網(wǎng)關(guān)準入控制—初探內(nèi)網(wǎng)安全的新思路
美國CSI/FBI在《計算機犯罪與安全調(diào)查報告》中指出,因內(nèi)網(wǎng)安全漏洞造成的損失占所有計算機安全事故的一半以上;IDC的安全統(tǒng)計數(shù)據(jù)顯示,來自企業(yè)內(nèi)部終端的安全威脅占整個安全威脅的70%以上;中國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國網(wǎng)絡(luò)安全狀況調(diào)查報告》指出,終端隱患已成為最大的安全威脅之一。內(nèi)網(wǎng)終端已經(jīng)成為企業(yè)網(wǎng)絡(luò)的阿喀琉斯之鍾,越來越多的企業(yè)都已經(jīng)深刻認識到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性。
一、 準入控制——內(nèi)網(wǎng)安全體系的關(guān)鍵
內(nèi)網(wǎng)安全產(chǎn)品主要有三大標準架構(gòu),分別是:網(wǎng)絡(luò)準入控制(NAC)、網(wǎng)絡(luò)訪問保護(NAP)和可信網(wǎng)絡(luò)連接(TNC),這三大標準體系分別定義了各自的實現(xiàn)協(xié)議,但遵從類似的體系框架,主要架構(gòu)如下:
1A. 終端連接網(wǎng)絡(luò),通知PDP
1B. PDP啟動終端評估(包括用戶認證)
2. 將終端評估數(shù)據(jù)發(fā)送到策略服務(wù)器
3. 策略服務(wù)器與后端系統(tǒng)交互,證實終端狀態(tài),決策是否授予終端接入權(quán)限
4. 策略服務(wù)器將終端評估結(jié)果通知給網(wǎng)絡(luò)(4A)和終端 (4B)
5. 終端接入網(wǎng)絡(luò),獲得部分或者全部訪問權(quán)限,或接入修復(fù)服務(wù)器
在內(nèi)網(wǎng)安全架構(gòu)中,準入控制點是整個體系的關(guān)鍵,承擔著與后臺策略決策系統(tǒng)交互,控制終端對網(wǎng)絡(luò)的訪問,隔離非健康終端并協(xié)助其修復(fù)等多項功能。準入控制方式的選擇(也稱為策略強制點的選擇)至關(guān)重要, 內(nèi)網(wǎng)安全產(chǎn)品能否成功部署,主要就在于能否結(jié)合企業(yè)網(wǎng)絡(luò)的具體情況,選擇到合適的準入控制點。
二、 多種準入控制技術(shù)的深入分析
業(yè)界的內(nèi)網(wǎng)安全產(chǎn)品,一般采用以下幾類準入控制方式,比較如下:
以上是內(nèi)網(wǎng)安全產(chǎn)品主流使用的準入控制方式,每種方式都有其特定的優(yōu)缺點,一般來說每個廠商的產(chǎn)品都會支持兩種以上的準入控制方式。
【編輯推薦】
