准入控制技术方案对比(上) – 作者:Tsecurity

网络准入控制的技术方案的对比

接入层准入控制方案 汇聚层准入控制方案

技术方案

在终端接入的网络交换机层就进行网络访问控制,如果不是合法合规的终端,则关闭其连接的端口 在网络的汇聚层对终端的网络通讯进行控制,如果不是合法合规的终端的数据包,则阻止其通过

技术原理

主要是采用802.1x(EAPoL)技术,当终端接上端口以后,由交换机发起802.1x验证,终端发送验证包以后,交换机交给RADIUS服务器验证通过以后开启端口放行 主要采用透明网桥技术,当网络通讯包经过准入控制网关以后,网关对通讯包进行检查,不合法的通讯包被阻止或者重定向准入提示区或修复区。

部署方式

配置RADIUS服务器,和支持802.1x的交换机联动配置 通过串接或者旁路方式接入网络汇聚层或核心层

控制范围

可控制到接入层的端口 控制通讯经过网关的数据包

协议控制

对网络端口控制,不能对单独的通讯协议控制 可选择性地控制不同协议的网络数据包,例如放过网络电话、视频会议的通讯

优势

1、控制严格,可以控制到网络接入的端口
2、由交换机实现控制,不影响网络的性能
1、和企业内部网络设备、网络结构无关,部署简单,几乎不需要配置交换机
2、控制灵活,扩展方便
3、支持禁止外来计算机接入内网(比如生产线网络)访问受保护的内网计算机
4、故障出现时有硬件恢复机制,网络可自动通过,手工恢复处理也相对容易,可快速处理网络故障,确保网络不中断

劣势

1、要求接入层交换机都支持802.1x,一些老旧交换机和HUB不支持
2、只有内部局域网才能支持,对于VPN,专线或NAT接入的通讯无法控制
3、不同厂商(甚至不同型号)在802.1x协议实现上有差别,配置相对繁琐,实施时间长,难度大、成本高
4、因为要对交换机进行繁琐的配置,容易诱发断网、网络瘫痪的风险,后续的运维风险较大
5、802.1x的实施会导致在接入层投入很多运维资源,使运维人员的工作量更大
6、802.1x接入层准入需要和交换机做联动,如果客户端出现认证问题,需要在准入网关和交换机之间进行排查,需要确定是交换机的问题还是准入网关的问题,比较难排查,修复的时间也会很长
1、不能控制到同一个接入层交换机下的端口通讯

总结

虽然802.1x可以做到很严格的控制,但是由于对接入的网络设备要求高,配置和维护复杂,在一般稍大型一点的网络比较少实际使用 部署简单,管理灵活,有故障时容易处理和恢复,性价比更高,为较多科技类制造业企业所采用。

来源:freebuf.com 2021-07-14 08:45:04 by: Tsecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论