隨著網(wǎng)絡應用的普及和云計算的興起,網(wǎng)絡準入控制會變得越來越重要。網(wǎng)絡準入控制對保證網(wǎng)絡邊界完整,進行訪問控制會起到重要的作用。可為各種規(guī)模的企事業(yè)單位提供優(yōu)良的內(nèi)網(wǎng)準入控制管理,能夠在不對內(nèi)網(wǎng)架構(gòu)做任何改變的前提下進行快速部署和有效管控,實現(xiàn)優(yōu)良的網(wǎng)絡安全準入控制效益常見的網(wǎng)絡準入控制技術(shù)在接入終端和網(wǎng)絡資源(如:服務器/互聯(lián)網(wǎng)出口)之間,設置一個網(wǎng)關(guān),終端只有通過網(wǎng)關(guān)的驗證和檢查后,才能訪問網(wǎng)關(guān)后面的資源;實際上網(wǎng)關(guān)準入控制只是防火墻功能的一個擴展,可以認為是網(wǎng)絡準入控制中的一種特殊形式,絕大多少傳統(tǒng)的防火墻廠商都提供該類解決方案。網(wǎng)絡準入控制具有自主知識產(chǎn)權(quán),部署方便。金華公司網(wǎng)絡準入控制報價
DHCP準入控制終端連接到網(wǎng)絡時,DHCP服務器給終端分配一個臨時的IP和路由,使得終端只能訪問有限的資源,終端通過安全檢查之后,重新獲取一個IP,此時可以正常訪問網(wǎng)絡,DHCP類型不是真正意義上的準入控制,Microsoft的NAP較初采用此解決方案,NAP后來又支持802.1x,IPsec等。通過ARP干擾實現(xiàn)準入控制,制造IP地址不同,技術(shù)實現(xiàn)簡單;利用了ARP協(xié)議本身的一些缺陷,終端可以通過自行設置本機的路由、ARP映射等繞開ARP準入控制;無需調(diào)整網(wǎng)絡結(jié)構(gòu),需要在每個網(wǎng)段設置ARP打擾的器材;過多的ARP廣播包會給網(wǎng)絡帶來諸多性能、故障問題,國內(nèi)部分小廠商支持,適合小型網(wǎng)絡。上海公司網(wǎng)絡安全準入控制售價網(wǎng)絡準入控制的背景隨著網(wǎng)絡通訊技術(shù)快速發(fā)展。
在計算機接人正常網(wǎng)絡之前,網(wǎng)絡準人控制能夠檢查它是否符合企業(yè)較新制定的防病毒和操作系統(tǒng)補丁策略。可疑計算機或有問題的計算機將被隔離或限制網(wǎng)絡接入范圍,直到它經(jīng)過修補或采取了相應的安全措施為止才可接入網(wǎng)絡。這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭。基于身份的網(wǎng)絡服務的作用是驗證用戶的身份,而網(wǎng)絡準入控制的作用是檢查設備的“狀態(tài)”。交換平臺上的網(wǎng)絡準入控制可以與信任代理共同構(gòu)成一個系統(tǒng)。信任代理可以從多個安全軟件客戶端(例如防病毒客戶端)搜集安全狀態(tài)信息,并將這些信息發(fā)送到指定訪問控制決策的網(wǎng)絡安全系統(tǒng)。應用和操作系統(tǒng)的狀態(tài)(例如防病毒和操作系統(tǒng)補丁等級或者身份證明)可以被用于制定相應的網(wǎng)絡準人決策。網(wǎng)絡準人控制整體解決方案,將會把信任代理與安全軟件客戶端集成到一起。
在很多運維項目交流中,我們發(fā)現(xiàn)有一些運維團隊還是在嘗試使用網(wǎng)管或桌面管理來進行網(wǎng)絡準入管理,但這兩個技術(shù)有一定的缺點以一機兩用等產(chǎn)品為表示,需要安裝agent并經(jīng)過審批才能進入網(wǎng)絡,否則通過ARP攻擊等手段阻止非法終端接入。控制能力強,網(wǎng)管掃描攔截,通過網(wǎng)絡管理軟件掃描局域網(wǎng)終端,并通過交換機端口控制來實現(xiàn)非法終端接入。掃描實時性差;依賴拓撲發(fā)現(xiàn);實用性不足。網(wǎng)關(guān)準入控制以酒店行業(yè)為表示,通過網(wǎng)絡接入時,要求進行登錄以分配到正確的IP地址與互聯(lián)網(wǎng)訪問許可網(wǎng)絡要求低;網(wǎng)關(guān)購買成本高。只能控制經(jīng)過網(wǎng)關(guān)的數(shù)據(jù),不能控制局域網(wǎng)。網(wǎng)絡準入控制系統(tǒng)支持旁路、網(wǎng)橋、網(wǎng)關(guān)、軟件安裝服務端等多種部署方式。
瞬間病毒和蠕蟲侵入將繼續(xù)干擾企業(yè)業(yè)務的正常運作,造成停機,業(yè)務中斷和不斷地打補丁。利用網(wǎng)絡準入控制,企業(yè)能夠減少病毒和蠕蟲對企業(yè)運作的干擾,因為它能夠防止易損主機接入正常網(wǎng)絡。在主機接入正常網(wǎng)絡之前,NAC能夠檢查它是否符合企業(yè)較新制定的防病毒和操作系統(tǒng)補丁策略。可疑主機或有問題的主機將被隔離或限制網(wǎng)絡接入范圍,直到它經(jīng)過修補或采取了相應的安全措施為止,這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭。提高網(wǎng)絡準入控制接入網(wǎng)絡終端的安全性。無錫公司網(wǎng)絡安全準入控制系統(tǒng)售價
引導網(wǎng)絡準入控制到修復區(qū)進行安全修復。金華公司網(wǎng)絡準入控制報價
在所有層級進行網(wǎng)絡準入控制,在服務入口設計準入控制,避免請求繼續(xù)進入已經(jīng)過載的系統(tǒng),在所有重要組件的入口都提供準入的控制(比如中間的異步處理邏輯,控制隊列的大小)盡量提供優(yōu)雅降級的能力,而不是直接無法提供服務,分區(qū)應該是無限可調(diào)的,不應該綁在任何物理世界的實體上,否則容易出現(xiàn)熱點問題,在早期就去了解系統(tǒng)較終部署的物理架構(gòu),網(wǎng)絡架構(gòu),跨數(shù)據(jù)中心的情況等,分析關(guān)鍵操作的吞吐和延遲,了解這些操作對系統(tǒng)的影響,針對每個服務需要查看這些指標來為擴容等操作提供依據(jù)。金華公司網(wǎng)絡準入控制報價