论文部分内容阅读
摘 要: 在网络环境越来越复杂的今天,病毒与蠕虫不断的在影响企业营运,它可以导致停工、恢复所需费用、无止尽的修补、公共责任、收入的损失等,安全问题越发突出。网络访问控制(NAC)是最有前途的安全技术之一,它可以提供一个针对主机的跨点安全技术。
关键词: 网络访问控制(NAC);技术;病毒;蠕虫
中图分类号:TP393.07 文献标识码:A 文章编号:1671-7597(2011)0810009-01
现今病毒与蠕虫不断的在影响企业营运,它可以导致停工、恢复所需费用、无止尽的修补、公共责任、收入的损失等。最新的攻击传播速度表明了,系统安全更新远跟不上脆弱的系统被攻击的速度,而且我们发现,系统经常在安全业者提供最新的更新码之前就已经遭受了攻击。如果在企业网络中一台有感染一种以上的病毒或蠕虫,定位和隔离它往往需要浪费企业大量的时间和资源,尤其当它们位于网络深层时,企业更显得无能为力。而且这个问题在网络环境越来越复杂的今天,尤其严重,因为企业拥有如此多的“多种多样”:多种多样的最终用户,包括雇员、卖主和销售商;多种多样的终端,包括公司的桌面系统、家里的设备和服务器;多种多样的接入方式,包括有线、无线、VPN和拨号网络等。这时候我们需要运用技术手段,来保证每一个终端在进入网络前皆符合网络安全规范。
网络访问控制(NAC)最有前途的安全技术之一,可以提供一个针对主机的跨点安全技术。NAC由下列部分组成:
1)Communications agent-Cisco Trust Agent(简称CTA)是一个软件工具,负责汇集端点的安全讯息与设定等资讯,例如防毒软件、OS及Cisco Security Agent(CSA),并把这些讯息传递到网络连接设备(Net
Work access devices)。
2)Network access devices-每一个设备在一开始寻求网络服务时将先与一个网络连接设备(router、switch、VPN concentrator、or firewall)联系。这些设备能要求端点必須提供由CTA产生的安全认证,并且将这些信息转送至策略服务器(policy server)以取得该端点接入网络的准许权。
3)Policy servers-思科系统安全接入控制服务器(Cisco Secure Access Control Server,简称ACS)或其他供应商策略服务器检查从网络连接设备转送的端点安全认证,判定并给予其适当的权限(permit,deny,quarantine,restrict)。
4)Management systems-CiscoWorks VPN/Security Management Solution(VMS)、CiscoWorks Security Information Manager Solution
(SIMS)、以及NAC cosponsor management solutions规范了NAC的要素,
并提供监控和报告工具,以及管理端点安全的应用服务。
5)Advance service-进阶服务提供了结合计划、设计、以及建置咨询服务,用以帮助IT人员快速部署NAC解決方案,以落实Cisco NAC所提供的承诺。
NAC运行过程如图1所示。
1)当一用户终端(Host)接入网络,并向接入层网络设备提出验证请求。
2)接入层网络设备接到验证请求后,向后传递验证给策略服务器
(Policy Server)。
3)策略服务器(Policy Server)确认该用户终端认证及权限。
4)将该用户终端的权限传递给各节点网络设备。
5)各节点网络设备强制执行控管该用户终端权限。
6)接入层网络设备告知该用户终端可否连线,若为否则将其导向隔离区域(Quarantine Zone)或告知其无权使用网络。
网络访问控制这类技术还是一种没有完全定义的新兴技术,它在适当的条件下仍然可以发挥巨大的价值。NAC已成为阻止潜在的窥探和攻击者的一种重要工具,也可用于管理更复杂的web许可和授权,这些许可和授权可适应于不同的用户组访问不同的网络部分。这项技术有助于企业增强其关于任何寻求网络访问的个人或设备的安全策略。NAC还有助于企业与外部的规章和内部的策略保持一致性,并可以保护网络资源免受不断发展的网络威胁的危害。
关键词: 网络访问控制(NAC);技术;病毒;蠕虫
中图分类号:TP393.07 文献标识码:A 文章编号:1671-7597(2011)0810009-01
现今病毒与蠕虫不断的在影响企业营运,它可以导致停工、恢复所需费用、无止尽的修补、公共责任、收入的损失等。最新的攻击传播速度表明了,系统安全更新远跟不上脆弱的系统被攻击的速度,而且我们发现,系统经常在安全业者提供最新的更新码之前就已经遭受了攻击。如果在企业网络中一台有感染一种以上的病毒或蠕虫,定位和隔离它往往需要浪费企业大量的时间和资源,尤其当它们位于网络深层时,企业更显得无能为力。而且这个问题在网络环境越来越复杂的今天,尤其严重,因为企业拥有如此多的“多种多样”:多种多样的最终用户,包括雇员、卖主和销售商;多种多样的终端,包括公司的桌面系统、家里的设备和服务器;多种多样的接入方式,包括有线、无线、VPN和拨号网络等。这时候我们需要运用技术手段,来保证每一个终端在进入网络前皆符合网络安全规范。
网络访问控制(NAC)最有前途的安全技术之一,可以提供一个针对主机的跨点安全技术。NAC由下列部分组成:
1)Communications agent-Cisco Trust Agent(简称CTA)是一个软件工具,负责汇集端点的安全讯息与设定等资讯,例如防毒软件、OS及Cisco Security Agent(CSA),并把这些讯息传递到网络连接设备(Net
Work access devices)。
2)Network access devices-每一个设备在一开始寻求网络服务时将先与一个网络连接设备(router、switch、VPN concentrator、or firewall)联系。这些设备能要求端点必須提供由CTA产生的安全认证,并且将这些信息转送至策略服务器(policy server)以取得该端点接入网络的准许权。
3)Policy servers-思科系统安全接入控制服务器(Cisco Secure Access Control Server,简称ACS)或其他供应商策略服务器检查从网络连接设备转送的端点安全认证,判定并给予其适当的权限(permit,deny,quarantine,restrict)。
4)Management systems-CiscoWorks VPN/Security Management Solution(VMS)、CiscoWorks Security Information Manager Solution
(SIMS)、以及NAC cosponsor management solutions规范了NAC的要素,
并提供监控和报告工具,以及管理端点安全的应用服务。
5)Advance service-进阶服务提供了结合计划、设计、以及建置咨询服务,用以帮助IT人员快速部署NAC解決方案,以落实Cisco NAC所提供的承诺。
NAC运行过程如图1所示。
1)当一用户终端(Host)接入网络,并向接入层网络设备提出验证请求。
2)接入层网络设备接到验证请求后,向后传递验证给策略服务器
(Policy Server)。
3)策略服务器(Policy Server)确认该用户终端认证及权限。
4)将该用户终端的权限传递给各节点网络设备。
5)各节点网络设备强制执行控管该用户终端权限。
6)接入层网络设备告知该用户终端可否连线,若为否则将其导向隔离区域(Quarantine Zone)或告知其无权使用网络。
网络访问控制这类技术还是一种没有完全定义的新兴技术,它在适当的条件下仍然可以发挥巨大的价值。NAC已成为阻止潜在的窥探和攻击者的一种重要工具,也可用于管理更复杂的web许可和授权,这些许可和授权可适应于不同的用户组访问不同的网络部分。这项技术有助于企业增强其关于任何寻求网络访问的个人或设备的安全策略。NAC还有助于企业与外部的规章和内部的策略保持一致性,并可以保护网络资源免受不断发展的网络威胁的危害。