NAC NAP及TNC安全接入技術對比分析

當傳統的終端安全技術(antivirus、desktop firewall…etc.)努力保護被***的終端時，它們對於保障企業網路的可使用性卻無能為力，更不要說能確保企業的彈性與損害恢復能力。

針對於此，目前出現了幾種安全接入技術，這些技術的主要思路是從終端著手，通過管理員指定的安全策略，對接入私有網路的主機進行安全性檢測，自動拒絕不安全的主機接入保護網路直到這些主機符合網路內的安全策略為止。目前具有代表性的技術包括:思科的網路接入控制nac技術，微軟的網路接入保護技術 nap以及tcg組織的可信網路連線tnc技術等。

綜上所述，nac和nap的優勢在於其背後擁有思科、微軟這樣的網路與作業系統的巨頭，這些技術將隨著其下一代產品同時繫結發布。nac已經隨思科的新一代網路裝置一起，在2023年推向市場，而nap則於2023年底，隨微軟的windows vista作業系統一起，推向市場。而tnc的優勢在於其開放性，目前tnc規範已經發展到1.1版本，tcg組織的成員都可以對其提出自己的意見，並且由於技術的開放，所以國內廠商也可以自主研發相關產品，例如之前的tpm一樣，可以擁有自主智財權。

nac技術

網路接入控制(network access control，簡稱nac)是由思科(cisco)主導的產業級協同研究成果，nac可以協助保證每乙個終端在進入網路前均符合網路安全策略。

nac技術可以提供保證端點裝置在接入網路前完全遵循本地網路內需要的安全策略，並可保證不符合安全策略的裝置無法接入該網路、並設定可補救的隔離區供端點修正網路策略，或者限制其可訪問的資源。

nap技術

網路訪問保護nap技術(network access protection)是為微軟下一代作業系統windows vista和windows server longhorn設計的新的一套作業系統元件，它可以在訪問私有網路時提供系統平台健康校驗。nap平台提供了一套完整性校驗的方法來判斷接入網路的客戶端的健康狀態，對不符合健康策略需求的客戶端限制其網路訪問許可權。

為了校驗訪問網路的主機的健康，網路架構需要提供如下功能性領域:

健康策略驗證:判斷計算機是否適應健康策略需求。

網路訪問限制:限制不適應策略的計算機訪問。

自動補救:為不適應策略的計算機提供必要的公升級，使其適應健康策略。

動態適應:自動公升級適應策略的計算機以使其可以跟上健康策略的更新。

tnc技術

可信網路連線技術tnc(trusted network connection)是建立在基於主機的可信計算技術之上的，其主要目的在於通過使用可信主機提供的終端技術，實現網路訪問控制的協同工作。又因為完整性校驗被終端作為安全狀態的證明技術，所以用tnc的許可權控制策略可以估算目標網路的終端適應度。tnc網路構架會結合已存在的網路訪問控制策略(例如 802.1x、ike、radius協議)來實現訪問控制功能。

tnc構架的主要目的是通過提供乙個由多種協議規範組成的框架來實現一套多元的網路標準，它提供如下功能:

平台認證:用於驗證網路訪問請求者身份，以及平台的完整性狀態。

終端策略授權:為終端的狀態建立乙個可信級別，例如:確認應用程式的存在性、狀態、公升級情況，公升級防病毒軟體和ids的規則庫的版本，終端作業系統和應用程式的補丁級別等。從而使終端被給予乙個可以登入網路的許可權策略從而獲得在一定許可權控制下的網路訪問權。

訪問策略:確認終端機器以及其使用者的許可權，並在其連線網路以前建立可信級別，平衡已存在的標準、產品及技術。

評估、隔離及補救:確認不符合可信策略需求的終端機能被隔離在可信網路之外，如果可能執行適合的補救措施。

對比分析

NAC NAP及TNC安全接入技術對比分析

NAC NAP及TNC安全接入技術對比分析

NAC NAP及TNC安全接入技術對比分析

通道接入技術及協議

相關推薦