制原理和网络准入控制技 ...
  • 网络准入系统集中式管理方案 1项目背景 1.1 目前网 络安全概况 自从在股份公司和下属分公司在 业务系统上大力推广信息化 发展策略目前公司运作的网 络是由 17 家公司的内部网 络通过 MPLS VPN 网络构成的广域网规模...
  • 网络准入控制和桌面安全管理系统整体项目解决方案建议书.doc
  • 网络准入控制(NAC).docx

    2021-10-02 18:01:01
    网络准入控制(NAC).docx
  • k8s安全 认证 鉴权 准入控制之四:准入控制 准入控制 认证插件和授权插件完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除的相关操作请求以强制实现控制器中实现的功能。 准入控制是API Server的...

    系列文章链接

    1. k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
    2. k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
    3. k8s安全 认证 鉴权 准入控制之三:实践
    4. k8s安全 认证 鉴权 准入控制之四:准入控制

    准入控制

    认证插件和授权插件完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除的相关操作请求以强制实现控制器中实现的功能。

    准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是:

    NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
    

    列举几个插件的功能:

    • NamespaceLifecycle: 防止在不存在的 namespace 上创建对象,防止删除系统预置 namespace,删除 namespace 时,连带删除它的所有资源对象。
    • LimitRanger:确保请求的资源不会超过资源所在 Namespace 的 LimitRange 的限制。
    • ServiceAccount: 实现了自动化添加 ServiceAccount。
    • ResourceQuota:确保请求的资源不会超过资源的 ResourceQuota 限制。
    展开全文
  • 随着IT网络信息化技术的发展,以及...本文主要就企业网络安全管理,分析了传统网络运维存在的问题,提出新的运维管理方式之授权准入控制应用。以实际应用为例,阐述了授权准入控制为企业带来的网络安全管理的作用与效益。
  • 北信源网络接入控制系统用户使用手册-2017.12月版 清楚的表明功能的作用与配置的方法,以及明细的操作姿势 能够尽快熟悉设备的使用,保障网络的安全
  • 企业IT系统正逐渐成为主角,真正地承载甚至成为企业业务本身,而终端、网络、数据等成为了业务系统的重要基石,其交互过程中是否稳定、数据是否安全、是否可靠,某种程度上决定了企业的业务系统能否安...

    序言:随着数字化转型的推进,企业IT系统正逐渐成为主角,真正地承载甚至成为企业业务本身,而终端、网络、数据等成为了业务系统的重要基石,其交互过程中是否稳定、数据是否安全、是否可靠,某种程度上决定了企业的业务系统能否安全稳定可靠运行。

    新华三成立伊始就自研了终端准入控制产品EAD³,当终端接入网络时,根据用户端、准入控制组件、网络设备(交换机、路由器、防火墙、无线)以及第三方软件(杀毒软件、补丁服务器)的联动,严格控制终端用户的网络使用行为,对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。

    【IT168报道】近日,“纵横端网,无懈可击”为主题的新华三新一代终端准入控制系统EAD³正式发布,新华三从网络、数据、桌面和行为四个维度入手,为用户提供多维度的终端管理能力和防护能力。在本次发布会上,新华三业务软件产品部总监李冬将EAD³创新总结为:分布式账本认证集群、AI+终端可视化和阿米巴魔盒,能够全面满足客户对于网络准入、桌面安全、行为审计和数据保护的需求。

    ▲新华三业务软件产品部总监李冬

    持续领跑 十五年发展历程

    “提起新华三,大家首先想到是网络设备、WiFi产品等硬件产品,当然新华三软件也非常知名,”新华三网络产品部副总经理 杨海军在致辞中讲到,他从三个维度展开阐述。

    ▲新华三网络产品部副总经理 杨海军

    首先,新华三在2003年成立时就开始研发Comware(网络设备的网络操作系统),就被定义成公司的核心竞争力之一,截止目前,Comware已经发展成为有7千万行源代码的庞大系统,支持了新华三所有设备在同一个操作系统上运行,保证了所有设备操作的一致性。

    其次,新华三iMC智能管理中心(Intelligent Management Center,以下简称:iMC),不是简单定位网络设备管理软件,而是可以管理网络内所有资源。在IDC发布的《中国网络管理软件市场跟踪报告,2018H1》显示,iMC智能管理中心在2018年上半年凭借23.3%的市场份额位居中国网络管理软件市场第一。同时,据IDC的数据统计,新华三从2017年到2018年上半年,已经连续占据中国网络管理软件市场份额首位,体现了新华三在网络管理软件领域的雄厚实力。

    最后,在2017年9月20日,新华三还获得由美国CMMI Institute颁发的CMMI 5级证书,标志着新华三的研发软件开发成熟度达到世界一流水平,也意味着在研发过程的控制能力与目标达成能力方面,已荣登最高峰。

    而今天发布的新一代终端准入控制系统EAD³,只是IMC其中一个模块,IMC包括了20个模块和组件,EAD³是其中的一个,EAD³可以独立部署,也可以在IMC上部署进行联动。从EAD³研发至今,拥有15年的技术积累和沉淀,服务超过3000万用户终端,为客户提供完善的准入控制服务。在“永恒之蓝”勒索病毒猖獗的2017年, EAD保护下的企业都平稳度过了病毒肆虐期。

    面对传统认证风险, “区块链”破解阿喀琉斯之踵

    当前网络认证方式,无论是冷备、热备还是逃生模式都严重依赖主机的可靠性,一旦发生主机故障,整套认证系统有可能失效,继而影响企业日常业务。为此新华三从区块链技术上获得启发,通过部署分布式账本网络准入集群,实现去中心化的分布式认证,极大提高了认证系统的可靠性以及实时性,同时大幅降低了用户系统实施部署的成本。

    新一代EAD³创新性引入分布式账本技术,最核心的特点就是去中心化、实时同步、高可用,这使得准入控制系统进化到一种全新的运行方式。因为分布式账本认证集群的设计不存在中心化的管理节点,单个、多个节点宕机的故障并不会影响系统正常运行,能够确保系统认证永久在线,因此整个系统认证可靠性进化到新高度。理论上,分布式账本守护下的新华三EAD³?系统可靠性可达99.9999%。

    新华三EAD³可以完美适配用户已有的网络架构,无论是在传统物理网络环境中应用,还是在公有云、私有云及混合云等新型架构中都可以部署,极大的丰富了用户使用场景,增加了EAD³适用的范围。

    加码AI技术 新华三EAD³实现智能排障

    随着IT环境不断变化,除了PC之外,智能手机、ATM机、摄像头、打印机等终端种类多,数量庞大,带来了管理的复杂度,同时新设备不断增加、旧设备淘汰,网络环境复杂多变、使用习惯各异、海量需求,带来了运维的工作量大大提升。

    新华三新一代终端准入控制系统EAD³引入人工智能技术,通过充分挖掘自身终端准入数据价值,完美实现终端系统数据、用户数据、业务数据可视化,借助AI,EAD³充分发挥准入系统在威胁捕捉、人群捕捉、业务捕捉方面的潜力和价值。

    可视化技术是AI进入终端准入系统的一个重要指标,EAD³通过AI引擎分析终端系统日志、用户上网行为日志、终端业务数据,提供直观的图形化界面来进行预警及安全管理,即时预警潜在威胁,防止终端安全问题大规模爆发。AI既为EAD³增加智能学习、自我演进的能力,同时加快了终端主动安全管理的步伐,符合终端安全发展趋势。

    ▲新华三集团副总裁毕首文

    新华三集团副总裁毕首文在接受采访时候也指出,新华三成立AI技术研究院,利用新华三在云、网端技术积累数据和大量补丁管理数据,这些最真实的一手大数据资料成为EAD³ AI应用的坚定基石。

    新华三业务软件产品部总监李冬补充道,针对海量终端进行分类,对于PC和智能手机等智能终端,使用新一代终端准入系统EAD³管理,对于摄像头等非智能终端,使用新华三鹰视系统管理,然后两个放在一块形成一个完整的IP终端的应用。

    多重适配场景,阿米巴魔盒全方位兼容

    阿米巴魔盒提供多场景适配,全方位兼容,让准入控制具备更多变的进化力。

    阿米巴魔盒具备多种服务角色扮演能力,比如AAA服务器、认证网关服务器、软令牌认证服务器、Oauth认证服务器等,丰富的准入控制能力可轻松应对各种类型准入认证场景;它可满足海量用户环境下的账户认证和管理,支持社交媒体账号、Email账号统一认证,与互联网生态完美融合;它通过零基础一站式的页面开发能力,让用户可定制化各种专属认证页面,实现PC、手机、PAD全覆盖。为满足移动运维需求,阿米巴魔盒还推出了移动运维APP工具,让运维变得无处不在。

    对于合规要求高的客户,阿米巴魔盒内嵌了动态软令牌系统,可以结合用户名和密码为客户提供零成本的双因素认证,帮助客户低成本满足各类监管要求,同时阿米巴魔盒还能全面支持国密算法,满足特定行业的安全要求。

    不论是基于传统网络基础架构的升级,还是直接部署在公有云或私有云的新一代计算平台,配备阿米巴魔盒的EAD³系统都能从容应对用户的各种需求,从云端到办公室,从手机到PC,终端准入无懈可击。

    聚焦新场景:终端行为审计&数据保护

    常规一套标准的终端行为审计系统,由四个板块组成,网络准入、桌面安全、数据保护、行为审计,端网结合的多维度防护体系立足终端本地,才能杜绝一切可能发生的安全事故。

    传统准入系统缺失了终端行为审计&数据保护,由另外一个单独软件来实现,例如DLP,网络审计软件来实现,新华三EAD³决定将后面两块补充上,真正拼起来,可以实现敏感行为识别,我们分为系统行为和上网行为,实现管理审计并重、行为内容兼顾。

    李冬强调,深层次数据分析方面,我们目前可以对500家不同类型的数据进行分析。

    写在最后

    正所谓网络无大小,安全无小事,新一代终端准入系统EAD³可以满足各种规模场景使用,未来,新华三也将不断迭代产品,以更加高效、主动、创新的研发能力和服务水平为国内外客户服务,在体验上实现几何级提升。

    来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/17066424/viewspace-2564275/,如需转载,请注明出处,否则将追究法律责任。

    转载于:http://blog.itpub.net/17066424/viewspace-2564275/

    展开全文
  • 网络准入控制

    千次阅读 2020-09-25 11:41:10
    网络准入控制(Network admission control ) 1. 网络准入控制产生的原因 早先大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户的接入合法性、并且能够为其分配网络访问权限,但是对于接入用户...

    网络准入控制(Network admission control )

    1. 网络准入控制产生的原因

    早先大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户的接入合法性、并且能够为其分配网络访问权限,但是对于接入用户终端设备的安全状况一无所知。如果不通过准确方法来评估设备状况,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。

    而网络准入控制,早期被称之为终端接入控制,最早由CISCO在2002年提出,目前该技术可与传统的网络安全技术如防火墙、防病毒技术结合,可通过身份认证、终端安全检查、访问控制等多个功能模块,实现对接入网络的终端进行全面的安全检测,防止感染病毒、木马、蠕虫或其它不合法的终端进入网络后对企业造成危害,将被动防御变为主动防御,有效促进内网合规建设,减少网络事故。

    2. 网络准入控制的架构演进

    第一代:基于软件的架构–Software-base NAC;

    主要是桌面厂商产品,采用ARP干扰、终端代理软件的软件防火墙等技术。

    2.1 ARP干扰技术

    通过ARP干扰实现准入控制,制造IP地址冲突;实际上是利用了ARP协议本身的一些缺陷,终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制;国内部分小厂商支持,适合小型网络。

    优点:技术实现简单;无需调整网络结构

    缺点:设置路由、ARP映射等后,需在各个网段设置ARP干扰器;过多的ARP广播包会给网络带来诸多性能、故障问题;ARP准入控制是通过ARP欺骗实现,实际上是一种变相病毒。容易造成网络堵塞;终端安装ARP防火墙后,ARP准入控制将不起作用。

    第二代:基于基础网络设备联动的架构—Infrastructure-base NAC;

    主要是各个网络设备厂家和部分桌面管理厂商,采用的是802.1X、PORTAL、EOU等技术。

    2.2 802.1X技术

    802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制,是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源,支持多网络厂商,可在网络交换机和无线AP上实现。

    优点:在交换机支持802.1x协议的时候,802.1x能够真正做到了对网络边界的保护。

    缺点:不兼容老旧交换机,必须重新更换新的交换机;交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。

    2.3 EOU(EAP OVER UDP )技术

    谈EOU技术前,我们先来了解一下EAP协议,EAP(Extensible Authentication Protocol),最初作为PPP的扩展认证协议,使PPP认证更具安全性。且最初局域网的接入没有安全认证,于是在WLAN界内引入了EAP认证,同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。并且802.1x协议也支持传统的其他局域网类型,比如以太网。EAP与802.1x的结合就是EAPOL(EAP Over LAN),或者称为EAP over 802.1x。

    而EOU,是思科公司私有的准入控制技术;CISCO 3550 以上设备支持 ,同时分为二层EOU和三层EOU;两者区别在于:二层EOU是指运行在交换设备上的(三层交换机也包括),二层EOU认证是靠ARP 和DHCP触发认证的,所以在客户端和认证网络设备之间Authenticator System(设备端)之间必须可以让ARP 和 DHCP包能够通过;三层的EOU,是工作在路由器上的,他是靠包转发来触发认证,所以支持各种接入环境,二层EOU和三层EOU除了认证触发和运行设备有区别外其他无区别。

    EAPOL VS EAPOU:EAPOL是在网络的接入层进行准入控制,而EAPOU是在网络的汇聚层或核心层进行准入控制。

    EAPOU优点:对网络接入设备要求不高,因而覆盖面较高; 而且汇聚层设备一般少于接入层设备,部署相对容易。

    EAPOU缺点:EAP协议要求数据包按顺序到达,然而EAPOU没有机制保证包的到达顺序,以前承载EAP包的底层协议比如PPP、802.1x都能保证数据包的顺序,而UDP不能保证数据包的顺序,在大用户量的情况下,可能会产生显著的认证失败问题;且强制性不如EAPOL,因为EAPOU的控制点在汇聚层,而不是接入层,离终端越远,控制力越弱。如果终端不受管理,即使其不符合安全策略,它只是不能访问汇聚层以后的网络,而可以照常访问其所在的接入层的网络;EAPOU作为思科私有协议,无法成为国际标准,得不到其余厂商支持,导致拓展性不强。

    第三代:基于应用设备的架构—Appliance-base NAC;

    主要是专业准入控制厂商,如ForeScout、盈高科技、Sysgate SNAC。采用的是策略路由、MVG、VLAN控制等技术。

    2.4 策略路由联动

    策略路由模式,交换机通过策略路由的将报文定向到网络接入控制系统,经由网络接入控制系统针对终端的可信程度进行认证和判定后,采用丢弃或者正常转发到原路由下一跳的。 另外,大多数支持策略路由的核心设备同时也支持逃生模式,核心设备在确认策略路由的下一跳不可达的情况下,可以按照策略配置自动选择原有默认路由,从而保证网络业务的可持续运营。

    优点:旁路部署,不改变网络结构。

    缺点:要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能

    2.5 VLAN联动

    Vlan准入控制基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,(配置交换机上的SNMP Write,在网管平台上,才可以对交换机进行配置修改;否则,只能读,不能写)将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN, 切换为可信VLAN,正常上网。

    2.6 MVG技术

    谈MVG技术前,让我们先来看看前身VG(虚拟网关),该技术为思科私有技术,也只有思科设备支持。因而国内某些公司开发了MVG(多厂商虚拟网关)技术(盈高科技专利技术)。该技术和VG一样,都是基于接入层的网络控制技术,但MVG可以支持目前市场上几乎所有的交换机设备。 且MVG通过telnet/SSH方式管理交换机,因而拥有更广的应用空间,通过与网络设备联动,掌握全网设备动态,可切换终端接入交换机的接口vlan,实现准入效果。

    优点:兼容性强,旁路部署,不改变网络结构;通过SSH、telnet管理交换机,应用空间广;认证前仍可访问部分公共资源。

    总结三种框架的进化与发展

    1、现在完全基于Software-base的架构,范围及控制力度有限,目前已不被用户接纳;

    2、而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,但是对网络设备要求高。部署比较困难。

    3、现在国外比较新兴的是采用Appliance-base 架构的NAC设备,这种NAC设备对网络设备的种类、型号几乎无要求。不需要安装任何客户端,大大降低部署难度的同时可以达到很好控制力度。是目前市场认可度比较好的NAC方案。

     

    典型部署-部署模式

    3.新兴Appliance-base 架构-部分技术准入原理及部署

    3.1 策略路由准入原理

     

     

    3.2 MVG准入原理

     

     

     

    展开全文
  • 201 计算机系统应用1年第20卷第l期http://www.c-S·a.org.cn计算机网络终端准入控制技术①周超,周城,丁晨路(重庆通信学院研究生管理大队,重庆400035)摘要:终端准入控制根据预定安全策略,对接入网络的终端...
  • 以定级为等保二级或更高安全等级的网络为例,针对违规内联,会专门部署终端桌面管理系统,并对网络接入实行准入控制准入控制手段主要有: (1)基于802.1X进行准入控制; (2)基于交换机端口绑定实行准入控制;...
  • k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) 授权(Authorization) ·上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而...
  • 常见的网络准入控制技术对比表

    千次阅读 2019-04-18 11:54:52
    产品类别 管控能力及范围 优势 劣势 802.1X ... 2.通过动态VLAN切换,实现对不安全终端的隔离 3.不会影响网络的性能 1.只有通过LAN接入才...
  • 对等云存储系统中抗Sybil攻击的准入控制机制,何亨,夏薇,提出了一个对等云存储系统中基于身份密码的准入控制机制,包括4个协议,分别为不同实际场景中的用户安全高效地分配身份标识,并��
  • 终端准入安全之五种准入规则简介

    千次阅读 2019-07-30 21:28:50
    802.1x准入控制 802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制,是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问...
  • Kubernetes准入控制器指南 作者:Malte Isberner(StackRox) Kubernetes极大地提高了当今生产中后端群集的速度...安全功能的最新引入是一组称为“准入控制器”的插件。必须启用准入控制器才能使用Kubernetes的一...
  • AC敏捷控制器及准入控制技术对比

    千次阅读 2019-05-31 21:17:25
    基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。 AC应用场景: 传统园区有线无线一体化接入 敏捷园区接入 公共场所无线接入 AC的功能特性: ...
  • 那个繁荣的PC机时代造就了繁荣的桌面管理行业,当年稍大一点的机构,逢终端安全则必谈桌面管理想想也就是几年前的事。当时整个行业在一夜之间就涌现出了几十上百家的各种桌面软件厂商。什么收集电脑软硬件信息、收集...
  • 网闸&准入控制&负载均衡

    千次阅读 2019-10-14 17:29:56
    安全产品 网闸 准入控制 负载均衡

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,451
精华内容 2,580
关键字:

安全准入控制系统