对于势头正旺的802.1X准入认证，企业不成不知的那些事

关外的刀

原标题：对于势头正旺的802.1X准入认证，企业不成不知的那些事  
准入管制作为装备接入企业网络的平安界限，始终以来都是企业的平安根底设施之一。简略的准入机制躲藏着微小的网络平安隐患。如何正确处置用户终端平安接入的问题？这就需求根底网络提供须要且无效的平安认证机制。  
作为近些年来网络信息平安行业准入管制畛域备受关注的焦点之一，802.1X被愈来愈频繁地提及，势头正旺。802.1X是甚么？企业为何需求802.1X？关于802.1X，哪些平安厂商走在了后面？明天，联软科技和大家好好聊一聊802.1X准入管制那些事。  


802.1X准入认证是甚么？  
● 802.1X的由来  
基于网络平安危险配景，由Cisco提出，遵守 IEEE规范，利用网络根底设施来完成终端装备和用户合法合规接入企业网络的计划，名为网络准入管制（Network Admission Control，简称 NAC）。802.1X是其中一种规范、一项准入管制技术。  
802.1X是一种基于端口的网络接入管制协定。基于端口的网络接入管制，是指在局域网接入装备的端口这一级对所接入的用户装备进行认证和管制。衔接在端口上的用户装备假如能经过认证，就能拜候局域网中的资源；假如不克不及经过认证，则无奈拜候局域网中的资源。  
基于802.1X协定的用户认证形式叫做802.1X认证。  
802.1X认证被普遍运用于用户集中且对信息平安要求严格的场景中。  
802.1X旨在解决局域网用户的接入认证和平安方面的问题。借助802.1X准入认证，企业能够只允许合法的、值得信赖的终端装备（例如PC、办事器、PDA）接入网络，而不允许其它装备接入。  
● 802.1X准入架构组件  
802.1X采取规范AAA认证架构，分别由装备端，管制端、办事端和目录办事器（假如有，如：AD/LDAP/邮箱）组成。  
     装备端与管制端采取EAP协定进行认证和通讯，认证报文彩用UDP协定；管制端与办事端采取规范Radius协定进行通讯，认证报文彩用UDP协定。  
● 802.1X准入管制有何劣势？  
高兼容性：基于IEEE规范，一切合乎IEEE规范的网络装备都反对。  
高平安性：在接入层阶段完成对终端装备的接入管制，不合乎平安规范无奈接入网络，真正完成对网络界限的维护，拓宽企业网络平安界限。  
高灵敏性：基于静态受权对接入网络的人员、装备进行明白的网络权限划分。  
企业为何需求802.1X？  
如今，网络和信息平安情势日益严厉繁杂，企业数字化转型开展也主动面临着愈来愈多不肯定的、突发的、多样的网络平安攻打危险。不停降级的初级继续性攻打，使得企业原本的平安界限不停被冲破。准入管制作为次要保障使用企业网络根底设施的平安问题，首当其冲。  
与此同时，特别是关于中大型企业来讲，终端类型多样数量激增，终端办理工作重难度大本钱高。  
在这样的大配景下，更灵敏的静态辨认、认证、拜候管制等成了企业最为关注的中心诉求。出于平安功用要求、本身平安要求、平安包管要求以及降本增效等诸多要素斟酌，基于角色的管制拜候，平安性更高的802.1X准入认证，毫有意外成了得多对网络及信息平安要求严格的企业的首选。  
同时，802.1X协定为二层协定，不需求抵达三层，能够无效升高建立本钱。  
特别是在防泄密需要推进下，基于802.1X NAC成为根底设施的根本要求，成为愈来愈多企业的刚需。  
对于802.1X，谁走在后面？强在哪？  
作为寰球较早的网络准入管制厂商之一、中国网络准入管制市场的创始者与引领者，联软科技深耕网络平安行业，始终坚持做翻新引领者而不是追寻者。  
早在2006年，联软率先在国际业界完成了基于802.1X和EOU网络准入管制产品，能够与思科、华为等主流品牌的网络装备很好的联动。同时，联软在2008年公布硬件网络准入管制器并在业界独创了准旁路式部署。  
联软的UniNAC网络准入管制零碎通过近20年研发更新迭代，是网络级端点平安畛域的专业解决计划，现已为泛滥大型机构的网络平安、终端办理、信息平安办理提供间接撑持，具有中国500多家金融机构最好理论，是市场保有量更多的NAC产品，决策危险与TCO更低。  
为更好保障企业平安性，联软UniNAC网络准入管制零碎采取国内规范协定802.1X来完成到替换机端口级别的强准入认证强管控，反对Windows、macOS、Linux、iOS、Android等各种终真个802.1X协定，完成对一切接入网络的终端进行身份验证、合规反省、平安反省等。  


目前，联软科技802.1X技术的共同点与劣势次要表示为下列几小气面：  
●业内网络装备对接兼容性更广、实行案例更多的准入厂商，具备少量交换各类主流品牌准入产品的才能和兼容性；能够对华为、思科替换机间接下发ACL内容，无需在替换机事后配置ACL，而且反对RABC的最小拜候管制，可完成VLAN、ACL与集体用户或部门组关联下发。  
●反对SDN网络架构顺应将来开展：国际较早反对SDN网络环境适配的准入厂商，反对思科、华为等主流网络厂商SDN环境，在SDN网络中，联软完成终真个身份认证及入网平安基线反省，终真个拜候管制战略由终真个用户身份标签完成，与IP地址解耦合。  
●牢靠性设计优异：提供业内更高规范的6重高可用机制保障，大大增加由于部署准入零碎而带来的断网毛病。特有的智能熔断机制，当人员误操作状况而致使终端无奈正常入网。  
●超前的一体化平台设计理念：完成一个客户端，一个平台，能够做到网络准入管制、桌面平安办理、 信息防泄漏等畛域，包孕网络准入管制、主机监控审计、桌面办理、补钉办理、平安办理、终端行动办理等功用的一体化、全方位的终端平安解决计划。  
●智能幻影防入侵：基于联软首创的幻影技术，反对自动或手动幻影出与实在在线装备统一的装备类型和数量，大范围轻量诱捕+静态引流到蜜罐重度诱捕进行联动，同时在实在终端注入面包屑钓饵，发现入侵者歹意拜候幻影装备当即告警或者阻断。  
另外，关于部份网络环境因替换机不反对802.1X的，UniNAC可采取网关型准入管制技术，如战略路由和镜像技术作为过渡，待后续替换机改换或降级后再落实802.1X强管控。  
作为新一代的智能化网络准入管制零碎，UniNAC 倡导间接与网络装备联动完成网络准入管制，以完成优秀的网络平安性、牢靠性和组网灵敏性，目前能间接联动的网络装备型号达数百种。经过与网络装备联动及联软NACC准入管制器配合，UniNAC 能解决各种繁杂环境下的网络准入管制问题，在无线接入（员工、访客）、有线网络、近程接入等场景中有着普遍应用。  
802.1X NAC + SDP : 强强联结下的全网零信赖平安办理解决计划  
——大范围胜利理论 代表客户：交通银行、邮储银行、光大银行、中国银联、中国挪动、格力电器......  
相较于以网络为核心的准入管制，零信赖则是以企业资源为核心。但二者理念与零信赖类似，都是默许不置信任何装备，必需进行严格校验后，才允许接入。所以二者都有身份校验、环境感知、信赖评价、静态最小受权等环节，严格下去讲这些环节有反复的部份，在详细的落地过程当中确定要斟酌如何一致，以便给用户更好的体验和更低的机能本钱。  
从企业网络平安角度来看，二者解决的问题其实不冲突，准入管制次要保障使用企业网络根底设施的平安问题，零信赖次要解决拜候企业资源的平安问题，所以Google的零信赖理论名目BeyondCrop在企业网中的第一步也是准入管制（802.1X）。  


BeyondCrop组件和拜候流程  
数字化转型大潮下，企业在根底IT架构中引入了上云办事、挪动计算等热点技术，内网外网的物理界限逐渐隐没，木马病毒迭代速度也急速放慢，终端数量微小呈指数级增长。  
如何保卫企业平安界限？如何完成更灵敏的静态辨认、认证、拜候管制？如何完成终真个高效实时管控？这些平安问题都备受关注。保障企业业务零碎拜候的平安性，首先需求一致增强接入终真个平安建立程度。  
跟着市场及需要的降级、零信赖理念逐步成熟、云计算继续开展，面对不停降级的新兴技术、需要及运用场景，在此契机下，联软充沛发扬802.1X在应答终端平安等畛域中的共同劣势和价值作用，推出了基于零信赖理念的全网零信赖平安办理解决计划。  
全网零信赖平安办理解决计划次要采取“802.1X NAC + SDP”技术结合的形式，以“继续验证，永不信赖”为准则，环抱接入、身份、装备、运用以及数据五因素打造企业新平安体系。  
联软科技全网零信赖解决计划融会了SDP软件定义界限、NAC准入平安、NXG数据平安替换、EMM挪动平安、EPP端点平安、EDR终端检测与响应、DLP数据平安等功用。经过一套平台、一个客户端集成为了接入平安、端点平安、数据平安的才能，片面针对不同身份、不同装备类型、不同操作零碎、不同接入场景、不同的数据外发形式进行管控，完成不同资源细粒度的拜候管制。  
用户只需求推销与装置、部署一套零碎便可完成全网各种终真个零信赖平安接入，并可对挪动端和PC端进行一致办理，而且用户可按照企业实际需要选择计划详细的运用场景，基于一套平台、一个客户端，可疾速扩展，无需反复建立，同时进步运维和办理效力，完成降本增效。  
全网零信赖平安办理解决计划，被视为防泄密和防勒索病毒计划的根底计划。该计划完成了比肩Google BeyondCorp零信赖计划的平安成果，而且在实际运用场景中更契合国际平安市场需要，为企业构建新一代的平安体系，代表客户包罗交通银行、邮储银行、光大银行、中国银联、中国挪动、格力电器等。  
做强做优，探究技术开展新标的目的  
作为寰球较早的网络准入管制厂商之一、中国企业端点平安畛域的领导者、中国UEM一致终端办理畛域领导者、国产自主可控的网络平安新基建领军厂商，国际率先落地基于“零信赖平安”产品的厂商之一，联软继续关注市场开展和客户需要，在症结中心技术翻新上不停发力，不停放慢推动802.1X等技术效果转化运用，引领行业探究技术开展新标的目的。  
目前，联软科技已为金融、制作业、经营商、政府、医疗、动力等行业客户实行部署了基于802.1X强准入认证技术的UniNAC网络准入管制零碎，联软的ESPP各子零碎以及以全网零信赖平安办理为代表的系列解决计划，曾经为3000多家行业企业提供继续翻新的网络平安解决计划和技术办事。  
强者愈强，势头正旺的802.1X，在构建网络平安新基建中正发扬愈来愈凸起的首要作用。联软也将坚持技术翻新，引领行业技术先机，开拓更多新畛域新赛道，为增进政企数字化建立提供无力保障。