准入控制作为设备接入企业网络的安全边界,一直以来是企业的安全基础设施之一。简单的准入机制潜藏着巨大的网络安全隐患。如何正确处理用户终端的安全访问问题,这需要一个基础网络来提供必要和有效的安全认证机制。

近年来,作为网络信息安全行业准入控制领域中备受关注的焦点之一,802.1X被越来越频繁地提及,势头越来越大。802.1X是什么?企业为什么需要802.1X?在802.1X中,哪些安全厂商是领先的。今天,我们来谈谈联软科技802.1X准入限制。

802.1X准入认证是什么?

●802.1X的由来

基于网络安全风险的背景,由Cisco提出,根据IEEE标准,提出了一种利用网络基础架构实现终端设备和用户合法合规接入企业网络的方案名称为网络准入控制(Network Admission Control,简称NAC)802.1X是其中一个标准,一种准入控制技术。

802.1X是一种基于端口的网络接入控制协议。基于端口的网络访问控制是指对在局域网访问设备的端口级上访问的用户设备进行认证和控制。如果连接到端口的用户设备通过认证,则可以访问局域网上的资源。如果验证失败,则无法访问局域网上的资源。

将基于802.1X协议的用户认证方式称为802.1X认证。

802.1X身份验证在用户集中、信息安全性严格的场景中广泛使用。

802.1X旨在解决局域网用户的访问认证和安全问题。802.1X准入认证允许企业仅允许合法和可靠的终端设备(例如,PC、服务器、PDA)访问网络,而不允许其他设备访问网络。

●802.1X进入架构组件

802.1X采用标准AAA认证架构,分别由设备侧、控制侧、服务侧、目录服务器(如果有的话:AD/LDAP/邮箱)构成。

设备端和控制端使用EAP协议进行认证和通信,认证消息采用UDP协议,控制端和服务端使用标准Radius协议进行通信,认证消息采用UDP协议。

●802.1X准入控制的优点是什么。

高兼容性:根据IEEE标准,支持符合IEEE标准的所有网络设备。

高安全性:在接入层阶段实现对终端设备的接入控制,真正实现不符合安全标准就无法接入网络、网络边界保护,拓宽企业网络安全边界。

高精灵活性:根据动态授权对接入网络的人、设备进行明确的网络权限划分。

企业为什么需要802.1X?

当前网络和信息安全形势越来越严峻复杂,企业数字化转型的发展也被动地面临着越来越多的不确定、突发、多样的网络安全攻击风险。高级持续攻击不断升级,不断突破企业现有的安全边界。准入控制作为主要保障企业网络基础设施使用的安全保障问题最为重要

同时,特别是对中大企业来说,终端类型的多种数量激增,终端管理任务的重量高,成本高。

在这种背景下,更灵活的动态识别、认证、访问控制等成为企业最关注的核心要求。考虑到安全功能要求、自身安全要求、安全保证要求、成本节约和效率化等诸多因素,基于角色控制访问、安全性高的802.1X准入认证意外地成为网络和信息安全严格企业的众多选择。

同时,802.1X协议是一种双层协议,无需达到三层,可有效降低建设成本。

特别是在保密需求的推动下,基于802.1X NAC的基础架构的基本要求已成为越来越多企业的必备要求。

关于802.1X,谁走在前面。坚强在哪里?

作为全球较早的网络准入控制厂商之一,中国网络准入控制市场的创始人和引领者,联软科技深耕网络安全行业,坚持创新引领者而非追随者。

2006年,联软率先在国内行业实现了基于802.1X和EOU网络的准入控制产品,可与思科、华为等主流品牌网络设备良好联动。此外,联软还于2008年推出硬件网络准入控制器,在业界首次进行准旁路式部署。

联软的UniNAC网络准入控制系统经过近20年的反复研发和更新,是网络级端点安全领域的专业解决方案,目前已有多家大型机构网络安全、终端管理、它为信息安全管理提供了直接支持,是中国500多家金融机构的最佳实践,市场拥有量较大的NAC产品,决策风险和TCO更低。

为了更好地保障企业的安全性,联软UniNAC网络准入控制系统采用国际标准协议802.1X实现对交换机端口级的强准入认证强管理控制,支持Windows、macOS、Linux、iOS、Android等各种终端的802.1X协议对所有联网终端实现身份验证、合规性检查、安全检查等。

目前,联软科技802.1X技术的独特之处和优势主要体现在以下几个方面:

●行业内网络设备对接兼容性更广,实施例更多的进入厂商,具备大量替换各种主流品牌进入产品的能力和兼容性,可直接向华为、思科交换机发布ACL内容无需在交换机上预先设置ACL,即可支持RABC的最小访问控制,将VLAN、ACL与个人用户或部门组相关联地发布。

●支持SDN网络架构适应未来发展:国内较早支持符合SDN网络环境的进入厂商,支持思科、华为等主流网络厂商的SDN环境,在SDN网络中结合软件实现终端身份认证和网络安全基线检查,终端接入控制策略由终端用户身份标签实现,与IP地址解耦。

●可靠性设计优良:为行业内具有更高标准的六重高可用性机制提供保障,大大减少部署准入系统带来的网络故障。独特的智能熔断机制使得人员误操作时终端无法正常接入网络。

●先行集成平台设计理念:实现客户端、平台,实现网络准入控制、桌面安全管理、信息防泄露等领域,实现网络准入控制、主机监控审计、桌面管理、补丁管理、安全管理、包括终端行为管理等功能一体化、全方位的终端安全解决方案。

●智能防幻影入侵:基于协同软件独创的幻影技术,支持自动或手动幻影产生与实际在线设备相匹配的设备类型和数量,大规模轻量捕获+动态引导蜜罐重度捕获联动,同时向真实终端注入面包屑饵料发现入侵者恶意接入幻影设备立即警告或阻断。

另外,在一部分网络环境中交换机不支持802.1X的情况下,作为迁移,UniNAC可以采用策略路由或镜像技术等网关型进入控制技术在以后更换或升级交换机后,您可以对802.1X执行强大的管理控制。

作为下一代智能化网络准入控制系统,UniNAC倡导与网络设备直接联动实现网络准入控制,实现优秀的网络安全、可靠性和网络建设灵活性,目前可直接联动的网络设备型号达数百种。通过与网络设备联动,与软件NACC许可控制器协作,UniNAC能够解决各种复杂环境下的网络许可控制问题,广泛运用于无线接入(员工、访问者)、有线网络、远程接入等场景。

802.1X NAC+SDP:全网络零可靠性安全管理解决方案

mdash;mdash;大型成功实践代表客户:交通银行、邮储银行、光大银行、中国银联、中国移动、格力电器……

与以网络为中心的准入控制相比,零信任是以企业资源为中心的。但两者的理念类似于零信任,都默认不相信设备,必须经过严格验证后才允许接入。因此,两者都有身份检查、环境感知、信任评估、动态最小授权等环节,严格来说这些环节都有重复的部分,考虑到具体落地过程中如何统一,需要给予用户更好的体验和更低的性能成本。

从企业网络安全的角度来看,两者解决的问题并不冲突,准入控制主要是保障企业使用网络基础设施的安全问题,零信任主要是解决接入企业资源的安全问题,因此谷歌的零信任实践项目BeyondCrop在企业网中的第一步也是准入控制(802.1X)

BeyondCrop组件和访问过程

在数字化转型大潮下,企业在基础IT架构中引入了上云服务、移动计算等热点技术,内网外网物理边界逐渐消失,特洛伊木马病毒迭代速度也迅速加快,终端数量巨大地呈现指数级增长。

如何维护企业的安全边界。如何实现更灵活的动态识别、认证和访问控制以实现终端的高效实时管理?所有这些安全问题都受到关注。要保障企业业务系统接入的安全性,首先需要统一加强接入终端的安全建设水平。

随着市场和需求的不断升级,零信任理念逐步成熟,云计算将面临持续发展、不断升级的新兴技术、需求和应用场景,在此机会下,联软将充分发挥802.1X在终端安全等领域的独特优势和价值作用推出了基于零信任理念的全网零信任安全管理解决方案。

整个网络零可靠性安全管理解决方案主要采用ldquo。802.1X NAC + SDPrdquo;以技术结合的方式,ldquo;继续验证,不信任rdquo;原则上,以访问、身份、设备、应用程序和数据五要素为中心构建企业新的安全系统。

联软科技全网零信任解决方案融合了SDP软件定义边界、NAC准入安全、NXG数据安全交换、EMM移动安全、EPP端点安全、EDR终端检测与响应、DLP数据安全等功能。通过一套平台,一个客户端集成了接入安全、端点安全、数据安全的能力,全面实现了不同身份、不同设备类型、不同操作系统、不同接入场景、对不同的数据发送方式进行管理控制,实现不同资源细粒度的访问控制。

用户只需购买安装、配置一套系统,即可实现全网各种终端零可靠性安全接入,并对移动端和PC端进行统一管理然后用户可以根据企业的实际需求选择方案的具体应用场景,基于一套平台、一个客户端,快速扩展,无需重复建设,同时提高运行维护和管理效率,实现成本节约和效率化。

所有网络零信任安全管理解决方案都被视为防泄密和防兰萨姆病毒解决方案的基础解决方案。该方案实现了与谷歌BeyondCorp零信任方案相媲美的安全效果,并在实际应用场景中更符合国内安全市场需求,为企业构建了代表交通银行、邮储银行、光大银行、中国银联、中国移动、格力高电器等的新一代安全体系。

强优,探索技术发展新方向

作为全球领先的网络准入控制厂商之一,中国企业端点安全领域的领军人物、中国UEM统一终端管理领域的领军人物、国产自主可控网络安全新基础设施的领军人物、国内首创基于ldquo的零可靠性安全rdquo;作为产品的制造商之一,联软继续关注市场发展和客户需求,不断致力于关键核心技术创新,不断加快推进802.1X等技术成果转化应用,引领行业探索技术发展新方向。

目前,联软科技为金融、制造业、运营商、政府、医疗、能源等行业客户提供了基于802.1X强准入认证技术的UniNAC网络准入控制系统、软件化ESPP各子系统、以及以全网零信任安全管理为代表的系列解决方案,已为3000多家行业企业提供创新的网络安全解决方案和技术服务。

强者走强、势不可挡的802.1X,在网络安全新基础设施建设中发挥着越来越突出的重要作用。联软也将坚持技术创新,引领行业技术先机,开启更多新领域新课程,为促进政府企业数字化建设提供有力保障。