關(guān)于勢頭正旺的802.1X準(zhǔn)入認(rèn)證，企業(yè)不可不知的那些事

入控制作為設(shè)備接入企業(yè)網(wǎng)絡(luò)的安全邊界，一直以來都是企業(yè)的安全基礎(chǔ)設(shè)施之一。簡單的準(zhǔn)入機制潛藏著巨大的網(wǎng)絡(luò)安全隱患。如何正確處理用戶終端安全接入的問題?這就需要基礎(chǔ)網(wǎng)絡(luò)提供必要且有效的安全認(rèn)證機制。

作為近年來網(wǎng)絡(luò)信息安全行業(yè)準(zhǔn)入控制領(lǐng)域備受關(guān)注的焦點之一，802.1X被越來越頻繁地提及，勢頭正旺。802.1X是什么?企業(yè)為什么需要802.1X?對于802.1X，哪些安全廠商走在了前面?今天，聯(lián)軟科技和大家好好聊一聊802.1X準(zhǔn)入控制那些事。

802.1X準(zhǔn)入認(rèn)證是什么?

● 802.1X的由來

基于網(wǎng)絡(luò)安全風(fēng)險背景，由Cisco提出，遵循 IEEE標(biāo)準(zhǔn)，利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施來實現(xiàn)終端設(shè)備和用戶合法合規(guī)接入企業(yè)網(wǎng)絡(luò)的方案，名為網(wǎng)絡(luò)準(zhǔn)入控制(Network Admission Control，簡稱 NAC)。802.1X是其中一種標(biāo)準(zhǔn)、一項準(zhǔn)入控制技術(shù)。

802.1X是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議。

基于端口的網(wǎng)絡(luò)接入控制，是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源;如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。

基于802.1X協(xié)議的用戶認(rèn)證方式叫做802.1X認(rèn)證。

802.1X認(rèn)證被廣泛應(yīng)用于用戶集中且對信息安全要求嚴(yán)格的場景中。

802.1X旨在解決局域網(wǎng)用戶的接入認(rèn)證和安全方面的問題。借助802.1X準(zhǔn)入認(rèn)證，企業(yè)可以只允許合法的、值得信任的終端設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

● 802.1X準(zhǔn)入架構(gòu)組件

802.1X采用標(biāo)準(zhǔn)AAA認(rèn)證架構(gòu)，分別由設(shè)備端，控制端、服務(wù)端和目錄服務(wù)器(如果有，如：AD/LDAP/郵箱)組成。

設(shè)備端與控制端采用EAP協(xié)議進行認(rèn)證和通信，認(rèn)證報文采用UDP協(xié)議;控制端與服務(wù)端采用標(biāo)準(zhǔn)Radius協(xié)議進行通信，認(rèn)證報文采用UDP協(xié)議。

● 802.1X準(zhǔn)入控制有何優(yōu)勢?

高兼容性：基于IEEE標(biāo)準(zhǔn)，所有符合IEEE標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備都支持。

高安全性：在接入層階段實現(xiàn)對終端設(shè)備的接入控制，不符合安全標(biāo)準(zhǔn)無法接入網(wǎng)絡(luò)，真正實現(xiàn)對網(wǎng)絡(luò)邊界的保護，拓寬企業(yè)網(wǎng)絡(luò)安全邊界。

高靈活性：基于動態(tài)授權(quán)對接入網(wǎng)絡(luò)的人員、設(shè)備進行明確的網(wǎng)絡(luò)權(quán)限劃分。 企業(yè)為什么需要802.1X?

如今，網(wǎng)絡(luò)和信息安全形勢日趨嚴(yán)峻復(fù)雜，企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展也被動面臨著越來越多不確定的、突發(fā)的、多樣的網(wǎng)絡(luò)安全攻擊風(fēng)險。不斷升級的高級持續(xù)性攻擊，使得企業(yè)原有的安全邊界不斷被突破。準(zhǔn)入控制作為主要保障使用企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全問題，首當(dāng)其沖。

與此同時，特別是對于中大型企業(yè)來說，終端類型多樣數(shù)量激增，終端管理任務(wù)重難度大成本高。

在這樣的大背景下，更靈活的動態(tài)識別、認(rèn)證、訪問控制等成為了企業(yè)最為關(guān)注的核心訴求。出于安全功能要求、自身安全要求、安全保證要求以及降本增效等諸多因素考慮，基于角色的控制訪問，安全性更高的802.1X準(zhǔn)入認(rèn)證，毫無意外成為了很多對網(wǎng)絡(luò)及信息安全要求嚴(yán)格的企業(yè)的首選。

同時，802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，可以有效降低建設(shè)成本。

特別是在防泄密需求推動下，基于802.1X NAC成為基礎(chǔ)設(shè)施的基本要求，成為越來越多企業(yè)的剛需。 關(guān)于802.1X，誰走在前面?強在哪?

作為全球較早的網(wǎng)絡(luò)準(zhǔn)入控制廠商之一、中國網(wǎng)絡(luò)準(zhǔn)入控制市場的開創(chuàng)者與引領(lǐng)者，聯(lián)軟科技深耕網(wǎng)絡(luò)安全行業(yè)，一直堅持做創(chuàng)新引領(lǐng)者而不是追隨者。

早在2006年，聯(lián)軟率先在國內(nèi)業(yè)界實現(xiàn)了基于802.1X和EOU網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品，可以與思科、華為等主流品牌的網(wǎng)絡(luò)設(shè)備很好的聯(lián)動。同時，聯(lián)軟在2008年發(fā)布硬件網(wǎng)絡(luò)準(zhǔn)入控制器并在業(yè)界首創(chuàng)了準(zhǔn)旁路式部署。

聯(lián)軟的UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)經(jīng)過近20年研發(fā)更新迭代，是網(wǎng)絡(luò)級端點安全領(lǐng)域的專業(yè)解決方案，現(xiàn)已為眾多大型機構(gòu)的網(wǎng)絡(luò)安全、終端管理、信息安全管理提供直接支撐，擁有中國500多家金融機構(gòu)最佳實踐，是市場保有量更多的NAC產(chǎn)品，決策風(fēng)險與TCO更低。

為更好保障企業(yè)安全性，聯(lián)軟UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)采用國際標(biāo)準(zhǔn)協(xié)議802.1X來實現(xiàn)到交換機端口級別的強準(zhǔn)入認(rèn)證強管控，支持Windows、macOS、Linux、iOS、Android等各種終端的802.1X協(xié)議，實現(xiàn)對所有接入網(wǎng)絡(luò)的終端進行身份驗證、合規(guī)檢查、安全檢查等。

目前，聯(lián)軟科技802.1X技術(shù)的獨特點與優(yōu)勢主要表現(xiàn)為以下幾大方面：

●業(yè)內(nèi)網(wǎng)絡(luò)設(shè)備對接兼容性更廣、實施案例更多的準(zhǔn)入廠商，具備大量替換各類主流品牌準(zhǔn)入產(chǎn)品的能力和兼容性;可以對華為、思科交換機直接下發(fā)ACL內(nèi)容，無需在交換機預(yù)先配置ACL，并且支持RABC的最小訪問控制，可實現(xiàn)VLAN、ACL與個人用戶或部門組關(guān)聯(lián)下發(fā)。

●支持SDN網(wǎng)絡(luò)架構(gòu)適應(yīng)未來發(fā)展：國內(nèi)較早支持SDN網(wǎng)絡(luò)環(huán)境適配的準(zhǔn)入廠商，支持思科、華為等主流網(wǎng)絡(luò)廠商SDN環(huán)境，在SDN網(wǎng)絡(luò)中，聯(lián)軟實現(xiàn)終端的身份認(rèn)證及入網(wǎng)安全基線檢查，終端的訪問控制策略由終端的用戶身份標(biāo)簽實現(xiàn)，與IP地址解耦合。

●可靠性設(shè)計優(yōu)異：提供業(yè)內(nèi)更高標(biāo)準(zhǔn)的6重高可用機制保障，大大減少因為部署準(zhǔn)入系統(tǒng)而帶來的斷網(wǎng)故障。獨有的智能熔斷機制，當(dāng)人員誤操作情況而導(dǎo)致終端無法正常入網(wǎng)。

●超前的一體化平臺設(shè)計理念：實現(xiàn)一個客戶端，一個平臺，可以做到網(wǎng)絡(luò)準(zhǔn)入控制、桌面安全管理、 信息防泄露等領(lǐng)域，包含網(wǎng)絡(luò)準(zhǔn)入控制、主機監(jiān)控審計、桌面管理、補丁管理、安全管理、終端行為管理等功能的一體化、全方位的終端安全解決方案。

●智能幻影防入侵：基于聯(lián)軟獨創(chuàng)的幻影技術(shù)，支持自動或手動幻影出與真實在線設(shè)備一致的設(shè)備類型和數(shù)量，大規(guī)模輕量誘捕+動態(tài)引流到蜜罐重度誘捕進行聯(lián)動，同時在真實終端注入面包屑誘餌，發(fā)現(xiàn)入侵者惡意訪問幻影設(shè)備立即告警或者阻斷。

此外，對于部分網(wǎng)絡(luò)環(huán)境因交換機不支持802.1X的，UniNAC可采用網(wǎng)關(guān)型準(zhǔn)入控制技術(shù)，如策略路由和鏡像技術(shù)作為過渡，待后續(xù)交換機更換或升級后再落實802.1X強管控。

作為新一代的智能化網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，UniNAC 提倡直接與網(wǎng)絡(luò)設(shè)備聯(lián)動實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，以實現(xiàn)優(yōu)秀的網(wǎng)絡(luò)安全性、可靠性和組網(wǎng)靈活性，目前能直接聯(lián)動的網(wǎng)絡(luò)設(shè)備型號達(dá)數(shù)百種。通過與網(wǎng)絡(luò)設(shè)備聯(lián)動及聯(lián)軟NACC準(zhǔn)入控制器配合，UniNAC 能解決各種復(fù)雜環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制問題，在無線接入(員工、訪客)、有線網(wǎng)絡(luò)、遠(yuǎn)程接入等場景中有著廣泛運用。 802.1X NAC + SDP ：強強聯(lián)合下的全網(wǎng)零信任安全管理解決方案

——大規(guī)模成功實踐 代表客戶：交通銀行、郵儲銀行、光大銀行、中國銀聯(lián)、中國移動、格力電器......

相較于以網(wǎng)絡(luò)為中心的準(zhǔn)入控制，零信任則是以企業(yè)資源為中心。但兩者理念與零信任相似，都是默認(rèn)不相信任何設(shè)備，必須進行嚴(yán)格校驗后，才允許接入。所以兩者都有身份校驗、環(huán)境感知、信任評估、動態(tài)最小授權(quán)等環(huán)節(jié)，嚴(yán)格上來講這些環(huán)節(jié)有重復(fù)的部分，在具體的落地過程中肯定要考慮如何統(tǒng)一，以便給用戶更好的體驗和更低的性能成本。

從企業(yè)網(wǎng)絡(luò)安全角度來看，兩者解決的問題并不沖突，準(zhǔn)入控制主要保障使用企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全問題，零信任主要解決訪問企業(yè)資源的安全問題，所以Google的零信任實踐項目BeyondCrop在企業(yè)網(wǎng)中的第一步也是準(zhǔn)入控制(802.1X)。

BeyondCrop組件和訪問流程

數(shù)字化轉(zhuǎn)型大潮下，企業(yè)在基礎(chǔ)IT架構(gòu)中引入了上云服務(wù)、移動計算等熱點技術(shù)，內(nèi)網(wǎng)外網(wǎng)的物理邊界逐步消失，木馬病毒迭代速度也急速加快，終端數(shù)量巨大呈指數(shù)級增長。

如何捍衛(wèi)企業(yè)安全邊界?如何實現(xiàn)更靈活的動態(tài)識別、認(rèn)證、訪問控制?如何實現(xiàn)終端的高效實時管控?這些安全問題都備受關(guān)注。保障企業(yè)業(yè)務(wù)系統(tǒng)訪問的安全性，首先需要統(tǒng)一加強接入終端的安全建設(shè)水平。

隨著市場及需求的升級、零信任理念逐漸成熟、云計算持續(xù)發(fā)展，面對不斷升級的新興技術(shù)、需求及應(yīng)用場景，在此契機下，聯(lián)軟充分發(fā)揮802.1X在應(yīng)對終端安全等領(lǐng)域中的獨特優(yōu)勢和價值作用，推出了基于零信任理念的全網(wǎng)零信任安全管理解決方案。

全網(wǎng)零信任安全管理解決方案主要采用“802.1X NAC + SDP”技術(shù)結(jié)合的方式，以“持續(xù)驗證，永不信任”為原則，圍繞接入、身份、設(shè)備、應(yīng)用以及數(shù)據(jù)五要素打造企業(yè)新安全體系。

聯(lián)軟科技全網(wǎng)零信任解決方案融合了SDP軟件定義邊界、NAC準(zhǔn)入安全、NXG數(shù)據(jù)安全交換、EMM移動安全、EPP端點安全、EDR終端檢測與響應(yīng)、DLP數(shù)據(jù)安全等功能。通過一套平臺、一個客戶端集成了接入安全、端點安全、數(shù)據(jù)安全的能力，全面針對不同身份、不同設(shè)備類型、不同操作系統(tǒng)、不同接入場景、不同的數(shù)據(jù)外發(fā)方式進行管控，實現(xiàn)不同資源細(xì)粒度的訪問控制。

用戶只需要采購與安裝、部署一套系統(tǒng)即可實現(xiàn)全網(wǎng)各種終端的零信任安全接入，并可對移動端和PC端進行統(tǒng)一管理，并且用戶可根據(jù)企業(yè)實際需求選擇方案具體的應(yīng)用場景，基于一套平臺、一個客戶端，可快速擴展，無需重復(fù)建設(shè)，同時提高運維和管理效率，實現(xiàn)降本增效。

全網(wǎng)零信任安全管理解決方案，被視為防泄密和防勒索病毒方案的基礎(chǔ)方案。該方案實現(xiàn)了比肩Google BeyondCorp零信任方案的安全效果，并且在實際應(yīng)用場景中更契合國內(nèi)安全市場需求，為企業(yè)構(gòu)建新一代的安全體系，代表客戶包括交通銀行、郵儲銀行、光大銀行、中國銀聯(lián)、中國移動、格力電器等。 做強做優(yōu)，探索技術(shù)發(fā)展新方向

作為全球較早的網(wǎng)絡(luò)準(zhǔn)入控制廠商之一、中國企業(yè)端點安全領(lǐng)域的領(lǐng)導(dǎo)者、中國UEM統(tǒng)一終端管理領(lǐng)域領(lǐng)導(dǎo)者、國產(chǎn)自主可控的網(wǎng)絡(luò)安全新基建領(lǐng)軍廠商，國內(nèi)率先落地基于“零信任安全”產(chǎn)品的廠商之一，聯(lián)軟持續(xù)關(guān)注市場發(fā)展和客戶需求，在關(guān)鍵核心技術(shù)創(chuàng)新上不斷發(fā)力，不斷加快推進802.1X等技術(shù)成果轉(zhuǎn)化應(yīng)用，引領(lǐng)行業(yè)探索技術(shù)發(fā)展新方向。

目前，聯(lián)軟科技已為金融、制造業(yè)、運營商、政府、醫(yī)療、能源等行業(yè)客戶實施部署了基于802.1X強準(zhǔn)入認(rèn)證技術(shù)的UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，聯(lián)軟的ESPP各子系統(tǒng)以及以全網(wǎng)零信任安全管理為代表的系列解決方案，已經(jīng)為3000多家行業(yè)企業(yè)提供持續(xù)創(chuàng)新的網(wǎng)絡(luò)安全解決方案和技術(shù)服務(wù)。

強者愈強，勢頭正旺的802.1X，在構(gòu)建網(wǎng)絡(luò)安全新基建中正發(fā)揮越來越突出的重要作用。聯(lián)軟也將堅持技術(shù)創(chuàng)新，引領(lǐng)行業(yè)技術(shù)先機，開辟更多新領(lǐng)域新賽道，為促進政企數(shù)字化建設(shè)提供有力保障。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）