首页 >> 关于我们 >> 新闻动态

网络准入控制NAC的演进史

联软科技
2022年11月09日

历史巨轮:NAC诞生

计算机高速发展过程中,网络内出现越来越多的0day攻击,此时迫切需要一种技术可以对非法的电脑做网络隔离,并能在网络中自动定位出有问题的电脑,进一步对这些电脑做安全修复,最早的网络准入控制技术应景而生。

 

2003年,当时全世界最大的网络厂商Cisco提出NAC技术与SDN(自防御网络)概念,并形成了网络准入控制技术框架,随后,MicrosoftJuniper等网络大厂也分别发布相应的产品与解决方案,到了2006年,网络准入控制市场发展迅猛,当年NAC被国内外媒体称为继防火墙之后最大的网络安全市场热点。

NAC首创者:Cisco

思科是网络准入控制技术的提出者,Cisco NAC网络准入控制技术的演进过程如下所示:

Cisco NAC 1.0:解决网络隔离问题;

Cisco NAC 2.0:实现更细粒度的准入控制;

Cisco NAC 3.0:提出硬件的解决方案,主要解决部署困难的问题;

Cisco NAC 4.0:思科又放弃了网关的方案,重点解决集中管理的问题,在第二代技术基础上增加了实名制网络资源访问控制等技术,即Role-based 802.1x技术。

经过这么多年的发展,NAC的解决焦点从网络的访问控制演进为对资源的访问控制。

NAC技术发展阶段

时间

驱动力

功能

局限性

2003-2004

网络蠕虫

基本的设备 PC)检查

技术复杂, 缺乏标准

2005-2006

来宾访问

无线接入

基本的设备 PC)检验、 802.1 X身份验证

技术复杂,成本高,混乱的市场格局,标准的竞争导致了混乱的市场

2007-2008

设备(PC)认证

有线和无线网络的802.1x身份认证

技术复杂,多个 802.1 X制约

2008-2010

来宾访问

无线接入(802.11n

802.1 X身份验证,

常规的有线/无线策略管理

NAC在预防/检测高级持续性威胁( APTs)乏力,削弱了实用性

2010-至今

BYOD

移动终端

提供基于策略的情报、 执行、 弱化风险,并实时监控所有网络设备访问、配置和连接到 IP 网络的任何节点的活动

EVAS本身不直接实现数据信息的保护,而作为“安全基础设施”为数据安全保护提供支撑基础

NAC技术类型分析

在标准框架基础上,根据不同的应用场景发展出三类网络准入控制技术,这三种类型技术,都支持有Agent和无Agent设备的接入认证,无Agent的认证,大多数厂商使用MAC地址或IP地址。

准入控制技术

内容

基于网络设备方式(Infrastructure-based NAC

包括802.1x EOUportal等技术;

基于网关设备方式(Appliance-based NAC

串联方式、准旁路(PBR)、旁路方式等多种技术;

基于纯软件方式(Software-based NAC

包括ARP干扰、DHCP干扰、fake DNSNAPIpsec enforcement、与Web Server/ISA联动等等。

这三类技术各有特点,分别应用于不通的网络接入场景。

除了以上的技术分析,还需明确网络接入最终需要承担安全责任的是人,不是设备,所以采用Role-based(基于角色)管理方法,与HR/LDAP对接,更易落实到人,也便于策略管理、数据分析、事后追查(事件链)。

NAC创新者和领导者:联软科技

总括:

Leagsoft UniNAC支持几乎所有的网络准入控制技术,除了能支持802.1x Cicso NACportalInfrastructure-based准入控制技术,串接、准旁路、端口镜像等Appliance-based准入控制技术和ARP干扰、DHCP干扰等Software-based准入控制技术外,还支持Role-Based准入控制技术,针对不同的准入控制技术,可以应用于不同的接入管理场景,所以UniNAC可以适应任何复杂的网络环境下的网络接入控制需求。

 

创新:资源访问控制技术RAC

Leagsoft UniNAC系统在2012年发布资源访问控制技术RAC(Resource Access Control),支持Role-based网络资源访问控制,也支持用户终端、哑终端的资源访问控制。

该技术通常用ACL控制网络资源访问权限,支持在各种型号的802.1X网络交换机、无线控制器、支持EoU的路由器、联软的NACC网关和客户端上下发ACL,这样就可以实现对不同的终端、不同的用户角色、不同的应用程序、不同的访问时间下发指定的访问权限,从而对网络的接入实现细粒度的管理。

 

创新:新一代的DEVAS

网络使用中新的安全性和移动性要求,让NAC演进为全新的EVASEndpointVisibilityAccessSecurity)端点可视化与访问控制安全。EVAS定义:一种网络安全技术,提供基于策略的情报、 执行、 弱化风险,并实时监控所有网络设备访问、配置和连接到 IP 网络的任何节点的活动。

但是EVAS本身不直接实现数据信息的保护,而只能作为“安全基础设施”为数据安全保护提供支撑基础!联软科技率先将EVAS概念引入到终端安全管理平台产品中,形成了一套以EVAS为基础,集合终端数据信息安全防护的DEVAS解决方案。

在网络安全方面

EAVS,基于设备、用户、网络位置、时间、数据的敏感性等颗粒化的网络访问控制,防止问题电脑接入、问题人员对网络的访问,与安全信息和事件管理间广泛的集成。

在应用安全方面

有资源访问控制RAC,防止不正确的时间、地点、接入方式的异常访问,防范缓冲区溢出攻击、规避审计手段等黑客工具攻击。

在信息安全方面

有终端数据信息安全防护,防止被用黑客工具非法盗取信息,防止内部人员将其接触到的信息,转给外部人员泄密。

联软在准入控制的演进

2004年,全球首创设备快速发现与定位技术,设备接入网络,几分钟内即可发现、定位(无需Agent),同类产品需要数小时乃至数天,持续12年保持领先;

2005年,中国第一家基于802.1x/EoU网络准入控制产品,EoU准入这个名词首先在联软的技术文档中被使用;

2006年,全球第一家,一个Agent支持多网络设备厂商,联软成为首家基于Cicso NAC框架的产品供应商;

2008年,中国第一家推出基于硬件网关的准入控制器(NACC),解决复杂的环境的网络接入管理问题,支持准旁路部署、全旁路部署;

2010年,中国第一家发布Linux客户端的厂商,支持准入控制;

2012年,在网络准入控制基础上,发布新一代NAC技术RAC,引领第四代网络准入控制技术向前发展;

2014年,系统支持对移动终端的接入管理;

2015年,系统支持对哑终端设备自动识别和接入管理;集合终端数据信息安全防护的DEVAS解决方案。

当然,还有业内独创HTTPS重定向访问技术,独创MAC地址自动获取,接入认证故障诊断辅助工具等等。

 

经过13年的发展,联软科技已经成为中国网络准入控制市场的技术领导者,而且还将持续创新,为客户更有价值的技术及解决方案。

最新动态

  • 开放协同 共筑网安新生态| 资本市场金融科技2024年度创新交流会网络安全专题研讨会圆满举行

  • 一个平台一站式赋能 联软微盾让终端安全管理更省心

热门推荐