常见准入控制技术分析

常见准入控制技术分析

网络准入控制NAC（Network Access control）的简称，准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查，准入控制让接入你网络的每一个人，每个终端都具有合法性，合规性，是可信的，主要是认证+授权，无计费（更加后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件）。

网络准入控制技术通常包括：

根据分类网络准入控制技术主要包含以下三大类：

一、基于网络设备的准入控制技术

802.1X准入控制技术：IEEE 802.1X是IEEE制定关于用户接入网络的认证标准，二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；常用到EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；由于是IEEE标准所以被许多交换机厂家广泛支持，而且在国内许多的准入控制软件厂商中也得到广泛应用。但很遗憾的是很多软件厂商做得很差，客户端维护麻烦，还需要修改网卡属性。而且802.1X虽然是IEEE标准，但是各个交换机厂商在采用认证加密的算法可能不一样，很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的802.1X认证。

802.1X主要采用VLAN 动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权客户端。

802.1X目前的不足指出在于：由于是二层协议，同时802.1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透3层网络环境。而且在HUB的情况下.VLAN无法切换。更有很多厂商无法解决HUB环境认证的问题。

CISCO EOU 准入控制技术：EAP OVER UDP ,是思科公司私有的准入控制技术；CISCO 3550 以上设备支持，传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的，当然不可能是仅限于此目的；EOU技术工作在3层，采用UDP 封装，客户端开放UDP 21862 端口，由于是3层所以在很多地方比二层协议更灵活，如在灾备，设备例外，认证放行等特性上都较为灵活。

CISCO EOU 技术，同时分为二层EOU 和三层EOU 即：IPL2,IPL3;两者不同的在于：2层EOU是指运行在交换设备上的（3层交换机也包括），2层EOU

认证是靠ARP 和DHCP触发认证的，所以在客户端和认证网络设备之间Authenticator System（设备端）之间必须可以让ARP 和DHCP包能够通过；3层的EOU L3IP_EOU，是工作在路由器上的，他是靠包转发来触发认证，所以支持各种接入环境，如果设备牛B的还可以支持NAT环境，NAT环境很少厂商能支持的。2层EOU和3层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术。

所以，其实基于网络设备的准入控制技术才是真正的准入控制技术，可以控制到端口

二、基于网关设备的准入控制技术：

网关型准入控制：简单的来说是就是通过网络限制，网关认证等方式授权

客户端访问网络。此方案一般由防火墙厂家推出，具有很多问题，如：网关型

准入控制只控制了网络的出口，没有控制内网的边界接入。

主要特色是维护方便，无需调试下面的交换机，如果一个厂家采用了业界共

用的技术开发的准入网关如EOU 技术，则可兼容其他准入控制系统，还是较好的，但是如果是厂家自己开发的什么认证协议，那都是忽悠，维护更加麻烦（注：

不是每个厂家都这样）

网关式的准入选型我们必须注意以下几个方面：1.容灾性，如果串接、策略

路由部署，网关挂了，全网断网，事情严重，旁路不存在；2.认证并发数，大家

上班不可能每天都等待准入认证，并发数必须要大，而且稳定；3.吞吐量足够，这个必须的网关；4.是否会改变你的网络结构？如果需要改变网络结构需要慎重。

三、伪准入控制，假干扰性技术：

以下技术由于漏洞多，无法解决根本问题

ARP型准入控制：通过ARP欺骗和干扰技术实现，互联网发展到今天，这个

技术应该在2005年就要淘汰了。为什么？ARP欺骗和干扰本来就是病毒行为，

后期会加重管理员的维护任务；而且在今天的技术下绕过这个准入简直是易如反掌，比如你装一个360安全卫士，直接拦截ARP攻击，轻松绕过，其他的方法我

就不详谈了，在访客和授权的管理上缺陷很大，一般都部署不下去。

DHCP准入控制：看了上面的ARP技术，在来看看DHCP准入控制技术，你觉

得靠谱吗？NO；简单来说DHCP准入原理：设备接入，先给你一个临时IP和

后台通讯检测你的合法性，合法在给你重新分配一个合法的IP地址正常办公。

既然是这样，如果绕过大家都知道把？？？手工配置IP地址即可绕过。或许

有人会说可结合dhcp snooping等技术，试问大哥你想过没有？dhcp snooping 等其他技术不是每个交换机都支持的，只是个交换机的特性，非所有设备都支持，与其这样不如推荐802.1x，且DHCP耗竭攻击，这个目前交换机能防护的程

度就是检查DHCP 消息中的SMAC和RMAC，可同时伪造两个MAC欺骗。

DHCP准入，由于需要动态地址分配，在许多保密场所和大型企业都是觉得

使用的。后期的维护是相对的困难，最多只适合100台终端以下的环境使用。在

解决打印机，特殊设备上有很大的缺陷，在防止伪造MAC,IP 上无防护手段相对

于EOU技术和802.1X技术漏洞较多。在访客管理和授权的管理上缺陷很大，

一般厂家的DHCP准入控制还采用DHCP服务器与DHCP准入控制装置分离的控制

方法部署过程相当的艰难。ARP 和DHCP 都容易造成网络堵塞，不利于大型网络。

应用层准入：感觉更忽悠的味道，有很多中实现方式：如ISA和AD联动实现；还有一种比如在OA上装一个插件，大家都要访问OA，就必须装个客户端，否则无法访问，其实这个干扰，如果我不访问OA，我访问你的CRM,窃取客户信

息你咋办？所以这很假。

准入控制，和桌面安全终端安全其实都属于网络边界安全，现在准入控制

和桌面安全结合是主流趋势。所以大家还要注意准入和桌面的结合，我想谁喜欢

简单的运维系统，如果装几个客户端在你电脑上，你是什么感觉？或者作为

IT管理员每个电脑你要配置一边你是什么感觉？