艾科网信准入控制技术交流.pptx

1、北京艾科网信科技有限公司 ACK Networks,Inc.艾科网信准入控制技术交流技术发展背景技术发展背景20022002年，思科提年，思科提出出NACNAC的概念的概念20042004年，思科年，思科的的NACNAC进入市进入市场；许多厂商场；许多厂商跟进，如跟进，如NAPNAP，A10A10等等等等20092009年，国年，国内外数十家内外数十家厂商，优胜厂商，优胜劣汰，进入劣汰，进入竞争时代；竞争时代；NAC，Network Access Control网络准入控制网络准入控制NAC市场情况市场情况l赛迪顾问赛迪顾问根据赛迪顾问数据，截至根据赛迪顾问数据，截至20082008年底，中国

2、终端准入解决方案年底，中国终端准入解决方案市场规模达到市场规模达到2.382.38亿元人民币，同比增长了亿元人民币，同比增长了31.49%31.49%，用户数，用户数量开始呈现规模化快速增长，到量开始呈现规模化快速增长，到20082008年底，中国终端准入解年底，中国终端准入解决方案的用户达到决方案的用户达到116116万，较上年同期增长万，较上年同期增长48.72%48.72%，市场盈，市场盈利空间逐渐显现。随着市场发展的逐步成熟，利空间逐渐显现。随着市场发展的逐步成熟，20082008年中国终年中国终端准入解决方案市场出现新的特点。端准入解决方案市场出现新的特点。NAC市场情况市场情况l赛

3、迪顾问赛迪顾问终端准入解决方案技术趋于成熟终端准入解决方案技术趋于成熟终端身份认证、终端权限管理、终端在线防御、终端在线审终端身份认证、终端权限管理、终端在线防御、终端在线审计、终端资产管理计、终端资产管理终端准入解决方案应用行业逐步扩充终端准入解决方案应用行业逐步扩充金融、政府行业、石油石化、电力、钢铁、电信运营商、研金融、政府行业、石油石化、电力、钢铁、电信运营商、研究机构等等究机构等等市场竞争格局初步形成市场竞争格局初步形成 H3C H3C，思科、思科、ACKACK、赛门铁克、赛门铁克准入控制的意义准入控制的意义l准入控制能解决以下几个网络管理和网络安全非准入控制能解决以下几个网络管理和

4、网络安全非常关注的常关注的4 4个问题：个问题：接入网络的用户（人）是谁？接入网络的用户（人）是谁？接入网络的终端是单位的么？在哪个位置接入？接入网络的终端是单位的么？在哪个位置接入？终端的操作系统？补丁情况？终端的操作系统？补丁情况？终端的安全情况？终端的安全情况？准入控制的需求准入控制的需求l等级保护等级保护20082008年，等级保护标准的推出年，等级保护标准的推出 GBT_22239-2008_GBT_22239-2008_信息安全技术信息安全技术_ _信息系统安全等级保护基信息系统安全等级保护基本要求本要求 GBT_22240-2008_GBT_22240-2008_信息安全技术信息

5、安全技术_ _信息系统安全等级保护定信息系统安全等级保护定级指南级指南各行业的信息安全建设规划各行业的信息安全建设规划l企业保护本身信息安全的需求企业保护本身信息安全的需求准入控制技术准入控制技术l准入控制技术总体功能准入控制技术总体功能准入控制主要由认证、检查和接入控制三大功能组成。准入控制主要由认证、检查和接入控制三大功能组成。认证（鉴别）完成对用户的确认；检查主要是针对终端认证（鉴别）完成对用户的确认；检查主要是针对终端桌面的检查，保证接入网络的终端的健康性和合规性；桌面的检查，保证接入网络的终端的健康性和合规性；接入控制则是终端能否接入到网络的控制技术。接入控制则是终端能否接入到网络的

6、控制技术。认证技术认证技术常用常用RADIUSRADIUS、LDAPLDAP、CACA、数据库等、数据库等多因素：动态密码、短信、多因素：动态密码、短信、USB-KEYUSB-KEY、证书等等。、证书等等。准入控制技术准入控制技术l准入控制技术总体功能（续）准入控制技术总体功能（续）检查技术：检查技术：检查主要是针对终端桌面的检查，保证接入网络的终端检查主要是针对终端桌面的检查，保证接入网络的终端的健康性和合规性，如：的健康性和合规性，如：硬件特征提取、操作系统版本、操作系统补丁、软件白硬件特征提取、操作系统版本、操作系统补丁、软件白名单（按规定应该安装的软件如防病毒系统等）、软件名单（按规定

7、应该安装的软件如防病毒系统等）、软件黑名单（按规定不应该安装的软件如迅雷等）、是否登黑名单（按规定不应该安装的软件如迅雷等）、是否登录录ADAD域、是否存在双网络连接等等。域、是否存在双网络连接等等。准入控制技术准入控制技术l准入控制技术总体功能（续）准入控制技术总体功能（续）接入控制技术：接入控制技术：1 1、802.1x802.1x，最标准的接入控制技术。目前大多数准入控，最标准的接入控制技术。目前大多数准入控制技术都号称支持制技术都号称支持802.1x802.1x；2 2、网关控制技术，在网络或者子网的出口设置控制，、网关控制技术，在网络或者子网的出口设置控制，认证和检查不合规的终端无法

8、访问网关外的资源；认证和检查不合规的终端无法访问网关外的资源；3 3、DHCPDHCP技术，通过控制技术，通过控制DHCPDHCP服务，非法用户、非法服务，非法用户、非法终端不会获取合法的终端不会获取合法的IPIP地址来控制接入；地址来控制接入；4 4、私有协议技术：通过私有协议控制接入交换设备。、私有协议技术：通过私有协议控制接入交换设备。准入控制技术准入控制技术l接入控制技术简介接入控制技术简介802.1x802.1x接入控制技术：接入控制技术：u接入控制技术标准，接入控制技术标准，通过在交换机上实现的通过在交换机上实现的802.1x802.1x协议协议与与RADIUSRADIUS服务器和

9、服务器和802.1x802.1x客户端配合实现的接入控制技客户端配合实现的接入控制技术；术；u按端口强制隔离，但是要求接入交换机支持按端口强制隔离，但是要求接入交换机支持802.1x802.1xu问题：交换机兼容、问题：交换机兼容、HUBHUB、客户端等、客户端等u产品：早期的思科产品：早期的思科NACNAC、H3C/EADH3C/EAD、大多数的软件准、大多数的软件准入控制系统，如赛门铁克、联软等入控制系统，如赛门铁克、联软等802.1x接入控制技术示意接入控制技术示意必须安装客户端，问题：1.实施成本高；2.老的Windows不支持；3.Linux系统不支持 下挂Hub后：1.同一端口，办

10、公VLAN和隔离VLAN不能共存2.同一端口，一台终端认证后，其他终端都可入网即使是3层交换机，无802.1x功能的交换机，无法实现接入控制无法支持2层交换机和Hub各厂家交换机兼容性差，华为客户端不支持Cisoc交换机无线接入：1.无法端口IP绑定 2.非802.1x无线AP无法认证不适用于新老设不适用于新老设备混合部署的复备混合部署的复杂网络环境杂网络环境准入控制技术准入控制技术l接入控制技术简介接入控制技术简介网关控制技术：网关控制技术：u在线部署在网关处，控制用户终端通过网关的所有数据在线部署在网关处，控制用户终端通过网关的所有数据包。从而实现接入的控制。包。从而实现接入的控制。u不依

11、赖于不依赖于802.1x802.1x交换机，兼容老旧设备交换机，兼容老旧设备u问题：对内网的控制几乎没有，同时容易形成瓶颈；问题：对内网的控制几乎没有，同时容易形成瓶颈；u产品：思科产品：思科NACNAC（网关产品）、（网关产品）、JUNIPERJUNIPER等等网关型接入控制示意网关型接入控制示意加入网关设备，只能控制由内网出外网的访问。不能控制内网的准入。依然可以访问其他终端。只要终端不出外网，依然可以接入内网。接入终端不经网关，依然可以访问内网服务器。网关设备的另外一个风险就是，一旦有新情况，可能造成内网出口“窒息”。准入控制技术准入控制技术l接入控制技术简介接入控制技术简介DHCPDH

12、CP控制技术：控制技术：u用用DHCPDHCP协议，建立协议，建立IPIP层网络隔离区（隔离层网络隔离区（隔离IPIP），），WebPortalWebPortal认证通过后分配正常的认证通过后分配正常的IPIP，实现接入控制，实现接入控制u不依赖于不依赖于802.1x802.1x交换机，兼容老旧设备交换机，兼容老旧设备实现实现IPIP的中心下发，统一管理的中心下发，统一管理按人分配按人分配IPIP地址，实现安全域划分地址，实现安全域划分u问题：对设备、问题：对设备、VLANVLAN控制较弱控制较弱u产品：艾科网信的产品：艾科网信的ACKACK准入控制技术准入控制技术l接入控制技术简介接入控制技

13、术简介基于私有协议的控制技术：基于私有协议的控制技术：u不使用或配合使用不使用或配合使用802.1x802.1x协议，结合私有协议（如协议，结合私有协议（如NAC-NAC-L2L2等）管理交换设备的端口（等）管理交换设备的端口（VLANVLAN、MACMAC表等）实现表等）实现接入控制；接入控制；u控制功能较强，管理较细控制功能较强，管理较细u问题：兼容性极低，即使是同一品牌也存在兼容性问题问题：兼容性极低，即使是同一品牌也存在兼容性问题u产品：思科产品：思科NACNAC、H3C/EADH3C/EADACK系统准入流程1、用户发起DHCP申请2、分配隔离网段IP3、通过插件检查或WEB触发认证

14、页面4、主机检查合格发送认证页面，进行认证6、认证通过分配正常网段IP说明:n用 户 获 取 隔 离 网 段 的 IP，此 时 将 不 允 许 访 问INTERNET。n使用隔离IP时,用户的网关指向ACK，用户访问web时，被强制到ACK进行认证。n认证通过后才进行二次DHCP分配，并根据认证策略获得相应的上网权限。n认证实现基于DHCP服务，如果用户采用静态地址企图获取网络访问，可以在汇聚交换机上采用DHCP snooping技术进行阻塞。httphttp7、正常访问正常访问网络资源网络资源隔离隔离隔离隔离IPIPhttphttpAcceptAccept防火墙防火墙信息内网交换机正常正常正常正常IPIPDHCPDHCP5、输入用户名及密码部署方式设备接入方式设备接入方式采用旁路接入，不影响采用旁路接入，不影响整体拓扑结构整体拓扑结构核心交换机配置核心交换机配置确保确保ACK IDACK ID管理系统管理系统连接到网络。连接到网络。兼容各种交换机兼容各种交换机18北京艾科网信科技有限公司 ACK Networks,Inc.谢谢 谢谢