關于勢頭正旺的802.1X準入認證，企業(yè)不可不知的那些事

入控制作為設備接入企業(yè)網(wǎng)絡的安全邊界，一直以來都是企業(yè)的安全基礎設施之一。簡單的準入機制潛藏著巨大的網(wǎng)絡安全隱患。如何正確處理用戶終端安全接入的問題?這就需要基礎網(wǎng)絡提供必要且有效的安全認證機制。

作為近年來網(wǎng)絡信息安全行業(yè)準入控制領域備受關注的焦點之一，802.1X被越來越頻繁地提及，勢頭正旺。802.1X是什么?企業(yè)為什么需要802.1X?對于802.1X，哪些安全廠商走在了前面?今天，聯(lián)軟科技和大家好好聊一聊802.1X準入控制那些事。

802.1X準入認證是什么?

● 802.1X的由來

基于網(wǎng)絡安全風險背景，由Cisco提出，遵循 IEEE標準，利用網(wǎng)絡基礎設施來實現(xiàn)終端設備和用戶合法合規(guī)接入企業(yè)網(wǎng)絡的方案，名為網(wǎng)絡準入控制(Network Admission Control，簡稱 NAC)。802.1X是其中一種標準、一項準入控制技術。

802.1X是一種基于端口的網(wǎng)絡接入控制協(xié)議。

基于端口的網(wǎng)絡接入控制，是指在局域網(wǎng)接入設備的端口這一級對所接入的用戶設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以訪問局域網(wǎng)中的資源;如果不能通過認證，則無法訪問局域網(wǎng)中的資源。

基于802.1X協(xié)議的用戶認證方式叫做802.1X認證。

802.1X認證被廣泛應用于用戶集中且對信息安全要求嚴格的場景中。

802.1X旨在解決局域網(wǎng)用戶的接入認證和安全方面的問題。借助802.1X準入認證，企業(yè)可以只允許合法的、值得信任的終端設備(例如PC、服務器、PDA)接入網(wǎng)絡，而不允許其它設備接入。

● 802.1X準入架構組件

802.1X采用標準AAA認證架構，分別由設備端，控制端、服務端和目錄服務器(如果有，如：AD/LDAP/郵箱)組成。

設備端與控制端采用EAP協(xié)議進行認證和通信，認證報文采用UDP協(xié)議;控制端與服務端采用標準Radius協(xié)議進行通信，認證報文采用UDP協(xié)議。

● 802.1X準入控制有何優(yōu)勢?

高兼容性：基于IEEE標準，所有符合IEEE標準的網(wǎng)絡設備都支持。

高安全性：在接入層階段實現(xiàn)對終端設備的接入控制，不符合安全標準無法接入網(wǎng)絡，真正實現(xiàn)對網(wǎng)絡邊界的保護，拓寬企業(yè)網(wǎng)絡安全邊界。

高靈活性：基于動態(tài)授權對接入網(wǎng)絡的人員、設備進行明確的網(wǎng)絡權限劃分。 企業(yè)為什么需要802.1X?

如今，網(wǎng)絡和信息安全形勢日趨嚴峻復雜，企業(yè)數(shù)字化轉型發(fā)展也被動面臨著越來越多不確定的、突發(fā)的、多樣的網(wǎng)絡安全攻擊風險。不斷升級的高級持續(xù)性攻擊，使得企業(yè)原有的安全邊界不斷被突破。準入控制作為主要保障使用企業(yè)網(wǎng)絡基礎設施的安全問題，首當其沖。

與此同時，特別是對于中大型企業(yè)來說，終端類型多樣數(shù)量激增，終端管理任務重難度大成本高。

在這樣的大背景下，更靈活的動態(tài)識別、認證、訪問控制等成為了企業(yè)最為關注的核心訴求。出于安全功能要求、自身安全要求、安全保證要求以及降本增效等諸多因素考慮，基于角色的控制訪問，安全性更高的802.1X準入認證，毫無意外成為了很多對網(wǎng)絡及信息安全要求嚴格的企業(yè)的首選。

同時，802.1X協(xié)議為二層協(xié)議，不需要到達三層，可以有效降低建設成本。

特別是在防泄密需求推動下，基于802.1X NAC成為基礎設施的基本要求，成為越來越多企業(yè)的剛需。 關于802.1X，誰走在前面?強在哪?

作為全球較早的網(wǎng)絡準入控制廠商之一、中國網(wǎng)絡準入控制市場的開創(chuàng)者與引領者，聯(lián)軟科技深耕網(wǎng)絡安全行業(yè)，一直堅持做創(chuàng)新引領者而不是追隨者。

早在2006年，聯(lián)軟率先在國內業(yè)界實現(xiàn)了基于802.1X和EOU網(wǎng)絡準入控制產(chǎn)品，可以與思科、華為等主流品牌的網(wǎng)絡設備很好的聯(lián)動。同時，聯(lián)軟在2008年發(fā)布硬件網(wǎng)絡準入控制器并在業(yè)界首創(chuàng)了準旁路式部署。

聯(lián)軟的UniNAC網(wǎng)絡準入控制系統(tǒng)經(jīng)過近20年研發(fā)更新迭代，是網(wǎng)絡級端點安全領域的專業(yè)解決方案，現(xiàn)已為眾多大型機構的網(wǎng)絡安全、終端管理、信息安全管理提供直接支撐，擁有中國500多家金融機構最佳實踐，是市場保有量更多的NAC產(chǎn)品，決策風險與TCO更低。

為更好保障企業(yè)安全性，聯(lián)軟UniNAC網(wǎng)絡準入控制系統(tǒng)采用國際標準協(xié)議802.1X來實現(xiàn)到交換機端口級別的強準入認證強管控，支持Windows、macOS、Linux、iOS、Android等各種終端的802.1X協(xié)議，實現(xiàn)對所有接入網(wǎng)絡的終端進行身份驗證、合規(guī)檢查、安全檢查等。

目前，聯(lián)軟科技802.1X技術的獨特點與優(yōu)勢主要表現(xiàn)為以下幾大方面：

●業(yè)內網(wǎng)絡設備對接兼容性更廣、實施案例更多的準入廠商，具備大量替換各類主流品牌準入產(chǎn)品的能力和兼容性;可以對華為、思科交換機直接下發(fā)ACL內容，無需在交換機預先配置ACL，并且支持RABC的最小訪問控制，可實現(xiàn)VLAN、ACL與個人用戶或部門組關聯(lián)下發(fā)。

●支持SDN網(wǎng)絡架構適應未來發(fā)展：國內較早支持SDN網(wǎng)絡環(huán)境適配的準入廠商，支持思科、華為等主流網(wǎng)絡廠商SDN環(huán)境，在SDN網(wǎng)絡中，聯(lián)軟實現(xiàn)終端的身份認證及入網(wǎng)安全基線檢查，終端的訪問控制策略由終端的用戶身份標簽實現(xiàn)，與IP地址解耦合。

●可靠性設計優(yōu)異：提供業(yè)內更高標準的6重高可用機制保障，大大減少因為部署準入系統(tǒng)而帶來的斷網(wǎng)故障。獨有的智能熔斷機制，當人員誤操作情況而導致終端無法正常入網(wǎng)。

●超前的一體化平臺設計理念：實現(xiàn)一個客戶端，一個平臺，可以做到網(wǎng)絡準入控制、桌面安全管理、 信息防泄露等領域，包含網(wǎng)絡準入控制、主機監(jiān)控審計、桌面管理、補丁管理、安全管理、終端行為管理等功能的一體化、全方位的終端安全解決方案。

●智能幻影防入侵：基于聯(lián)軟獨創(chuàng)的幻影技術，支持自動或手動幻影出與真實在線設備一致的設備類型和數(shù)量，大規(guī)模輕量誘捕+動態(tài)引流到蜜罐重度誘捕進行聯(lián)動，同時在真實終端注入面包屑誘餌，發(fā)現(xiàn)入侵者惡意訪問幻影設備立即告警或者阻斷。

此外，對于部分網(wǎng)絡環(huán)境因交換機不支持802.1X的，UniNAC可采用網(wǎng)關型準入控制技術，如策略路由和鏡像技術作為過渡，待后續(xù)交換機更換或升級后再落實802.1X強管控。

作為新一代的智能化網(wǎng)絡準入控制系統(tǒng)，UniNAC 提倡直接與網(wǎng)絡設備聯(lián)動實現(xiàn)網(wǎng)絡準入控制，以實現(xiàn)優(yōu)秀的網(wǎng)絡安全性、可靠性和組網(wǎng)靈活性，目前能直接聯(lián)動的網(wǎng)絡設備型號達數(shù)百種。通過與網(wǎng)絡設備聯(lián)動及聯(lián)軟NACC準入控制器配合，UniNAC 能解決各種復雜環(huán)境下的網(wǎng)絡準入控制問題，在無線接入(員工、訪客)、有線網(wǎng)絡、遠程接入等場景中有著廣泛運用。 802.1X NAC + SDP ：強強聯(lián)合下的全網(wǎng)零信任安全管理解決方案

——大規(guī)模成功實踐 代表客戶：交通銀行、郵儲銀行、光大銀行、中國銀聯(lián)、中國移動、格力電器......

相較于以網(wǎng)絡為中心的準入控制，零信任則是以企業(yè)資源為中心。但兩者理念與零信任相似，都是默認不相信任何設備，必須進行嚴格校驗后，才允許接入。所以兩者都有身份校驗、環(huán)境感知、信任評估、動態(tài)最小授權等環(huán)節(jié)，嚴格上來講這些環(huán)節(jié)有重復的部分，在具體的落地過程中肯定要考慮如何統(tǒng)一，以便給用戶更好的體驗和更低的性能成本。

從企業(yè)網(wǎng)絡安全角度來看，兩者解決的問題并不沖突，準入控制主要保障使用企業(yè)網(wǎng)絡基礎設施的安全問題，零信任主要解決訪問企業(yè)資源的安全問題，所以Google的零信任實踐項目BeyondCrop在企業(yè)網(wǎng)中的第一步也是準入控制(802.1X)。

BeyondCrop組件和訪問流程

數(shù)字化轉型大潮下，企業(yè)在基礎IT架構中引入了上云服務、移動計算等熱點技術，內網(wǎng)外網(wǎng)的物理邊界逐步消失，木馬病毒迭代速度也急速加快，終端數(shù)量巨大呈指數(shù)級增長。

如何捍衛(wèi)企業(yè)安全邊界?如何實現(xiàn)更靈活的動態(tài)識別、認證、訪問控制?如何實現(xiàn)終端的高效實時管控?這些安全問題都備受關注。保障企業(yè)業(yè)務系統(tǒng)訪問的安全性，首先需要統(tǒng)一加強接入終端的安全建設水平。

隨著市場及需求的升級、零信任理念逐漸成熟、云計算持續(xù)發(fā)展，面對不斷升級的新興技術、需求及應用場景，在此契機下，聯(lián)軟充分發(fā)揮802.1X在應對終端安全等領域中的獨特優(yōu)勢和價值作用，推出了基于零信任理念的全網(wǎng)零信任安全管理解決方案。

全網(wǎng)零信任安全管理解決方案主要采用“802.1X NAC + SDP”技術結合的方式，以“持續(xù)驗證，永不信任”為原則，圍繞接入、身份、設備、應用以及數(shù)據(jù)五要素打造企業(yè)新安全體系。

聯(lián)軟科技全網(wǎng)零信任解決方案融合了SDP軟件定義邊界、NAC準入安全、NXG數(shù)據(jù)安全交換、EMM移動安全、EPP端點安全、EDR終端檢測與響應、DLP數(shù)據(jù)安全等功能。通過一套平臺、一個客戶端集成了接入安全、端點安全、數(shù)據(jù)安全的能力，全面針對不同身份、不同設備類型、不同操作系統(tǒng)、不同接入場景、不同的數(shù)據(jù)外發(fā)方式進行管控，實現(xiàn)不同資源細粒度的訪問控制。

用戶只需要采購與安裝、部署一套系統(tǒng)即可實現(xiàn)全網(wǎng)各種終端的零信任安全接入，并可對移動端和PC端進行統(tǒng)一管理，并且用戶可根據(jù)企業(yè)實際需求選擇方案具體的應用場景，基于一套平臺、一個客戶端，可快速擴展，無需重復建設，同時提高運維和管理效率，實現(xiàn)降本增效。

全網(wǎng)零信任安全管理解決方案，被視為防泄密和防勒索病毒方案的基礎方案。該方案實現(xiàn)了比肩Google BeyondCorp零信任方案的安全效果，并且在實際應用場景中更契合國內安全市場需求，為企業(yè)構建新一代的安全體系，代表客戶包括交通銀行、郵儲銀行、光大銀行、中國銀聯(lián)、中國移動、格力電器等。 做強做優(yōu)，探索技術發(fā)展新方向

作為全球較早的網(wǎng)絡準入控制廠商之一、中國企業(yè)端點安全領域的領導者、中國UEM統(tǒng)一終端管理領域領導者、國產(chǎn)自主可控的網(wǎng)絡安全新基建領軍廠商，國內率先落地基于“零信任安全”產(chǎn)品的廠商之一，聯(lián)軟持續(xù)關注市場發(fā)展和客戶需求，在關鍵核心技術創(chuàng)新上不斷發(fā)力，不斷加快推進802.1X等技術成果轉化應用，引領行業(yè)探索技術發(fā)展新方向。

目前，聯(lián)軟科技已為金融、制造業(yè)、運營商、政府、醫(yī)療、能源等行業(yè)客戶實施部署了基于802.1X強準入認證技術的UniNAC網(wǎng)絡準入控制系統(tǒng)，聯(lián)軟的ESPP各子系統(tǒng)以及以全網(wǎng)零信任安全管理為代表的系列解決方案，已經(jīng)為3000多家行業(yè)企業(yè)提供持續(xù)創(chuàng)新的網(wǎng)絡安全解決方案和技術服務。

強者愈強，勢頭正旺的802.1X，在構建網(wǎng)絡安全新基建中正發(fā)揮越來越突出的重要作用。聯(lián)軟也將堅持技術創(chuàng)新，引領行業(yè)技術先機，開辟更多新領域新賽道，為促進政企數(shù)字化建設提供有力保障。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）