X
牛竞技的愿景:构建可控的互联世界!

网络准入控制NAC的演进史
发布时间:2016-08-12 | 牛竞技来源地: | 浏览次数:3046

历史巨轮: NAC 诞生

计算机高速发展过程中,网络内出现越来越多的 0day 攻击,此时迫切需要一种技术可以对非法的电脑做网络隔离,并能在网络中自动定位出有问题的电脑,进一步对这些电脑做安全修复,最早的网络准入控制技术应景而生。


2003 年,当时全世界最大的网络厂商 Cisco 提出 NAC 技术与 SDN( 自防御网络 ) 概念,并形成了网络准入控制技术框架,随后, Microsoft Juniper 等网络大厂也分别发布相应的产品与解决方案,到了 2006 年,网络准入控制市场发展迅猛,当年 NAC 被国内外媒体称为继防火墙之后最大的网络安全市场热点。

NAC 首创者: Cisco

思科是网络准入控制技术的提 出者, Cisco NAC 网络准入控制技术的演进过程如下所示:

Cisco NAC 1.0 :解决网络隔离问题;

Cisco NAC 2.0 :实现更细粒度的准入控制;

Cisco NAC 3.0 :提出硬件的解决方案,主要解决部署困难的问题;

Cisco NAC 4.0 :思科又放弃了网关的方案,重点解决集中管理的问题,在第二代技术基础上增加了实名制网络资源访问控制等技术,即 Role-based 802.1x 技术。

经过这么多年的发展, NAC 的解决焦点从网络的访问控制演进为对资源的访问控制。

NAC 技术发展阶段

时间

驱动力

功能

局限性

2003-2004

网络蠕虫

基本的设备 PC )检查

技术复杂, 缺乏标准

2005-2006

来宾访问

无线接入

基本的设备 PC )检验、 802.1 X 身份验证

技术复杂,成本高,混乱的市场格局,标准的竞争导致了混乱的市场

2007-2008

设备( PC )认证

有线和无线网络的 802.1x 身份认证

技术复杂,多个 802.1 X 制约

2008-2010

来宾访问

无线接入( 802.11n

802.1 X 身份验证,

常规的有线 / 无线策略管理

NAC 在预防 / 检测高级持续性威胁 ( APTs) 乏力,削弱了实用性

2010- 至今

BYOD

移动终端

提供基于策略的情报、 执行、 弱化风险,并实时监控所有网络设备访问、配置和连接到 IP 网络的任何节点的活动

EVAS 本身不直接实现数据信息的保护,而作为“安全基础设施”为数据安全保护提供支撑基础

NAC 技术类型分析

在标准框架基础上,根据不同的应用场景发展出三类网络准入控制技术,这三种类型技术,都支持有 Agent 和无 Agent 设备的接入认证,无 Agent 的认证,大多数厂商使用 MAC 地址或 IP 地址。

准入控制技术

内容

基于网络设备方式( Infrastructure-based NAC

包括 802.1x EOU portal 等技术;

基于网关设备方式( Appliance-based NAC

串联方式、准旁路( PBR )、旁路方式等多种技术;

基于纯软件方式( Software-based NAC

包括 ARP 干扰、 DHCP 干扰、 fake DNS NAP Ipsec enforcement 、与 Web Server/ISA 联动等等。

这三类技术各有特点,分别应用于不通的网络接入场景。

除了以上的技术分析,还需明确网络接入最终需要承担安全责任的是人,不是设备,所以采用 Role-based (基于角色)管理方法,与 HR/LDAP 对接,更易落实到人,也便于策略管理、数据分析、事后追查(事件链)。

NAC 创新者和领导者:联软科技

总括:

Leagsoft UniNAC 支持几乎所有的网络准入控制技术,除了能支持 802.1x Cicso NAC portal Infrastructure-based 准入控制技术,串接、准旁路、端口镜像等 Appliance-based 准入控制技术和 ARP 干扰、 DHCP 干扰等 Software-based 准入控制技术外,还支持 Role-Based 准入控制技术,针对不同的准入控制技术,可以应用于不同的接入管理场景,所以 UniNAC 可以适应任何复杂的网络环境下的网络接入控制需求。


创新:资源访问控制技术 RAC

Leagsoft UniNAC 系统在 2012 年发布资源访问控制技术 RAC(Resource Access Control) ,支持 Role-based 网络资源访问控制,也支持用户终端、哑终端的资源访问控制。

该技术通常用 ACL 控制网络资源访问权限,支持在各种型号的 802.1X 网络交换机、无线控制器、支持 EoU 的路由器、联软的 NACC 网关和客户端上下发 ACL ,这样就可以实现对不同的终端、不同的用户角色、不同的应用程序、不同的访问时间下发指定的访问权限,从而对网络的接入实现细粒度的管理。


创新:新一代的 DEVAS

网络使用中新的安全性和移动性要求,让 NAC 演进为全新的 EVAS Endpoint Visibility Access Security )端点可视化与访问控制安全。 EVAS 定义:一种网络安全技术,提供基于策略的情报、 执行、 弱化风险,并实时监控所有网络设备访问、配置和连接到 IP 网络的任何节点的活动。

但是 EVAS 本身不直接实现数据信息的保护,而只能作为“安全基础设施”为数据安全保护提供支撑基础!联软科技率先将 EVAS 概念引入到终端安全管理平台产品中,形成了一套以 EVAS 为基础,集合终端数据信息安全防护的 DEVAS 解决方案。

在网络安全方面

EAVS ,基于设备、用户、网络位置、时间、数据的敏感性等颗粒化的网络访问控制,防止问题电脑接入、问题人员对网络的访问,与安全信息和事件管理间广泛的集成。

在应用安全方面

有资源访问控制 RAC ,防止不正确的时间、地点、接入方式的异常访问,防范缓冲区溢出攻击、规避审计手段等黑客工具攻击。

在信息安全方面

有终端数据信息安全防护,防止被用黑客工具非法盗取信息,防止内部人员将其接触到的信息,转给外部人员泄密。

联软在准入控制的演进

2004 年,全球首创设备快速发现与定位技术,设备接入网络,几分钟内即可发现、定位 ( 无需 Agent) ,同类产品需要数小时乃至数天,持续 12 年保持领先;

2005 年,中国第一家基于 802.1x/EoU 网络准入控制产品, EoU 准入这个名词首先在联软的技术文档中被使用;

2006 年,全球第一家,一个 Agent 支持多网络设备厂商,联软成为首家基于 Cicso NAC 框架的产品供应商;

2008 年,中国第一家推出基于硬件网关的准入控制器 (NACC) ,解决复杂的环境的网络接入管理问题,支持准旁路部署、全旁路部署;

2010 年,中国第一家发布 Linux 客户端的厂商,支持准入控制;

2012 年,在网络准入控制基础上,发布新一代 NAC 技术 RAC ,引领第四代网络准入控制技术向前发展;

2014 年,系统支持对移动终端的接入管理;

2015 年,系统支持对哑终端设备自动识别和接入管理;集合终端数据信息安全防护的 DEVAS 解决方案。

当然,还有业内独创 HTTPS 重定向访问技术,独创 MAC 地址自动获取,接入认证故障诊断辅助工具等等。


经过 13 年的发展,联软科技已经成为中国网络准入控制市场的技术领导者,而且还将持续创新,为客户更有价值的技术及解决方案。

牛竞技©2003-2018 深圳市联软科技股份有限牛竞技 粤ICP备11101642号.