网络准入控制(NAC)
网络准入控制系统评价指标分析
AD(Active Directory)是基于 windows 系统的强大有效的安全管理工具,由于在目录 中包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策 略] 的信息,网络准入控制系统可以从中获取到相比其他认证系统/接口更为详细的管理 信息,一套好的网络准入控制系统甚至应该能够提供 AD 环境下的单点登录功能,为机构 提供更多的管理便捷性。
7. 生物指纹认证
随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业/管理模式 中均得到了应用,如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性,且无 需人员进行预先设置和记忆,因此具有其他记忆/携带类认证方式所不具有的突出优点。 网络准入控制系统可以选择利用用户已有/采购中的的指纹识别系统作为入网人员身份 的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从 而更适合高端用户基于边界的用户认证管理需求。
设备识别。帮助用户对所有接入网络的终端设备进行迅速的识别,根据 ip、MAC、 操作系统、硬盘 ID 等指纹完整地给出接入设备的形态,从而帮助管理者区分内部 设备与外部设备,授权设备与非授权设备,已注册设备与未知设备等多种管理形态。
用户认证。依托于网络准入控制系统强大完善的认证系统,能够提供给管理者基于 用户的角色管理,赋予不同的用户不同的访问权限、所使用设备的安全配置要素及 网络行为准则。
系统补丁(patch)健康保障。如果操作系统不及时更新补丁,那么任何漏洞都会 变成 0day 威胁,从而对设备、使用者甚至是机构造成巨大的威胁和损失。网络准 入控制系统需要依托 microsoft 每月补丁更新,为用户提供更合适的补丁分级管 理机制,确保检测过的补丁具有更高的稳定性和安全针对性。最佳的处理方式则应 该是由网络准入控制系统自身集成补丁服务器,这样就不需要用户再额外搭建 WSUS 等补丁设施,从而有效降低内网管理的 TCO。
学校校园网络安全管理的网络访问控制
学校校园网络安全管理的网络访问控制随着信息技术的快速发展,学校校园网络已经成为学生学习和交流的重要平台。
然而,学校校园网络面临着来自内外的各种威胁和风险,如网络攻击、非法访问、信息泄露等。
因此,学校需要加强网络安全管理,其中网络访问控制是一项非常重要的措施。
一、网络访问控制的概念和作用网络访问控制,简称NAC,是指通过对用户设备的身份验证、授权和准入策略的检查,对进入学校网络的设备和用户进行管理和控制。
它的主要作用有以下几个方面:1. 防止非法访问和网络入侵:通过身份验证和授权的方式,只允许授权用户和设备接入学校网络,有效防止未经授权的设备和用户对网络进行非法访问和入侵。
2. 保护网络资源的安全:通过制定准入策略,限制设备和用户能够访问的资源范围,防止敏感信息被未经授权的人员获取,保护学校网络的安全和数据的完整性。
3. 管理网络带宽的合理分配和使用:通过优化网络访问控制规则和策略,对不同用户和设备进行带宽分配和限制,保证网络带宽的合理利用,提高网络性能和用户体验。
二、网络访问控制的实施方式1. 身份验证和准入控制:学校可以利用账号密码、数字证书或生物特征等方式对用户身份进行验证,并根据用户身份和权限设置不同的访问策略,以实现对网络的准入控制。
2. 网络防火墙和入侵检测系统:学校可以在网络边界和关键节点部署防火墙和入侵检测系统,对进出学校网络的数据包进行检查和过滤,防止恶意攻击和非法访问。
3. 网络流量监测和行为分析:通过网络流量监测和行为分析系统,学校可以实时监控学校网络的流量情况和用户行为,及时发现异常行为和网络威胁,并采取相应的措施进行应对。
4. 设备管理和漏洞修补:学校可以采用统一的设备管理平台,对接入网络的设备进行统一管理和漏洞修补,确保设备的安全性和合规性。
三、网络访问控制的挑战和解决方案1. 复杂多样的用户设备:学校面临着来自不同操作系统、不同设备类型和不同网络接入方式的用户设备,需要针对这些设备进行适配和管理,确保网络访问控制的有效性。
nac应用准入原理
"NAC" 是Network Access Control(网络访问控制)的缩写,是一种用于确保只有经过授权和合规的设备和用户能够访问企业网络资源的安全技术。
NAC 应用准入原理涉及到在网络上实施一系列措施,以保证网络的安全性和合规性。
以下是NAC 应用准入原理的基本概念和步骤:
身份认证:用户或设备在访问网络前需要进行身份认证,确保他们有权访问企业网络资源。
这可以通过用户名密码、证书、双因素认证等方式实现。
设备健康检查:在设备连接到网络后,NAC 系统会进行设备健康检查,以确保设备的操作系统、防火墙、杀毒软件等安全措施是最新且有效的。
如果设备未能通过健康检查,可能会被引导到一个受限制的网络区域,以进行修复。
合规性检查:针对特定行业的合规性要求,NAC 可能会检查设备是否满足相关规定,如安全政策、数据保护法规等。
不满足合规性要求的设备可能会被阻止访问敏感数据或资源。
授权访问:一旦设备通过身份认证、健康检查和合规性检查,NAC 系统会为其分配适当的网络访问权限。
这可能包括访问特定资源、应用程序、子网等。
网络隔离:对于未通过健康检查或合规性检查的设备,NAC 系统可能会将其隔离到一个受限制的网络区域,以防止其影响整个网络的安全性。
监控和日志记录:NAC 系统会持续监控网络上连接的设备,记录其活动并生成日志。
这有助于及时发现异常行为和安全事件。
NAC 应用准入原理的目标是确保只有合法、合规和安全的设备和用户能够访问网络,以减少潜在的安全威胁和数据泄露风险。
它在企业和组织中广泛应用,特别是在需要高度敏感信息保护的行业,如金融、医疗保健等。
nac应用准入原理
NAC应用准入原理解析1. 什么是NAC应用准入原理?NAC(Network Access Control)应用准入原理是指通过对网络中的终端设备、用户和应用程序进行身份验证、授权和安全策略的检查,来确保网络安全,保护网络资源免受未经授权的访问和恶意活动的侵害。
NAC应用准入原理的核心目标是确保只有经过授权的终端设备和用户能够访问网络资源,并根据其身份和权限提供适当的网络访问。
2. NAC应用准入原理的基本原理NAC应用准入原理主要包括以下几个基本原理:2.1 身份验证身份验证是NAC应用准入原理的第一步。
终端设备和用户需要提供合法的身份信息,以便系统能够验证其身份的合法性。
常用的身份验证方式包括用户名和密码、数字证书、双因素认证等。
在进行身份验证时,系统会将提供的身份信息与预先存储的身份信息进行比对,以确定用户或设备的身份是否合法。
只有通过身份验证的用户和设备才能进一步进行访问控制和授权。
2.2 访问控制访问控制是NAC应用准入原理的核心环节之一。
经过身份验证的用户和设备需要受到严格的访问控制,以确保只有合法的用户和设备能够访问网络资源。
访问控制可以通过多种方式实现,如基于角色的访问控制(RBAC)、访问控制列表(ACL)、虚拟专用网络(VPN)、端口访问控制(PAC)等。
通过这些访问控制策略,系统可以根据用户或设备的身份、权限和安全策略来限制其对网络资源的访问。
2.3 安全策略检查安全策略检查是NAC应用准入原理的另一个重要环节。
通过对终端设备、用户和应用程序的安全策略进行检查,可以确保网络资源不受未经授权的访问和恶意活动的侵害。
安全策略检查可以包括以下内容:检查终端设备是否安装了最新的安全补丁和防病毒软件;检查用户的访问权限是否符合安全策略;检查应用程序的安全性和合规性等。
通过这些安全策略检查,系统可以及时发现并阻止潜在的安全威胁。
2.4 授权与管理授权与管理是NAC应用准入原理的最后一步。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
nac方法
nac方法NAC方法是一种用于网络流量分析和安全管理的技术。
它可以帮助组织监控和分析网络流量,并及时发现潜在的安全威胁。
本文将介绍NAC方法的基本原理、优势、应用场景以及一些实际案例。
NAC,即网络准入控制(Network Access Control),是一种用于保护企业网络安全的技术。
它通过验证用户和设备的身份和合规性,对其进行授权和访问控制,从而实现对网络资源的安全管理。
NAC方法的基本原理是将网络用户和设备纳入统一的访问控制框架中,通过身份认证、合规性检查和访问控制等手段,确保网络资源只能被经过授权的用户和设备访问。
具体来说,NAC方法可以实现以下功能:1. 身份认证:NAC方法可以对用户进行身份验证,确保只有经过授权的用户才能接入网络。
常见的身份认证方式包括用户名密码、数字证书、双因素认证等。
2. 合规性检查:NAC方法可以检查用户设备的合规性,包括操作系统补丁、防病毒软件、防火墙等安全配置是否符合要求。
如果设备不符合要求,可以限制其网络访问权限或提醒用户进行修复。
3. 访问控制:NAC方法可以根据用户身份和设备合规性,对其进行访问控制。
可以根据用户的角色和权限,限制其对特定网络资源的访问。
同时,NAC还可以监控用户的网络行为,及时发现异常活动并采取相应措施。
NAC方法具有以下优势:1. 提高网络安全性:NAC方法可以有效防止未经授权的用户和设备接入网络,减少网络攻击的风险。
它可以识别并隔离潜在的威胁,保护网络资源的安全。
2. 简化网络管理:NAC方法可以集中管理用户和设备的访问控制策略,提供统一的管理界面。
管理员可以根据实际需求,灵活配置访问控制策略,简化网络管理操作。
3. 提升用户体验:NAC方法可以根据用户的角色和权限,自动为其分配网络资源。
合法用户可以快速接入网络,享受良好的网络体验,提高工作效率。
NAC方法在各种场景下都有广泛的应用,特别是对于对网络安全要求较高的企业和组织。
网络准入控制V10
网络准入控制(NAC)目录1.网络准入概述 (1)2.准入方式 (1)2.1. 802.1x准入控制 (2)2.1.1. 802.1X的工作过程 (2)2.2. CISCO EOU准入控制 (3)2.3. DHCP准入控制 (3)2.4. ARP准入控制 (4)2.5. 网关型准入控制 (4)2.6. H3C Portal准入控制 (4)2.6.1. Portal系统组成 (4)2.6.2. Portal原理 (5)3.准入技术的比较 (5)1.网络准入概述网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。
借助NAC,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。
NAC系统组件:终端安全检查软件;网络接入设备(接入交换机和无线访问点);策略/AAA服务器。
NAC系统基本工作原理:当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。
然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。
当终端及使用者符合策略/AAA服务器上定义的策略后,策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。
通过网络准入一般可以实现以下功能:◆用户身份认证从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。
◆终端完整性检查通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。
◆终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。
◆非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。
2.准入方式目前常用的准入控制:➢802.1x准入控制➢CISCO EOU准入控制➢DHCP准入控制➢ARP准入控制➢网关型准入控制➢H3C Portal准入控制2.1.802.1x准入控制802.1x准入控制:802.1x协议是基于Client/Server的访问控制和认证协议。
网络准入控制背景
北京艾科网信科技有限公司
创新更安全
艾科网信
各厂商市场分布率 项 目 规 模
大
华为
H3C
北京艾科
CISCO
深圳联软
杭州盈高
小 少
画方
客户数量和行业分布
多
北京艾科网信科技有限公司
创新更安全
优缺点 技术综合 性能优越 终端安全功能强 终端安全功能强 与交换机兼容好 无线控制功能强 网关型设备要求高 影响网速 802.1x支持较好 要求交换机支持802.1x 新厂商、案例少
创新更安全
艾科网信
ACK支持多种准入技术同时 使用,有效的避免单一准入 技术的盲区,是业界兼容性 最好、整合实用功能最多的 准入产品。
艾科网信
网络准入控制背景
北京艾科网信科技有限公司
创新更安全
艾科网信
思考: 什么是网络准入控制?
北京艾科网信科技有限公司
创新更安全
艾科网信
网络安全现状
被动防御 功能单一
• 防火墙、防毒墙、IPS、垃圾邮件 • 杀毒、防毒等
创新更安全
艾科网信
网络准入控制的诞生
网络准入控制是实名制ID网络准入控制 (NAC)的简称。是指对网络的边界进行 保护,对接入网络的终端和终端的使用 人进行合规性检查。
2004年,思 科的NAC进 入市场;许 多厂商跟进, 如NAP, A10等等
2002年,思 科提出NAC 的概念
北京艾科网信科技有限公司
防火墙、IPS、防毒墙 反垃圾邮件、网络行为审计 负载均衡、带宽流量管理 UTM、VPN 围堵策略,头痛医头,脚痛医脚
根据CSI/FBI等权威机构公布的数据,超过 80%的安全事件都发生在内网环境中; 蠕虫、木马、ARP病毒、DoS攻击层出不 尽;
联软科技准入控制系统介绍
产品概述:联软网络准入控制系统,是属于联软IT安全运维管理套件下的一套领先业界的第三代网络准入控制系统(NAC System,Network Admission Control System),也是国内第一款IPV6准入控制系统,所有组件和模块由联软自主研发,拥有完全自主知识产权;为您解决网络准入控制的合规性要求,实现网络实名制管理、网络安全边界防护、建立内网安全基准线。
具备从发现、接入、认证、安检、修复、授权、访问控制、加固“一站式”流程的全部功能,目前已经成功帮助数千家行业巨头通过ISO 27001、等级保护、边界安全防护管理等认证或审计,成为证券金融行业第一品牌,具有高效、精准、智能的准入控制防护特色。
产品功能:1、防止“黑户”电脑私自进入内部网络。
2、防止“威胁性”终端设备私自进入内部网络,窃取机密。
3、建立实名制内网,弥补现实与网络虚拟世界之间的鸿沟。
4、为企业建立有效的内网安全边界防护系统,全面保障内网安全。
5、助企业建立内网安全基线,构建资源访问控制管理体系。
6、让企业拥有“统一接入、统一授权、统一访问、统一管理”平台。
7、安全管理,助您“发现、追踪、回溯、取证”。
8、助您通过ISO 27001、等级保护、网络行为等认证或审计产品优势:1、实时、动态掌握网络整体安全状况,建立实时安全评估体系,掌握内部各种接入设备(包括网络设备、安全设备、服务器、桌面电脑)的安全运行状况,为领导决策、部署安全工作任务提供支持,为安全维护工程师的提供管理维护便利;2、实现对网络内部所有的计算机接入网络进行准入控制,防止外来电脑或者不符合规定的电脑接入网络中;3、建立桌面电脑的集中式快速安全管理体系,对数量众多,最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;4、建立IT服务设备的安全运行状况监控系统,对包括网络设备、网络安全设备、服务器在内的安全运行状况监控系统;5、建立安全资产的分级管理体系,实现对不同安全级别的信息资产采取不同的安全管理;6、建立安全事件的流程化处理机制,确保安全事件、安全问题得到有效的跟踪、处理和解决。
网络访问控制(NAC)详解手册
网络访问控制(NAC)详解手册网络访问控制(NAC)详解手册在一些网络专业人士之间,仍然有这样的困惑,NAC技术可以做什么。
如今,NAC 已不是扫描和拦截了。
相反,它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。
现今的企业对于客户网络性能上的需求增加了许多,雇员们也正在逐渐开始需要连接他们的私人设备到(企业)网络的能力。
这即是NAC可以为企业解决的问题所在。
在本手册中,我们讲述了服务器虚拟化与NAC安全,整合NAC与网络安全工具,以及将NAC措施扩展到网络安全设备等用户最为关心的技术,希望本手册能对您有所帮助。
市场前景分析Infonetics询问过许多企业,经济危机(不景气)是否会迫使他们缩减2009年及2010年的NAC开支。
将近60%的企业表示不会。
如今,NAC已不是扫描和拦截了。
相反,它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。
NAC设备供应商:值得信赖吗?网络访问控制(NAC)市场前途依旧甚好服务器虚拟化与NAC安全网络安全尤其是网络准入控制(NAC)可以说是服务器虚拟化的死穴。
随着虚拟服务器在数据中心的广泛应用,传统的接入控制很难再继续顺利实施。
尤其当企业需要遵守严格的数据控制标准时,这将更具挑战性。
虚拟化架构为NAC创造了特别的挑战。
物理安全系统无法看到虚拟LAN中流量的运行情况,这些流量会随着虚拟机在物理机中运行而改变。
再者,由于虚拟机的安装是如此的容易,当部署新的服务器或恢复旧服务器时员工会违反审计需求。
服务器虚拟化与NAC安全(上)服务器虚拟化与NAC安全(下)整合NAC与网络安全工具整合网络访问控制(NAC)解决方案到其它网络安全工具将有助于扩展用户和主机身份认证,同时也可以增强网络上的安全策略。
了解如何整合网络访问控制解决方案与网络安全工具,并找出失误以便更好发展。
整合NAC与网络安全工具NAC措施扩展现在可以将Network Access Control(NAC)措施工具扩展到许多网络安全设备和网络管理工具。
NAC解决方案测试
NAC解决方案测试NAC(网络接入控制)解决方案测试一、背景介绍网络接入控制(Network Access Control,NAC)是一种网络安全技术,旨在确保只有经过授权的设备和用户可以访问企业网络资源。
NAC解决方案的测试是为了验证其功能和性能,以确保其在实际应用中的可靠性和稳定性。
二、测试目的本次测试的目的是评估NAC解决方案的性能和功能,包括但不限于以下几个方面:1. 认证和授权功能:测试NAC解决方案是否能够准确识别和验证设备和用户的身份,并根据其权限进行访问控制。
2. 安全策略执行:测试NAC解决方案是否能够按照预设的安全策略对设备和用户进行访问控制,如防火墙规则、访问控制列表等。
3. 设备完整性检测:测试NAC解决方案是否能够检测设备的安全状态,如操作系统的补丁情况、防病毒软件的更新情况等。
4. 网络访问控制:测试NAC解决方案是否能够对设备和用户的网络访问进行控制,如限制特定应用程序的访问、限制特定网站的访问等。
5. 故障恢复能力:测试NAC解决方案在网络故障发生时的自动恢复能力,如设备断线后的重新认证和授权过程。
三、测试环境为了进行NAC解决方案的测试,我们搭建了以下测试环境:1. 服务器:使用一台高性能的服务器作为NAC解决方案的控制中心,负责认证、授权和安全策略的执行。
2. 网络设备:在测试环境中部署了多个网络设备,包括交换机、路由器和防火墙,用于实现网络访问控制。
3. 客户端设备:使用多台计算机和移动设备作为测试终端,模拟实际用户的访问行为。
四、测试步骤1. 配置NAC解决方案:在服务器上安装和配置NAC解决方案软件,包括认证服务器、授权服务器和安全策略等。
2. 设备和用户认证:使用测试终端设备进行认证测试,验证NAC解决方案是否能够准确识别设备和用户的身份。
3. 访问控制测试:测试NAC解决方案是否能够按照预设的安全策略对设备和用户进行访问控制,如限制特定应用程序的访问、限制特定网站的访问等。
思科网络准入控制(NAC)
思科网络准入控制(NAC)技术白皮书病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。
与此同时,移动计算的普及进一步加剧了威胁。
移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
网络准入控制(NAC) 进行了专门设计,可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护,以防御网络安全威胁。
作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划,NAC引起了媒体、分析公司及各规模机构的广泛关注。
本文将解释作为基于策略的安全战略的一部分,NAC将发挥怎样的关键作用,同时描述并定义可用的NAC方法。
NAC的优势据2005 CSI/FBI安全报告称,虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。
机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
显然,仅凭传统的安全解决方案无法解决这些问题。
思科系统公司开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案,以确保网络环境中的所有设备都符合安全策略。
NAC允许您分析并控制试图访问网络的所有设备。
通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施),机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
大幅度提高网络安全性虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限,但这些对验证用户终端设备的安全状况几乎不起任何作用。
如果不通过准确方法来评估设备‘状况’,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。
网络准入控制让企业网络更安全
是利用交换机 自身带有 的功能 , 通过一
定 的配 置 , 网络 准 入 控 制 应 用 到企 业 将 网络 中 , 而 达 到 控 制 效 果 。网 络 准入 从 控 制( NAC 是一 项 由思 科 发起 、 家 厂 ) 多 商 参 加 的计 划 , 宗 旨是 防 止 病 毒 和 蠕 其
一
起 的 全 面 的 安 全 解
决 方 案 , 网 络 准 入 控 制 可 以 确 保 网 络 环 境
通 过确 保 每 个终 端 设 备都 符 合企 业 安
全 策 略 , 网 络 准 入 控 制 将 更 好 的 保 障 企业 网络 信 息 安 全 。
“ 五步走” 实施策略 , 并
入 控 制 的实 施 方 案通 常 并不 繁 琐 , 而 简
言之主要是通过域服务器建立 、 交换 机
全 局 配 置 、 交 换 机 端 口配 置 和 终 端 配
置 , 到对企业网络控制 。 在实施前 , 达 但
企 业 仍 需 提 前 考 虑 谁 来 实 施 、 何 展 开 如
部 署 、 谁 来 评 审 实 施 效 果 等 问题 。
66 中 国 信 息 化 I2 152 01 ..0
网络 上 进 行 测 试 , 试 的 最 终 目的 是 要 测 确 定 系统 会 执 行 企 、 昕 要 求 的 任 何 事 l
情。
当 顺 利 完 成 以上 四 步 , 五 步 就 是 第 在 网络 中实 施 网络 准 人控 制 了 。 络 准 网
致命的恶意软 件。随后 , 用户设备就作 虫 等 新 兴 黑 客 技 术 对 企 业 安 全 造 成 危
NAC解决方案测试
NAC解决方案测试引言概述:网络接入控制(Network Access Control,NAC)是一种用于保护企业网络安全的解决方案。
通过对用户和设备的身份验证、安全策略的强制执行和网络访问控制的实施,NAC能够确保网络资源只能被授权用户和设备访问。
为了确保NAC解决方案的有效性和可靠性,对其进行测试是至关重要的。
本文将详细介绍NAC解决方案测试的内容和步骤。
一、功能测试1.1 身份验证功能测试NAC解决方案的核心功能之一是对用户和设备进行身份验证。
在测试过程中,需要验证NAC解决方案是否能够正确识别和验证用户的身份信息,如用户名和密码、数字证书等。
同时,还需要测试解决方案是否能够对设备进行身份验证,如MAC地址、IP地址等。
验证身份的过程应该准确、快速和安全。
1.2 安全策略强制执行功能测试NAC解决方案的另一个关键功能是强制执行安全策略。
在测试中,需要验证解决方案是否能够根据预设的安全策略,对用户和设备进行访问控制。
测试过程中应该包括对不同用户和设备的权限控制、网络资源的访问控制等方面的测试。
同时,还需要测试解决方案是否能够自动检测并应对网络攻击,如入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)等。
1.3 网络访问控制功能测试NAC解决方案的最后一个功能是网络访问控制。
在测试中,需要验证解决方案是否能够实现对网络资源的访问控制,包括对不同用户和设备的访问控制、对不同网络服务和应用的访问控制等。
测试过程中应该模拟不同的网络环境和场景,验证解决方案的可扩展性和适应性。
二、性能测试2.1 响应时间测试NAC解决方案的性能直接关系到用户体验。
在测试过程中,需要测试解决方案对用户请求的响应时间,包括用户登录、设备认证、安全策略强制执行等过程的响应时间。
测试过程中应该模拟不同用户和设备的并发请求,验证解决方案的并发处理能力。
深信服准入功能介绍
深信服准入功能介绍第1章整体方案价值深信服科技作为全球领先的前沿网络设备供应商,凭借多年行业经验,并结合其在企业业务和网络发展趋势的理解,为用户提供量身打造的网络准入控制解决方案,旨在帮助客户构建“终端+网关”的双向安全机制,提高网络的整体安全级别,降低泄密风险。
1.1网络准入控制深信服NAC方案提供的网络准入控制功能对网络接入终端强制进行身份认证和安全评估,为访问网络资源的终端设备提供足够保护,以防御网络安全威胁。
网络准入控制功能评估终端安全级别并依据评估结果,将不同用户、不同安全级别的终端隔离出来,形成独立的隔离区,拒绝隔离区中的终端与正常通过安全策略检测的终端进行通讯,从而有效的限制了病毒、蠕虫和间谍软件等损害网络安全。
网络准入控制功能的隔离效果:新接入网络的终端,未通过认证时,默认不能和安全区内的终端通信,管理员可选将其加入未认证的用户隔离区中,限制其外网访问权限、服务器区访问权限;接入网络的终端,通过认证后,会根据管理员配置的网络准入控制策略检测用户是否通过评估,通过安全评估的用户会进入安全用户区,安全用户区不能和未通过评估的隔离区通讯;未通过安全评估的用户不能和安全用户区内的用户通讯;未通过安全评估的用户,根据管理员设置的隔离条件进入相应隔离区,隔离区内用户可访问的网络资源受所在隔离区的配置控制。
新接入用户终端安全级别评估存在安全威胁!不符合安全策略隔离区A隔离区B管理员安全用户通过评估安全服务器区互联网对指定用户使用“网络准入控制”管理隔离区用户配置隔离区访问策略1.2防病毒软件检测深信服NAC具有防病毒软件检测功能,可以检测终端计算机是否安装了防病毒软件,是否开启了自动防护,病毒库是否出于最新状况,并可以根据检测结果来执行指定操作。
防病毒软件检测功能帮助管理员消除内网安全短板,保证终端计算机和内网安全。
根据检测结果,管理员可设置NAC主动向用户发起安全检测提示,强制执行远程应用程序如强制安装防病毒软件、强制升级病毒库(需要配合第三方防病毒产品),将安全级别不足的用户放入指定隔离区进行访问权限控制,这些操作可以任意组合并在用户计算机违反相关安全策略后自动执行。
网络访问控制协议
网络访问控制协议网络访问控制协议(Network Access Control Protocol),简称NAC 协议,是一种用于管理和限制网络上用户和设备访问权限的协议。
它允许网络管理员通过认证、授权和准入控制等机制,确保网络资源的安全性和可靠性。
本文将介绍网络访问控制协议的基本原理、主要功能以及应用场景。
一、协议概述网络访问控制协议是一种用于保护网络资源的安全性和可用性的技术。
它通过限制网络用户和设备的访问权限,有效防止未经授权的访问、网络攻击和恶意行为。
NAC协议主要由认证、授权、准入控制和审计等功能组成,可结合其他网络安全技术一起使用,提供全面的网络访问控制保护。
二、协议原理1. 认证:NAC协议通过身份验证机制确认用户或设备的身份信息。
常见的身份验证方式包括用户名密码、数字证书、双因素认证等。
认证成功后,NAC服务器会为用户或设备分配唯一的标识符,用于后续的授权和准入控制。
2. 授权:一旦用户或设备成功认证,NAC协议将根据其身份和权限信息,对其进行授权。
授权机制可以根据策略规定用户或设备可访问的资源范围、权限等级以及访问时段等。
这有助于确保用户和设备只能访问其合法授权的资源,提高网络安全性。
3. 准入控制:准入控制是NAC协议的核心功能之一。
通过对用户和设备在接入网络前的检测与评估,NAC协议可以确定其是否满足网络访问要求。
准入控制可以检测并阻止未经授权的设备接入网络,防止潜在的安全威胁。
同时,还可以对已接入的设备进行实时监测和审计,防止内部风险。
4. 审计:NAC协议可以对网络上的访问行为进行审计和监控,记录用户和设备的访问日志、操作轨迹等信息。
这有助于追踪和分析潜在的网络安全事件,支持安全事件的处理和溯源。
三、功能与应用1. 客户端安全性检测:NAC协议可以检测并阻止未经授权的设备接入网络,保障网络的安全性。
它可以验证设备的操作系统版本、病毒防护软件、安全补丁等安全配置,确保设备满足最低安全标准。
准入控制原理
New fromTechnologies.Richard Langston, Product Line Manager, Sygate目 录概要 (2)介绍 (2)什么是网络准入控制(NAC)? (3)SYGATE COMPLIANCE ON CONTACT 解决方案 (4)结论 (10)概要今天,员工对系统的滥用、错误配置以及恶意访问导致企业业务面临很多现实的安全威胁。
事实上,根据Gartner 的估计,大约20%的受控系统已经遭受不同程度的安全危害。
此外,Gartner 估计企业网络中20%的系统是完全不受控的。
显然,这会导致大多数企业容易遭受网络攻击,引起生产力损失、机密信息的泄露,以及其它的代价高昂(和尴尬)的损失。
网络准入控制(Network Access Control, NAC )是一个过程。
通过强制作为网络访问前提条件的IT安全策略,来减少网络安全事件,增强对企业安全制度的遵从。
尽管“网络准入控制(NAC)”是一个新定义的类别,Sygate 技术公司却是策略强制领域多年来的领导厂商,先后在网络准入控制方面率先实现了VPN(IPSEC和SSL),LAN (802.1x),客户端代理自我强制(Self-Enforcement )技术。
今天,Sygate 拥有很多实施了完整NAC解决方案的大型企业客户。
NAC解决方案需要多种强制方法和高度的策略灵活性才能覆盖整个企业网络。
客户应该仔细评估他们的环境和需求,权衡各种可行方案。
作为在NAC解决方案的革新者,Sygate 提供最全面和灵活的选项集来部署网络准入控制,最大程度的满足企业的需求。
介绍今天企业面临很多IT挑战。
其中的关键挑战是与日趋频繁的安全事件做斗争,努力维护企业安全制度的遵从。
滥用,错误配置,恶意访问关键的企业系统渐臻盛行。
这些挑战中一个共同的主线是确保网络端点的保护和控制。
例如,很多安全事件是由简单的桌面配置错误和安全补丁未及时升级造成的。
常见准入控制技术分析
常见准⼊控制技术分析常见准⼊控制技术分析⽹络准⼊控制NAC(Network Access control)的简称,准⼊控制是指对⽹络的边界进⾏保护,对接⼊⽹络的终端和终端的使⽤⼈进⾏合规性检查,准⼊控制让接⼊你⽹络的每⼀个⼈,每个终端都具有合法性,合规性,是可信的,主要是认证+授权,⽆计费(更加后台radius的不同和客户的不同可⽀持将不同的条件作为合规检查的条件)。
⽹络准⼊控制技术通常包括:根据分类⽹络准⼊控制技术主要包含以下三⼤类:⼀、基于⽹络设备的准⼊控制技术802.1X准⼊控制技术:IEEE 802.1X是IEEE制定关于⽤户接⼊⽹络的认证标准,⼆层协议,不需要到达三层,对设备的整体性能要求不⾼,可以有效降低建⽹成本;常⽤到EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP 认证架构的兼容;由于是IEEE标准所以被许多交换机⼚家⼴泛⽀持,⽽且在国内许多的准⼊控制软件⼚商中也得到⼴泛应⽤。
但很遗憾的是很多软件⼚商做得很差,客户端维护⿇烦,还需要修改⽹卡属性。
⽽且802.1X虽然是IEEE标准,但是各个交换机⼚商在采⽤认证加密的算法可能不⼀样,很多国内⼚商的客户端和radius都⽆法兼容市场上所有的⼚商的802.1X认证。
802.1X主要采⽤VLAN 动态切换的⽅式授权客户端,近⼏年部分⼚商开始⽀持通过下发ACL⽅式授权客户端。
802.1X⽬前的不⾜指出在于:由于是⼆层协议,同时802.1x在交换机上基本是端⼝插线加电即启动认证,所以在⼤多场合不⽀持,如VPN、WLAN、专线等环境,⽆法穿透3层⽹络环境。
⽽且在HUB的情况下.VLAN⽆法切换。
更有很多⼚商⽆法解决HUB环境认证的问题。
CISCO EOU 准⼊控制技术:EAP OVER UDP ,是思科公司私有的准⼊控制技术;CISCO 3550 以上设备⽀持,传说此技术是CISCO 为了解决HUB环境下多设备认证⽽提出的,当然不可能是仅限于此⽬的;EOU技术⼯作在3层,采⽤UDP 封装,客户端开放UDP 21862 端⼝,由于是3层所以在很多地⽅⽐⼆层协议更灵活,如在灾备,设备例外,认证放⾏等特性上都较为灵活。
nac准入控制方法
nac准入控制方法NAC准入控制方法引言:随着网络的快速发展,网络安全问题日益凸显。
网络准入控制(Network Access Control,简称NAC)作为一种重要的网络安全技术,被广泛应用于企业和组织的网络环境中。
本文将介绍NAC 准入控制方法的原理和应用。
一、NAC准入控制的定义和目的NAC准入控制是一种网络安全技术,旨在确保网络中的终端设备(如计算机、手机等)能够符合特定的安全策略,通过一系列的验证和控制手段,限制网络中非法或不安全设备的接入,从而保障网络的安全性和稳定性。
二、NAC准入控制的原理和流程1. 用户认证:NAC准入控制首先对用户进行认证,验证用户的身份和权限。
常见的认证方式包括用户名密码认证、证书认证和双因素认证等。
2. 设备合规性检查:NAC准入控制会对接入网络的设备进行合规性检查,确保设备满足安全策略要求。
合规性检查包括操作系统版本、补丁更新、杀毒软件和防火墙状态等。
3. 设备健康状态检查:NAC准入控制还会对设备的健康状态进行检查,确保设备没有被恶意软件感染。
健康状态检查包括病毒扫描、漏洞检测和恶意软件检测等。
4. 接入控制:通过以上几个步骤的验证和检查,NAC准入控制可以对设备的接入进行控制。
对于合规性和健康状态良好的设备,可以允许其接入网络;而不合规或有安全风险的设备,则会被限制或拒绝接入。
三、NAC准入控制的应用场景1. 企业网络安全:NAC准入控制可以应用于企业内部网络,确保只有经过认证和合规检查的设备可以接入企业内部网络,防止未经授权的设备对企业网络造成安全威胁。
2. 公共无线网络:NAC准入控制可以应用于公共场所的无线网络,限制未经授权设备的接入,保护用户数据的安全。
3. BYOD环境:随着“Bring Your Own Device”(自带设备)的兴起,许多企业允许员工使用自己的设备接入企业网络。
NAC准入控制可以确保这些设备符合企业的安全策略,减少潜在的安全风险。
浅析网络准入控制
浅析网络准入控制网络准入控制是NAC(Network Admission Control)的中文翻译,类似于网络的门禁系统,主要是自动判断设备和人员是否能接入网络,并禁止不符合要求的设备或人员进入网络,这样就保证了网络的根本安全。
准入一般包括入网身份认证、安全检查修复、网络访问权限控制等步骤,用通俗的方式讲,网络准入控制可以保证:1.设备或人员的身份识别;2.设备入网必须符合单位的安全要求;3.设备(人员)在规定范围访问;国内准入控制产品-盈高科技的入网规范管理系统(ASM)支持多种强制技术,国内唯一取得专利的准入技术MVG;国内最先实现无客户端准入,最先实现硬件准入;国内领先的安全检查功能,安全检查库最丰富;国内最完善的3重逃生应急方案(协议逃生、双机逃生、监控平台逃生);真正稳定可靠,有大规模混合网络部署和运行成功案例;稳定的电信级硬件平台,并且支持双机热备,国内领先;浪涌缓冲技术的实现,保证数千台设备同时入网。
-深圳联软的UniAccess;1.有软件也有硬件,主推软件方案;2.主要采用802.1x、EOU和ARP准入;3.兼容无客户端模式;4.侧重于金融证券行业;5.更侧重桌面运维。
-北京北信源的VRV SpecSEC体系中的网络接入控制管理系统1.有软件也有硬件(额外购买硬件控制器辅助安装客户端),主推软件方案;2.主要采用802.1x方案;3.必须安装客户端;4.更侧重桌面管理功能。
-北京启明星辰的天珣网络准入控制系统1.有软件也有硬件,主推硬件方案;2.主要采用802.1x方案;3.必须安装客户端;4.更侧重桌面管理功能;-华为(华赛)的Secospace1.有软件也有硬件(额外购买硬件控制器辅助安装客户端),主推软件方案;2.主要采用802.1x方案;3.必须安装客户端;4.更侧重桌面管理功能。
-北京艾科网信(ACK)的A系列实名制ID网络管理平台1.有软件也有硬件,主推硬件方案;2.兼容无客户端模式;3.主要采用DHCP准入;4.桌面管理功能薄弱。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 网络准入控制(NAC)的需求与挑战
思科网络准入控制(NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。
但是,识别用户的身份仅仅是问题的一部分。
尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。
利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。
在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。
可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
IBNS 的作用是验证用户的身份,而NAC 的作用是检查设备的“状态”。
交换平台上的NAC 可以与思科信任代理(CTA) 共同构成一个系统。
思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。
应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。
思科和NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。
思科正在与McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。
NAC的主要优点包括:
1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;
2. 多厂商解决方案——NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro;
3. 现有技术和标准的扩展——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议(EAP) 、802.1X和RADIUS服务;
4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。
2. 网络准入控制(NAC)技术介绍
a. NAC系统组件
如下图所示,NAC系统共包括四个组件:
NAC系统组件
网络准入控制主要组件:
端点安全软件(Cisco Security Agent/防病毒软件)
Cisco Trust Agent
网络接入设备(接入交换机和无线访问点)
策略/AAA服务器
防病毒服务器
管理系统
端点安全软件——包括AntiVirus防病毒软件,个人防火墙软件或Cisco Security Agent-思科安全代理,这些软件负责端点安全,并与Cisco Trust Agent (思科信任代理)通讯,共同决定对终端的信任关系。
Cisco Trust Agent——Cisco Trust Agent 负责收集多个安全软件客户端的安全状态信息,例如Anti-Virus 和Cisco Security Agent软件客户端,然后将信息传送到思科网络,在那里实施准入控制决策。
对于未运行防病毒软件,或者没有适当版本的主机,按照预定策略,可以限制它对网络的接入范围,也可以其拒绝接入网络。
网络接入设备——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。
这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。
网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
策略服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。
Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器,它构成了策略服务器系统的基础。
它可以与NAC合作商的应用服务器配合使用,提供更强的委托审核功能,例如防病毒策略服务器。
防病毒服务器——防病毒服务器对防病毒软件客户端发送的状态报告进行检查,并将检查的结果返回策略服务器,对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。
管理服务器——思科管理解决方案将提供相应的思科NAC组件,以及监控和报告操作工具。
CiscoWorks VPN/安全管理解决方案(CiscoWorks VMS) 和CiscoWorks安全信息管理器解决方案(CiscoWorks SIMS) 形成了此功能的基础。
思科的NAC合作商将为其端点安全软件提供管理解决方案。
NAC通过了两项最严格的兼容性测试:防病毒软件状况和操作系统信息。
它不但包括防病毒厂商的软件版本、机器等级和签名文件等级,还包括操作系统类型、补丁和热修复。
以后还将继续扩大安全保护范
围以及工作地点应用检查的范围。
b. NAC系统基本工作原理
上图是NAC的示意图,当运行NAC时,首先由网络接入设备发出消息,从主机请求委托书。
然后,AAA服务器Cisco Trust Agent (CTA) 与主机上的Cisco Trust Agent (CTA) 建立安全的EAP对话。
此时,CTA对AAA服务器执行检查。
委托书可以通过主机应用、CTA或网络设备传递,由思科ACS接收后进行认证和授权。
某些情况下,ACS可以作为防病毒策略服务器的代理,直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。
委托书通过审查后,ACS将为网络设备选择相应的实施策略。
例如,ACS可以向路由器发送准入控制表,对此主机实施特殊策略。
对于非响应性设备,可以对主动运行CTA(网络或ACS)的设备实施默认策略。
在以后的各阶段,还将通过扫描或其它机制对主机系统执行进一步检查,以便收集其他端点安全信息。
3. 网络准入控制(NAC)部署方案
要部署NAC方案,需要安装上面提到的所有NAC系统组件,这包括由思科提供的产品以及思科的合作伙伴提供的产品。
思科提供的产品包括
执行准入控制的网络设备――包括路由器、交换机、无线接入点和安全设备。
各种功能通过软件增强集成到新老平台中。
Cisco Secure ACS――AAA RADIUS服务器,是用于确定接入权限的策略决策点。
为支持NAC,正在增强ACS功能。
Cisco Trust Agent――主机代理,由思科开发,将通过多种方式分发:作为独立代理直接从思科或NAC 合作商分发,与Cisco Security Agent一起分发,或者嵌入到NAC防病毒厂商的更新软件中。
Cisco Security Agent ――可以在主机上使用,同时为防止蠕虫和病毒提供零天保护,并为NAC提供操作系统补丁和热修复信息。
CiscoWorks VMS可用于在路由器上批量配置NAC设置。
防病毒厂商将为主机和AV策略服务器提供系统的防病毒组件,目前加入NAC计划的防病毒厂商包括:IBM、趋势科技、McAfee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。
为了部署NAC,我们一般需要建议以下的具体步骤:
升级网络设备上的的IOS
升级主机上的防病毒软件
安装主机上的Cisco Trust Agent (可以包含在防病毒软件升级过程中)
安装Cisco Secure ACS 服务器(在实施基于802.1x的IBNS时已经部署)
安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS
另外,还需要考虑以下操作问题:
确定管理权限模式,妥善管理系统,并相应调整管理组件
确定和实施网络准入控制策略
确定可扩展性和性能要求,保证系统可以应付高峰状况(尤其是ACS等策略决策基础设施)
确定和实施隔离和修复环境
思科网络准人控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如Pc 、服务器、PDA )接入网络,而不允许其它设备接人。
在初始阶段,当端点设备进入网络时,NAC 能够帮助思科路由器实施访问权限。
此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。