經驗案例

智能網關網絡訪問控制：網絡安全行業的至高無上

隨著企業越來越關注互操作性和信息共享，物聯網設備，虛擬服務器/云服務，lte路由器，工業智能網關，防火墻和自帶設備（BYOD）正在定期涌入其網絡。這給網絡監護人驗證和授權網絡中的端點帶來了麻煩的任務。在目前的情況下，用戶可以通過各種技術和設備從世界上幾乎任何地方訪問商業網絡，網絡管理員已經感到需要從可以處理簡單入門和訪客等任務的傳統解決方案（如防病毒，間諜軟件和防火墻）過渡管理網絡訪問控制（NAC）等先進技術，以獲得強大而動態的基于角色的功能。

什么是網絡訪問控制？
網絡訪問控制，通常稱為NAC，是用于基于對網絡及其策略的遵從性來控制和管理網絡訪問的工具。這些策略是基于諸如用戶身份，設備位置，設備健康等各種參數來設計的。
隨著物聯網設備的大趨勢和BYOD重塑網絡周邊并增加系統的脆弱性，NAC通過了解設備連接到網絡的人員，時間，地點和方式，在識別和保護端點方面發揮著至關重要的作用。從技術上講，NAC基本上對任何嘗試使用預定義協議觸發的策略連接到網絡的訪問控制設備進行連接前和連接后風險評估。
NAC的演變
早些時候，NAC基于通過簡單的掃描和阻止機制對端點進行身份驗證和授權的原則。隨著技術的進步，提供商正在提供網絡訪問控制解決方案，以滿足管理和限制訪客訪問企業網絡的迅速需求。增加復雜性的因素包括智能手機和移動設備的日益普及; 不受管制的BYOD 政策; 和物聯網的出現，缺乏物聯網和BYOD的設備配置標準化; 設備類型，品牌，操作系統和安全健康狀況的無數排列的可能性; 在大多數設備中缺乏企業級安全性，這加劇了復雜性。因此，組織一直在選擇先進的NAC解決方案，以便在不需要人工干預的情況下實時實現分類和隔離功能。此外，跳躍性質，安全攻擊的強度以及對可擴展性的不斷增長的需求增加了對最佳套件解決方案的需求，以降低攻擊風險并在未來實現虛擬和物理擴展。
隨著端點的大量增加，NAC提供商正在開發先進的解決方案。安全自動化和編排解決方案（SA＆O），能夠實現自動化安全協調的無代理解決方案，以及其他為用戶和設備提供精細策略，促進可擴展性，實現安全編排和自動化，以及ip modem在中央服務器上提供安全數據整理輕松跟蹤。

網絡訪問控制的類型
全球各地的組織一直在利用NAC系統來檢測和防范惡意設備。但是，選擇正確的產品是一項艱巨的任務，包括審查網絡配置兼容性，內部設置和最終用戶。根據NAC的操作方式，這些系統根據特性和功能進行分類。根據設計，NAC有兩種類型，即預錄入NAC和錄取后NAC。前者基于在允許進入網絡之前檢查終端站的原則。而后者用于在進入網絡后基于用戶動作做出執行決定。NAC系統的另一個根本區別在于需要使用代理軟件來報告終端系統特性。此類系統在設備的后臺持續運行以監控安全合規性，并將更新發送到策略服務器。第二種是更高級的形式，是無代理NAC，不需要端點代理來驗證和管理設備。在授予用戶訪問網絡權限之前，這些系統可確保兩個端點的符合性。但是，該系統的主要缺點是通過評估網絡流量來授權用戶。這可以使網絡犯罪者更容易獲得對網絡的未授權訪問。
第三個分類點是基于終端站上代理
IPsec，L2TP，GRE，N2N代理加密用于終端系統以實施策略，并通過sim卡無線路由器向中央控制臺報告失誤。這種類型的NAC稱為帶外系統。相比之下，有內聯解決方案或單盒解決方案，它們通過充當接入層網絡中的內部防火墻來保護網絡，并在入侵的情況下實施。根據部署軟件或硬件設備的需要，NAC分為基于硬件的網絡訪問控制和動態網絡訪問控制。前者使用預先安裝在網絡上的設備，并根據網絡流量進行操作。這種類型的主要限制是定期需要對基礎架構和操作實踐進行更改，以允許對最終用戶進行定義訪問。此外，由于服務器配置的不斷變化，故障的可能性高于其他系統。或者，動態 NAC 既不需要軟件或硬件安裝，也不需要更改網絡配置。它適用于連接到局域網的特定計算機，這些計算機被視為可信系統。在未經授權的用戶試圖進入網絡的情況下，可信系統將不授予訪問權，并且隨后將該信息傳送到主服務器。

合法用戶可以被拒絕訪問嗎？
部署NAC產品是為了防止某些合法客戶端訪問企業網絡。此過程稱為補救。因此，網絡訪問控制解決方案需要一種方法來修復拒絕訪問的最終用戶問題。兩種常見的補救方法包括隔離網絡和強制門戶網站。隔離網絡僅提供對特定主機和應用程序的路由訪問。它通過VLAN分配實現。同時，強制門戶阻止HTTP訪問網頁，并將用戶重定向到提供更新計算機的說明和工具的Web應用程序。在他們的計算機通過檢查之前，它無法進入網絡，但可以訪問強制網絡門戶。
NAC如何運作？
NAC系統在部署時，首先創建連接到網絡的設備的清單，根據屬性對它們進行分類，并根據內部安全團隊創建的預定義規則實施策略。NAC產品基于每個NAC設備控制連接到NAC網絡的所有設備的訪問類型和級別，還可以對每個操作進行精細控制，以確保符合內部策略。這些控制由中央控制系統中配置的預定義策略觸發。某些策略基于創建媒體訪問控制（MAC）地址的白名單，這使入侵者難以連接到網絡。

成本因素
NAC系統可用作物理設備或基于VMware的虛擬設備。這些系統的成本主要取決于需要處理的端點數量。但是，平均而言，這些系統的前期成本約為12,000美元至30,000美元。除此之外，除了向管理產品的人員提供培訓所涉及的成本之外，還有其他支持費用每年約為2,500-3,000美元。部署網絡訪問控制系統的真正成本還取決于安裝附加模塊等其他因素; 支持費用，包括培訓; 和員工時間。通常，NAC供應商使用NAC設備或虛擬機集中管理這些系統。同時，一些供應商將培訓作為其軟件包的一部分，以演示設備的功能，配置策略和警報系統。
隨著安全威脅以瘋狂的速度增長和變化，以及打擊零日攻擊的艱巨任務，組織面臨著部署實時自動化威脅響應系統的巨大挑戰。NAC系統的進步幫助組織提高了可擴展性，增強了對大量威脅和警報的可見性，控制和響應。隨著越來越多的設備試圖訪問網絡以及困擾企業的大量安全威脅，他們必須部署強大的解決方案并提供基于角色的動態權限，以便輕松自動地將用戶和設備容納到網絡中同時維護NAC安全性。然而，組織需要了解NAC不是可以保護其網絡免受各種威脅的銀彈，而是應該與其他系統一起使用，例如入侵防御系統（IPS），移動設備管理（MDM），下一代防火墻（NGFW），安全信息和事件管理（SIEM）以及威脅檢測軟件，確保完整的網絡訪問保護。

上一篇：物聯網傳感器的演變，從金絲雀到無人機

下一篇：車聯網自動駕駛汽車如何運作？

亚洲av无码片区一区二区三区|国产黄色精品视频一区二区|中文字幕欧美日韩va免费视频|亚洲精品一区二区三区在线|成人欧美精品一区二区电影

經驗案例

智能網關網絡訪問控制：網絡安全行業的至高無上