终端接入控制系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
传统的终端准入控制系统的实现一般采用了以下四种技术:
先上对比图
|
802.1x |
网关型 |
DHCP |
ARP抑制 |
技术特点 |
非授权终端不能访问任何网络资源,不能对网络产生任何破坏性影响 |
非授权终端不能访问任何网络资源,但终端之间可以直接相互访问 |
终端可以通过自行IP等手段,绕开DHCP准入控制 |
非授权终端不能访问任何网络资源,不能对网络产生任何破坏性影响 |
部署要求 |
无需调整网络结构。要求网络设备支持802.1x协议 |
需要调整网络结构,需要专门的网关 |
无需调整网络结构,需要每个网段部署专用DHCP服务器 |
无需调整网络结构 |
性能影响 |
不会降低网络的可靠性、性能 |
会给网络带来可靠性、性能问题 |
不会降低网络的可靠性、性能 |
不会降低网络的可靠性、性能 |
适合对象 |
所有规模的网络用户 |
不适合大规模组网 |
中小网络 |
所有规模的网络用户 |
802.1x准入控制
802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制,是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。缺点是不兼容老旧交换机,必须重新更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。
网关型准入控制
在接入终端和网络资源(如:服务器/互联网出口)之间,设置一个网关,终端只有通过网关的验证和检查后,才能访问网关后面的资源;实际上网关准入控制只是防火墙功能的一个扩展,可以认为是网络准入控制中的一种特殊形式,绝大多少传统的防火墙厂商都提供该类解决方案。网关型准入控制没有对终端接入网络进行控制,而只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。
DHCP准入控制
终端连接到网络时,DHCP服务器给终端分配一个临时的IP和路由,使得终端只能访问有限的资源,终端通过安全检查之后,重新获取一个IP,此时可以正常访问网络。DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。
ARP抑制准入控制
通过ARP底层协议,实时发现接入设备,并根据规则进行准入控制。部署方便,无需调整网络结构,适用于所有规模的网络用户。
通过以上对比,我们发现这几种主流技术各有优势,那么有没有控制方式简便,扩充性和兼容性好,支持多vlan和动态dhcp网络环境,能够实现在极少量管理人员的情况下实现大规模网络管理的方法呢?下面小编就为大家推荐一种低成本、易实施、好管理、高可靠的安全解决方案。
易网捷终端接入控制系统严密配合国家权威机构提出的相关法规,对于内网接入控制的各种管理规范,从多个层面对终端设备进行全方位的安全防护。具体包括全网设备自动发现、接入设备自动甄别、违规设备自动定位并阻断、全网信息事件审计等多种安全功能于一体,从外部到内部,形成一套立体化的纵深安全防御体系。系统通过统一的图形化管理界面,实现了资产统计、安全防护、审计的全部功能。
主要功能:
一、设备发现
自动发现全网设备,并可区分出终端类型,包括:终端操作系统、IoT设备类型等,方便管理人员进行分类管理;
在设备第一次入网时,采用设备指纹技术,给每一个设备生成唯一标识,为设备的准入提供验证依据;
支持设备主动发现功能,发现过程不需在原有设备中安装任何程序,发现过程不对网络造成影响;
通过多维度的发现分析,实现网络全面可视化。
二、接入防护
采用SNMP、ICMP、ARP协议等多种协议对接入层面进行抑制,同时可联动安全网关进行网关层面的抑制,形成多级防护体系;
外来“访客”,划入访客专网,同企业内网逻辑隔离。同时可设置临时准入,并控制访客网络访问权限。
三、精准定位
显示交换机所有端口使用状况,如:有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等。定位IP接入网络的交换机及端口;
生成交换机网络拓扑图,通过可视化设备看板对网内设备位置准确掌控。
架构图
主要价值
• 自动发现网络资产,帮助管理员了解网络的真实情况;
• 适应各种复杂网络环境,防止外部或内部不安全的设备接入网络;
• 自动发现网络、设备及连接关系,清晰展现全网线上资产与安全状态;
• 可视化的网络拓扑、面板管理,全网终端快速定位;
• 部署快速、维护简单,提高安全接入能力同时提高运维效率。
终端接入控制系统部署图
|