准入控制厂商技术比较.doc

随着安全思想不断深入，和安全 形势的不断变化，内网安全成为市场讨论的热点，而作为能有效解决内网安全的桌面准入技术，自然成为安全厂商竞相投入大批人力物力的方向，因而现有桌面准入 市场的产品层出不穷，如何挑选合适的桌面准入产品成为信息管理人员的一个难题，撰写本文的目的，就是以本人的角度，谈谈我对桌面准入产品的理解，希望对大 家有所帮助，欢迎大家讨论。 安全准入的思想首先有cisco提出，而后得到全球范围内IT 厂商的一致相应，进而各大厂商也竞相推出自己的安全准入产品，具体分类如下： 1 网络设备厂商：CISCO? NAC? H3C? EAD? HUAWEI SECOSPACE JUNIPER 2 信息提供商：microsoft ?NAP? synamtic? SEP 3 桌面管理提供商 landesk 北信源 联软 宝信 盈高 ? 本文讨论的范畴亦在上述产品中。其他产品不在本文讨论访问内 ?? 下面先给出实现安全准入的常见手段： 1 802.1x技术（内嵌agent）----在支持802.1x认证的网络设备上，使用EAP OVER LAN协议，对client的身份做验证，来确保进入授信网络的主机可信性。 ? 此种实现方式，准入强度最高，但是对接入层设备要求有对802.1x支持能力，同时对不支持802.1x条件下的设备，用户控制力度较弱。同时传统的802.1x技术，无法对终端做安全状况的检查。只是实现对用户身份验证。 ? 2 AGENT+802.1x技术-----在支持802.1x认证的网络设备上，使用EAP OVER LAN协议，传递数据到radius，对终端的身份做验证，用户身份得到验证同时，通过agent传送终端的安全状况的信息到posture 终端安全管理中心，检查终端安全状况是否符合要求，只允许同时符合身份验证和安全可信的终端接入到授信网络中。 ? 此种实现方式：准入强度最高，同时结合终端安全信息检查的功能，是现有技术最成熟的实现方式， ? 3 cisco NAC技术--------cisco NAC技术准确的来说是技术集合，从现有的情况来看，包括 传统的NAC技术---NAC framework 和新兴的NAC技术----NAC appliance ?? NAC framework技术---- ?? A? 802.1x技术-----特指支持802.1x的cisco所有设备 ?? 使用cisco CTA agent+802.1x 可实现第2点的所用功能。 ? 适用环境------所有环境 ?? B? NAC-l2-ip ---特指支持cisco NAC技术的l2层设备，35-37-45-65平台。 ?? 使用支持NAC技术的l2设备，同时使用cisco CTA agent，采用动态ACL下发到l2设备， 来达到类似802.1x端口管理的功能。也可实现第2点的功能 ?? 适用环境----campus园区等l2接入环境， ?? C? NAC-L3-IP---特指支持cisco NAC技术的l3设备，28-36-38-37等平台。 使用支持NAC技术的l2设备，同时使用cisco CTA agent，采用动态ACL下发到l3设备， 来达到类似802.1x端口管理的功能。亦可实现第2点的功能 ? ?适用环境------远程VPN用户和l3接入用户管理 ? ?? NAC appliance---- ?? 实现方式有L2 和l3，同时将非cisco设备的网络设备，纳入cisco NAC管理范围。 ?配合cisco CCA agnet+ cisco CAM 设备，亦可实现第2点的功能。 ? ?A NAC IB----- ? 此时接入网络设备---为支持vlan管理trunk的可网管设备即可，并非一定是cisco网络设备 ? 此时要求所有网络流量从cisco CAM 设备通过，此时AGENT传送终端的身份和安全状况给CAS设备，由CAS设备来检查是否符合要求，进而由CAM使用vlan跳转技术，保证授信终端进入授信vlan，进而达到安全准入的机制，即使通过验证，所有的网络依然从CAM设备通过。 ? B NAC OOB----- ?此时网络设备—为支持cisco SNMP trap管理的设备，对比NAC framework，设备只要为中低端的cisco设备即可。 ? 使用cisco特有的协议，来验证和检查终端的身份和安全状况，此时所有的流量从CAM通过，此时AGENT传送终端的身份和安全状况给CAS设备，由CAS设备来检查是否符合要求，进而由CAM使用vlan跳转技术，保证授信终端进入授信vl