网络准入控制技术简史(篇外之剑走偏锋)
网络准入控制技术简史
(篇外之剑走偏锋)
引言
截至到目前,以上文章中所提到的准入技术都是雄心勃勃的要管到网络的每一个角落、每一个接入的终端,要在连接网络的第一时间对终端和用户进行合法性检查,及时阻断非法接入的每一个终端。无论是单个准入技术还是多个技术的组合拳,都要触及到每一个终端、每一台交换机、每一个VLAN,实施和维护的工作量都不小。为了化解这个矛盾,针对于网络安全性要求较低的网络,准入厂家也剑走偏锋,提出了一些新招来部分满足用户需求,如网关准入技术和SPAN准入技术。
网关准入技术
网关准入技术也叫策略路由,是通过在交换机上设置策略,将终端流量转发给准入控制网关,由网关对具体的流量进行判断,合规的放行,非法的拒绝或重定向。重定向之后的页面可以进行用户身份认证,也可以下载客户端。此方案部署非常简单,只需要利用交换机上的一个网口,再配置策略路由命令即可。一旦发生故障,撤下来也非常简单,拔掉网线或删除策略路由命令就搞定,在项目演示或前期测试中很容易获得好感。通过流量分析,还可以判断出终端上某些特定软件的使用情况,比如是否加入AD域、是否安装杀毒软件,部分的实现了客户端的功能,从而可以在整体方案中不使用客户端。不足的地方,则在于没能做到真正的网络准入。从原理上很容易看到,采用该技术,准入系统发现终端接入的条件是有该终端的流量经过指定的交换机,而对没有发送流量或者流量不经过该交换机的终端,则完全看不到,更不可能管理了。为了检查尽可能多的流量,一般将准入网关接到核心交换机上,这样准入网关就需要处理全网中所有经过核心交换机的流量,对软硬件的性能有较高的要求,否则会造成一定的网络延迟。一般实施时,只将部分协议流量转发到准入网关,虽然减轻了网关压力,但也让其它流量失去了监管。同时,也就无法知晓和管理在同一台接入交换机下接入的多台终端之间的通讯,而如果在每一台接入交换机上接一个准入网关,则硬件成本大大升高。
SPAN准入技术
SPAN准入技术与网关准入技术很像,但更为简单:将准入策略服务器接在交换机的镜像口上,通过对镜像口抓取的网络数据包进行分析来判断是否合规,合规的忽略,不合规的进行旁路阻断或重定向。相比网关准入技术,同样存在只能处理经过指定交换机的流量的问题;不存在网络延时问题,但会因为流量大无法及时阻断,再加上旁路阻断的原理决定了成功率不高,对违规终端的控制力度比较弱。
后记
在一些场景下,网关准入和SPAN准入是作为桌面管理系统的客户端推送方法而存在的,并不起网络准入的作用。
总体说来不管是哪一种准入技术方案,都不能独自包打天下,在摸清家底、建立信任、阻断可疑这三个方面,每种技术都各有优缺点。用户需要根据自己的网络构成、规模、安全性需求、管理性需求、网络管理人员素质、企业网络建设目标等多方面因素综合考虑选用哪一种或哪几种技术方案的组合来在企业里踏实落地。我们作为网络准入产品的供应商,只有以客户需求为导向,不断的优化自身产品功能,才能够适应市场的需求,实现客户的目标。往期回顾