计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

关于校园网络安全接入技术与应用(3)

2016-01-14 01:03
导读:(四)主流网络接入技术的优劣及 NAC、NAP和TNC技术的目标和实现技术具有很大相似性。首先,其目标都是保证终端的安全接入,即当终端接入本地网络时,通

  
  (四)主流网络接入技术的优劣及
  NAC、NAP和TNC技术的目标和实现技术具有很大相似性。首先,其目标都是保证终端的安全接入,即当终端接入本地网络时,通过特殊的协议对其进行完整性校验,通过接入设备(防火墙、交换机、路由器等),强制将不符合要求的终端设备隔离在一个指定区域,按策略进行安全修复。在验证终端完整性达到设定的安全状态后,再允许其接入被保护的网络。其次,三种技术的实现思路也比较相似。系统构架都分为客户端、策略服务以及接入控制三个主要层次。同时,由于三种技术的发布者自身的背景,三种技术又存在不同的偏重性。NAC由于是CISCO发布的,所以其构架中接入设备的位置占了很大的比例,或者说NAC自身就是围绕着思科的设备而设计的;NAP则偏重在终端agent以及接入服务(VPN、DHCP、802.1x、IPsec组件),这与微软自身的技术背景也有很大的关联;而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证,或者说TNC的目的是给TCG发布的TPM提供一种应用支持。
  目前NAC与NAP已经结为同盟,即网络接入设备上采用思科的NAC技术,而主机客户端上则采用微软的NAP技术,从而达到了两者互补的局面,有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的,目标是解决可信接入问题,其特点是只制定详细规范,技术细节公开,各个厂家都可以自行设计开发兼容TNC的产品,并可以兼容安全芯片TPM技术。现在微软已经主动的将其NAP与TCG/TNC进行了互操作的接口开放。
  
  三、GSN全局安全网络的原理与应用效果
  
  锐捷网络GSN(Global Security Network,全局安全网络),是一种基于802.1x的TNC可信网络连接技术的解决方案。GSN由安全客户端、安全交换机、安全平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。具体构架如上图所示,由三个层面、五个部分组成。
(科教论文网 Lw.nsEAc.com编辑整理)

  GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。其基本原理和结构图如下:锐捷网络GSN全局安全网络系统采用了可信网络连接技术TNC的标准规范。GSN整体构架分为客户端(Su)、Swith/Router以及后台服务器分别对应着TNC的访问请求者AR(Access Requestor)、策略执行点PEP(Policy Enforcement Point)、策略定义点PDP(Policy Decision Point),三层结构。
  GSN的工作原理:当终端用户接入网络时,锐捷安全客户端(RG—SA)会自动检测终端用户的完整性,若终端用户没有达到安全策略设定的安全状态,安全管理平台(RG-SMP)通过安全联动设备(SW、Router)拒绝终端用户接入网络,并自动将该终端用户隔离并置于安全修复系统(RG—RES)。此时终端用户上的安全客户端(RG-SA)会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行自动修复。修复完成后,锐捷安全客户端会重新对终端用户再进行完整性评估,当终端用户完整性达到安全策略设定的安全状态后,安全管理平台(RG—SMP)才允许终端用户接入网络。
  当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG—SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。安全管理平台(RG-SMP)将自动把安全策略下发到安全事件发生的网络区域,安全策略的执行者可以是锐捷网络联动设备或者安全客户端(RG—SA),根据安全事件的等级由安全管理平台(RG-SMP)判断是否需要将安全策略同步到网络的区域中,以实现全网安全。同时,安全管理平台会把针对这次安全事件的处理情况通知给用户终端,使用户能够及时了解到网络安全环境的变化。通过这个流程,网络可以对已发生的安全行为进行完全自动化的防御措施,从而保证用户网络在受到威胁时可以迅速做出连动反应。 中国大学排名
  GSN全局安全网络解决方案,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,GSN不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。
  总之,目前导致安全事件的主要原因是主机软、硬件结构存在设计漏洞并且对用户没有进行严格的认证和授权控制,传统安全防范的重点放在对服务器和网络的保护上,而忽略终端接入者本身的安全,但大多数的攻击事件都是由终端接入者本身不安全而引起发的,所以只有从终端接入的源头就建立起安全体系,内外共防来构造真正安全可信的网络环境。

上一篇:浅谈提高计算机实验室效能的探究与实践 下一篇:没有了