詞語解釋
準(zhǔn)入控制是網(wǎng)絡(luò)準(zhǔn)入控制(NAC)的簡稱。準(zhǔn)入控制是指對網(wǎng)絡(luò)的邊界進行保護,對接入網(wǎng)絡(luò)的終端和終端的使用人進行合規(guī)性檢查。
準(zhǔn)入控制希望到達(dá)的目標(biāo)是:
。對接入網(wǎng)絡(luò)邊界的人進行認(rèn)證和授權(quán)
。對接入網(wǎng)絡(luò)的終端進行合規(guī)性檢查
網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)通常包括:
。802.1x準(zhǔn)入控制
。DHCP準(zhǔn)入控制
。網(wǎng)關(guān)型準(zhǔn)入控制
。ARP型準(zhǔn)入控制
802.1x準(zhǔn)入控制的設(shè)計強調(diào)對交換機端口的控制。但與網(wǎng)絡(luò)兼容性較差。在用戶使用終端接入前,會將終端隔離在隔離VLAN中。只有在進行完身份認(rèn)證后,才將終端改放在應(yīng)屬的VLAN中。當(dāng)802.1x準(zhǔn)入技術(shù)要求交換機必須支持802.1x。當(dāng)端口下掛Hub或普通交換機的情況下,則無法實現(xiàn)對非法人和終端的VLAN隔離。
DHCP準(zhǔn)入控制與現(xiàn)有網(wǎng)絡(luò)兼容性較好。但一般廠家的DHCP準(zhǔn)入控制采用DHCP服務(wù)器與DHCP準(zhǔn)入控制裝置分離的控制方法,實施較難。一些廠家采用一體化DHCP準(zhǔn)入控制,能夠很好地解決802.1x和普通DHCP準(zhǔn)入控制的問題。 網(wǎng)關(guān)型準(zhǔn)入控制實際上不是一種真正意義上的準(zhǔn)入控制。因為網(wǎng)關(guān)型準(zhǔn)入控制只控制了網(wǎng)絡(luò)的出口,沒有控制內(nèi)網(wǎng)的邊界接入。
ARP型準(zhǔn)入控制是用ARP欺騙和ARP攻擊對不合規(guī)的終端進行攻擊,達(dá)到對網(wǎng)絡(luò)邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火墻的終端沒有作用。另外,ARP的攻擊會造成網(wǎng)絡(luò)堵塞,不利于大型網(wǎng)絡(luò)。
掃碼付費即可復(fù)制
X