网络准入控制NAC的演进史
历史巨轮:NAC诞生
计算机高速发展过程中,网络内出现越来越多的0day攻击,此时迫切需要一种技术可以对非法的电脑做网络隔离,并能在网络中自动定位出有问题的电脑,进一步对这些电脑做安全修复,最早的网络准入控制技术应景而生。
在2003年,当时全世界最大的网络厂商Cisco提出NAC技术与SDN(自防御网络)概念,并形成了网络准入控制技术框架,随后,Microsoft、Juniper等网络大厂也分别发布相应的产品与解决方案,到了2006年,网络准入控制市场发展迅猛,当年NAC被国内外媒体称为继防火墙之后最大的网络安全市场热点。
NAC首创者:Cisco
思科是网络准入控制技术的提出者,Cisco NAC网络准入控制技术的演进过程如下所示:
Cisco NAC 1.0:解决网络隔离问题;
Cisco NAC 2.0:实现更细粒度的准入控制;
Cisco NAC 3.0:提出硬件的解决方案,主要解决部署困难的问题;
Cisco NAC 4.0:思科又放弃了网关的方案,重点解决集中管理的问题,在第二代技术基础上增加了实名制网络资源访问控制等技术,即Role-based 802.1x技术。
经过这么多年的发展,NAC的解决焦点从网络的访问控制演进为对资源的访问控制。
NAC技术发展阶段
|
时间 |
驱动力 |
功能 |
局限性 |
|
2003-2004 |
网络蠕虫 |
基本的设备 (PC)检查 |
技术复杂, 缺乏标准 |
|
2005-2006 |
来宾访问 无线接入 |
基本的设备 (PC)检验、 802.1 X身份验证 |
技术复杂,成本高,混乱的市场格局,标准的竞争导致了混乱的市场 |
|
2007-2008 |
设备(PC)认证 |
有线和无线网络的802.1x身份认证 |
技术复杂,多个 802.1 X制约 |
|
2008-2010 |
来宾访问 无线接入(802.11n) |
802.1 X身份验证, 常规的有线/无线策略管理 |
NAC在预防/检测高级持续性威胁( APTs)乏力,削弱了实用性 |
|
2010-至今 |
BYOD 移动终端 |
提供基于策略的情报、 执行、 弱化风险,并实时监控所有网络设备访问、配置和连接到 IP 网络的任何节点的活动 |
EVAS本身不直接实现数据信息的保护,而作为“安全基础设施”为数据安全保护提供支撑基础 |
NAC技术类型分析
在标准框架基础上,根据不同的应用场景发展出三类网络准入控制技术,这三种类型技术,都支持有Agent和无Agent设备的接入认证,无Agent的认证,大多数厂商使用MAC地址或IP地址。
|
准入控制技术 |
内容 |
|
基于网络设备方式(Infrastructure-based NAC) |
包括802.1x 、EOU、portal等技术; |
|
基于网关设备方式(Appliance-based NAC) |
串联方式、准旁路(PBR)、旁路方式等多种技术; |
|
基于纯软件方式(Software-based NAC) |
包括ARP干扰、DHCP干扰、fake DNS、NAP、Ipsec enforcement、与Web Server/ISA联动等等。 |
这三类技术各有特点,分别应用于不通的网络接入场景。
除了以上的技术分析,还需明确网络接入最终需要承担安全责任的是人,不是设备,所以采用Role-based(基于角色)管理方法,与HR/LDAP对接,更易落实到人,也便于策略管理、数据分析、事后追查(事件链)。
NAC创新者和领导者:联软科技
总括:
Leagsoft UniNAC支持几乎所有的网络准入控制技术,除了能支持802.1x 、Cicso NAC、portal等Infrastructure-based准入控制技术,串接、准旁路、端口镜像等Appliance-based准入控制技术和ARP干扰、DHCP干扰等Software-based准入控制技术外,还支持Role-Based准入控制技术,针对不同的准入控制技术,可以应用于不同的接入管理场景,所以UniNAC可以适应任何复杂的网络环境下的网络接入控制需求。
创新:资源访问控制技术RAC
Leagsoft UniNAC系统在2012年发布资源访问控制技术RAC(Resource Access Control),支持Role-based网络资源访问控制,也支持用户终端、哑终端的资源访问控制。
该技术通常用ACL控制网络资源访问权限,支持在各种型号的802.1X网络交换机、无线控制器、支持EoU的路由器、联软的NACC网关和客户端上下发ACL,这样就可以实现对不同的终端、不同的用户角色、不同的应用程序、不同的访问时间下发指定的访问权限,从而对网络的接入实现细粒度的管理。
创新:新一代的DEVAS
网络使用中新的安全性和移动性要求,让NAC演进为全新的EVAS(Endpoint、Visibility、Access、Security)端点可视化与访问控制安全。EVAS定义:一种网络安全技术,提供基于策略的情报、 执行、 弱化风险,并实时监控所有网络设备访问、配置和连接到 IP 网络的任何节点的活动。
但是EVAS本身不直接实现数据信息的保护,而只能作为“安全基础设施”为数据安全保护提供支撑基础!联软科技率先将EVAS概念引入到终端安全管理平台产品中,形成了一套以EVAS为基础,集合终端数据信息安全防护的DEVAS解决方案。
在网络安全方面
有EAVS,基于设备、用户、网络位置、时间、数据的敏感性等颗粒化的网络访问控制,防止问题电脑接入、问题人员对网络的访问,与安全信息和事件管理间广泛的集成。
在应用安全方面
有资源访问控制RAC,防止不正确的时间、地点、接入方式的异常访问,防范缓冲区溢出攻击、规避审计手段等黑客工具攻击。
在信息安全方面
有终端数据信息安全防护,防止被用黑客工具非法盗取信息,防止内部人员将其接触到的信息,转给外部人员泄密。
联软在准入控制的演进
2004年,全球首创设备快速发现与定位技术,设备接入网络,几分钟内即可发现、定位(无需Agent),同类产品需要数小时乃至数天,持续12年保持领先;
2005年,中国第一家基于802.1x/EoU网络准入控制产品,EoU准入这个名词首先在联软的技术文档中被使用;
2006年,全球第一家,一个Agent支持多网络设备厂商,联软成为首家基于Cicso NAC框架的产品供应商;
2008年,中国第一家推出基于硬件网关的准入控制器(NACC),解决复杂的环境的网络接入管理问题,支持准旁路部署、全旁路部署;
2010年,中国第一家发布Linux客户端的厂商,支持准入控制;
2012年,在网络准入控制基础上,发布新一代NAC技术RAC,引领第四代网络准入控制技术向前发展;
2014年,系统支持对移动终端的接入管理;
2015年,系统支持对哑终端设备自动识别和接入管理;集合终端数据信息安全防护的DEVAS解决方案。
当然,还有业内独创HTTPS重定向访问技术,独创MAC地址自动获取,接入认证故障诊断辅助工具等等。
经过13年的发展,联软科技已经成为中国网络准入控制市场的技术领导者,而且还将持续创新,为客户更有价值的技术及解决方案。