入控制作為設(shè)備接入企業(yè)網(wǎng)絡(luò)的安全邊界，一直以來(lái)都是企業(yè)的安全基礎(chǔ)設(shè)施之一。簡(jiǎn)單的準(zhǔn)入機(jī)制潛藏著巨大的網(wǎng)絡(luò)安全隱患。如何正確處理用戶終端安全接入的問(wèn)題?這就需要基礎(chǔ)網(wǎng)絡(luò)提供必要且有效的安全認(rèn)證機(jī)制。

作為近年來(lái)網(wǎng)絡(luò)信息安全行業(yè)準(zhǔn)入控制領(lǐng)域備受關(guān)注的焦點(diǎn)之一，802.1X被越來(lái)越頻繁地提及，勢(shì)頭正旺。802.1X是什么?企業(yè)為什么需要802.1X?對(duì)于802.1X，哪些安全廠商走在了前面?今天，聯(lián)軟科技和大家好好聊一聊802.1X準(zhǔn)入控制那些事。

802.1X準(zhǔn)入認(rèn)證是什么?

● 802.1X的由來(lái)

基于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)背景，由Cisco提出，遵循 IEEE標(biāo)準(zhǔn)，利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)終端設(shè)備和用戶合法合規(guī)接入企業(yè)網(wǎng)絡(luò)的方案，名為網(wǎng)絡(luò)準(zhǔn)入控制(Network Admission Control，簡(jiǎn)稱 NAC)。802.1X是其中一種標(biāo)準(zhǔn)、一項(xiàng)準(zhǔn)入控制技術(shù)。

802.1X是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議。

基于端口的網(wǎng)絡(luò)接入控制，是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過(guò)認(rèn)證，就可以訪問(wèn)局域網(wǎng)中的資源;如果不能通過(guò)認(rèn)證，則無(wú)法訪問(wèn)局域網(wǎng)中的資源。

基于802.1X協(xié)議的用戶認(rèn)證方式叫做802.1X認(rèn)證。

802.1X認(rèn)證被廣泛應(yīng)用于用戶集中且對(duì)信息安全要求嚴(yán)格的場(chǎng)景中。

802.1X旨在解決局域網(wǎng)用戶的接入認(rèn)證和安全方面的問(wèn)題。借助802.1X準(zhǔn)入認(rèn)證，企業(yè)可以只允許合法的、值得信任的終端設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

● 802.1X準(zhǔn)入架構(gòu)組件

802.1X采用標(biāo)準(zhǔn)AAA認(rèn)證架構(gòu)，分別由設(shè)備端，控制端、服務(wù)端和目錄服務(wù)器(如果有，如：AD/LDAP/郵箱)組成。

設(shè)備端與控制端采用EAP協(xié)議進(jìn)行認(rèn)證和通信，認(rèn)證報(bào)文采用UDP協(xié)議;控制端與服務(wù)端采用標(biāo)準(zhǔn)Radius協(xié)議進(jìn)行通信，認(rèn)證報(bào)文采用UDP協(xié)議。

● 802.1X準(zhǔn)入控制有何優(yōu)勢(shì)?

高兼容性：基于IEEE標(biāo)準(zhǔn)，所有符合IEEE標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備都支持。

高安全性：在接入層階段實(shí)現(xiàn)對(duì)終端設(shè)備的接入控制，不符合安全標(biāo)準(zhǔn)無(wú)法接入網(wǎng)絡(luò)，真正實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界的保護(hù)，拓寬企業(yè)網(wǎng)絡(luò)安全邊界。

高靈活性：基于動(dòng)態(tài)授權(quán)對(duì)接入網(wǎng)絡(luò)的人員、設(shè)備進(jìn)行明確的網(wǎng)絡(luò)權(quán)限劃分。 企業(yè)為什么需要802.1X?

如今，網(wǎng)絡(luò)和信息安全形勢(shì)日趨嚴(yán)峻復(fù)雜，企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展也被動(dòng)面臨著越來(lái)越多不確定的、突發(fā)的、多樣的網(wǎng)絡(luò)安全攻擊風(fēng)險(xiǎn)。不斷升級(jí)的高級(jí)持續(xù)性攻擊，使得企業(yè)原有的安全邊界不斷被突破。準(zhǔn)入控制作為主要保障使用企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全問(wèn)題，首當(dāng)其沖。

與此同時(shí)，特別是對(duì)于中大型企業(yè)來(lái)說(shuō)，終端類型多樣數(shù)量激增，終端管理任務(wù)重難度大成本高。

在這樣的大背景下，更靈活的動(dòng)態(tài)識(shí)別、認(rèn)證、訪問(wèn)控制等成為了企業(yè)最為關(guān)注的核心訴求。出于安全功能要求、自身安全要求、安全保證要求以及降本增效等諸多因素考慮，基于角色的控制訪問(wèn)，安全性更高的802.1X準(zhǔn)入認(rèn)證，毫無(wú)意外成為了很多對(duì)網(wǎng)絡(luò)及信息安全要求嚴(yán)格的企業(yè)的首選。

同時(shí)，802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，可以有效降低建設(shè)成本。

特別是在防泄密需求推動(dòng)下，基于802.1X NAC成為基礎(chǔ)設(shè)施的基本要求，成為越來(lái)越多企業(yè)的剛需。 關(guān)于802.1X，誰(shuí)走在前面?強(qiáng)在哪?

作為全球較早的網(wǎng)絡(luò)準(zhǔn)入控制廠商之一、中國(guó)網(wǎng)絡(luò)準(zhǔn)入控制市場(chǎng)的開(kāi)創(chuàng)者與引領(lǐng)者，聯(lián)軟科技深耕網(wǎng)絡(luò)安全行業(yè)，一直堅(jiān)持做創(chuàng)新引領(lǐng)者而不是追隨者。

早在2006年，聯(lián)軟率先在國(guó)內(nèi)業(yè)界實(shí)現(xiàn)了基于802.1X和EOU網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品，可以與思科、華為等主流品牌的網(wǎng)絡(luò)設(shè)備很好的聯(lián)動(dòng)。同時(shí)，聯(lián)軟在2008年發(fā)布硬件網(wǎng)絡(luò)準(zhǔn)入控制器并在業(yè)界首創(chuàng)了準(zhǔn)旁路式部署。

聯(lián)軟的UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)經(jīng)過(guò)近20年研發(fā)更新迭代，是網(wǎng)絡(luò)級(jí)端點(diǎn)安全領(lǐng)域的專業(yè)解決方案，現(xiàn)已為眾多大型機(jī)構(gòu)的網(wǎng)絡(luò)安全、終端管理、信息安全管理提供直接支撐，擁有中國(guó)500多家金融機(jī)構(gòu)最佳實(shí)踐，是市場(chǎng)保有量更多的NAC產(chǎn)品，決策風(fēng)險(xiǎn)與TCO更低。

為更好保障企業(yè)安全性，聯(lián)軟UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)協(xié)議802.1X來(lái)實(shí)現(xiàn)到交換機(jī)端口級(jí)別的強(qiáng)準(zhǔn)入認(rèn)證強(qiáng)管控，支持Windows、macOS、Linux、iOS、Android等各種終端的802.1X協(xié)議，實(shí)現(xiàn)對(duì)所有接入網(wǎng)絡(luò)的終端進(jìn)行身份驗(yàn)證、合規(guī)檢查、安全檢查等。

目前，聯(lián)軟科技802.1X技術(shù)的獨(dú)特點(diǎn)與優(yōu)勢(shì)主要表現(xiàn)為以下幾大方面：

●業(yè)內(nèi)網(wǎng)絡(luò)設(shè)備對(duì)接兼容性更廣、實(shí)施案例更多的準(zhǔn)入廠商，具備大量替換各類主流品牌準(zhǔn)入產(chǎn)品的能力和兼容性;可以對(duì)華為、思科交換機(jī)直接下發(fā)ACL內(nèi)容，無(wú)需在交換機(jī)預(yù)先配置ACL，并且支持RABC的最小訪問(wèn)控制，可實(shí)現(xiàn)VLAN、ACL與個(gè)人用戶或部門組關(guān)聯(lián)下發(fā)。

●支持SDN網(wǎng)絡(luò)架構(gòu)適應(yīng)未來(lái)發(fā)展：國(guó)內(nèi)較早支持SDN網(wǎng)絡(luò)環(huán)境適配的準(zhǔn)入廠商，支持思科、華為等主流網(wǎng)絡(luò)廠商SDN環(huán)境，在SDN網(wǎng)絡(luò)中，聯(lián)軟實(shí)現(xiàn)終端的身份認(rèn)證及入網(wǎng)安全基線檢查，終端的訪問(wèn)控制策略由終端的用戶身份標(biāo)簽實(shí)現(xiàn)，與IP地址解耦合。

●可靠性設(shè)計(jì)優(yōu)異：提供業(yè)內(nèi)更高標(biāo)準(zhǔn)的6重高可用機(jī)制保障，大大減少因?yàn)椴渴饻?zhǔn)入系統(tǒng)而帶來(lái)的斷網(wǎng)故障。獨(dú)有的智能熔斷機(jī)制，當(dāng)人員誤操作情況而導(dǎo)致終端無(wú)法正常入網(wǎng)。

●超前的一體化平臺(tái)設(shè)計(jì)理念：實(shí)現(xiàn)一個(gè)客戶端，一個(gè)平臺(tái)，可以做到網(wǎng)絡(luò)準(zhǔn)入控制、桌面安全管理、 信息防泄露等領(lǐng)域，包含網(wǎng)絡(luò)準(zhǔn)入控制、主機(jī)監(jiān)控審計(jì)、桌面管理、補(bǔ)丁管理、安全管理、終端行為管理等功能的一體化、全方位的終端安全解決方案。

●智能幻影防入侵：基于聯(lián)軟獨(dú)創(chuàng)的幻影技術(shù)，支持自動(dòng)或手動(dòng)幻影出與真實(shí)在線設(shè)備一致的設(shè)備類型和數(shù)量，大規(guī)模輕量誘捕+動(dòng)態(tài)引流到蜜罐重度誘捕進(jìn)行聯(lián)動(dòng)，同時(shí)在真實(shí)終端注入面包屑誘餌，發(fā)現(xiàn)入侵者惡意訪問(wèn)幻影設(shè)備立即告警或者阻斷。

此外，對(duì)于部分網(wǎng)絡(luò)環(huán)境因交換機(jī)不支持802.1X的，UniNAC可采用網(wǎng)關(guān)型準(zhǔn)入控制技術(shù)，如策略路由和鏡像技術(shù)作為過(guò)渡，待后續(xù)交換機(jī)更換或升級(jí)后再落實(shí)802.1X強(qiáng)管控。

作為新一代的智能化網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，UniNAC 提倡直接與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，以實(shí)現(xiàn)優(yōu)秀的網(wǎng)絡(luò)安全性、可靠性和組網(wǎng)靈活性，目前能直接聯(lián)動(dòng)的網(wǎng)絡(luò)設(shè)備型號(hào)達(dá)數(shù)百種。通過(guò)與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)及聯(lián)軟NACC準(zhǔn)入控制器配合，UniNAC 能解決各種復(fù)雜環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制問(wèn)題，在無(wú)線接入(員工、訪客)、有線網(wǎng)絡(luò)、遠(yuǎn)程接入等場(chǎng)景中有著廣泛運(yùn)用。 802.1X NAC + SDP ：強(qiáng)強(qiáng)聯(lián)合下的全網(wǎng)零信任安全管理解決方案

——大規(guī)模成功實(shí)踐 代表客戶：交通銀行、郵儲(chǔ)銀行、光大銀行、中國(guó)銀聯(lián)、中國(guó)移動(dòng)、格力電器......

相較于以網(wǎng)絡(luò)為中心的準(zhǔn)入控制，零信任則是以企業(yè)資源為中心。但兩者理念與零信任相似，都是默認(rèn)不相信任何設(shè)備，必須進(jìn)行嚴(yán)格校驗(yàn)后，才允許接入。所以兩者都有身份校驗(yàn)、環(huán)境感知、信任評(píng)估、動(dòng)態(tài)最小授權(quán)等環(huán)節(jié)，嚴(yán)格上來(lái)講這些環(huán)節(jié)有重復(fù)的部分，在具體的落地過(guò)程中肯定要考慮如何統(tǒng)一，以便給用戶更好的體驗(yàn)和更低的性能成本。

從企業(yè)網(wǎng)絡(luò)安全角度來(lái)看，兩者解決的問(wèn)題并不沖突，準(zhǔn)入控制主要保障使用企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全問(wèn)題，零信任主要解決訪問(wèn)企業(yè)資源的安全問(wèn)題，所以Google的零信任實(shí)踐項(xiàng)目BeyondCrop在企業(yè)網(wǎng)中的第一步也是準(zhǔn)入控制(802.1X)。

BeyondCrop組件和訪問(wèn)流程

數(shù)字化轉(zhuǎn)型大潮下，企業(yè)在基礎(chǔ)IT架構(gòu)中引入了上云服務(wù)、移動(dòng)計(jì)算等熱點(diǎn)技術(shù)，內(nèi)網(wǎng)外網(wǎng)的物理邊界逐步消失，木馬病毒迭代速度也急速加快，終端數(shù)量巨大呈指數(shù)級(jí)增長(zhǎng)。

如何捍衛(wèi)企業(yè)安全邊界?如何實(shí)現(xiàn)更靈活的動(dòng)態(tài)識(shí)別、認(rèn)證、訪問(wèn)控制?如何實(shí)現(xiàn)終端的高效實(shí)時(shí)管控?這些安全問(wèn)題都備受關(guān)注。保障企業(yè)業(yè)務(wù)系統(tǒng)訪問(wèn)的安全性，首先需要統(tǒng)一加強(qiáng)接入終端的安全建設(shè)水平。

隨著市場(chǎng)及需求的升級(jí)、零信任理念逐漸成熟、云計(jì)算持續(xù)發(fā)展，面對(duì)不斷升級(jí)的新興技術(shù)、需求及應(yīng)用場(chǎng)景，在此契機(jī)下，聯(lián)軟充分發(fā)揮802.1X在應(yīng)對(duì)終端安全等領(lǐng)域中的獨(dú)特優(yōu)勢(shì)和價(jià)值作用，推出了基于零信任理念的全網(wǎng)零信任安全管理解決方案。

全網(wǎng)零信任安全管理解決方案主要采用“802.1X NAC + SDP”技術(shù)結(jié)合的方式，以“持續(xù)驗(yàn)證，永不信任”為原則，圍繞接入、身份、設(shè)備、應(yīng)用以及數(shù)據(jù)五要素打造企業(yè)新安全體系。

聯(lián)軟科技全網(wǎng)零信任解決方案融合了SDP軟件定義邊界、NAC準(zhǔn)入安全、NXG數(shù)據(jù)安全交換、EMM移動(dòng)安全、EPP端點(diǎn)安全、EDR終端檢測(cè)與響應(yīng)、DLP數(shù)據(jù)安全等功能。通過(guò)一套平臺(tái)、一個(gè)客戶端集成了接入安全、端點(diǎn)安全、數(shù)據(jù)安全的能力，全面針對(duì)不同身份、不同設(shè)備類型、不同操作系統(tǒng)、不同接入場(chǎng)景、不同的數(shù)據(jù)外發(fā)方式進(jìn)行管控，實(shí)現(xiàn)不同資源細(xì)粒度的訪問(wèn)控制。

用戶只需要采購(gòu)與安裝、部署一套系統(tǒng)即可實(shí)現(xiàn)全網(wǎng)各種終端的零信任安全接入，并可對(duì)移動(dòng)端和PC端進(jìn)行統(tǒng)一管理，并且用戶可根據(jù)企業(yè)實(shí)際需求選擇方案具體的應(yīng)用場(chǎng)景，基于一套平臺(tái)、一個(gè)客戶端，可快速擴(kuò)展，無(wú)需重復(fù)建設(shè)，同時(shí)提高運(yùn)維和管理效率，實(shí)現(xiàn)降本增效。

全網(wǎng)零信任安全管理解決方案，被視為防泄密和防勒索病毒方案的基礎(chǔ)方案。該方案實(shí)現(xiàn)了比肩Google BeyondCorp零信任方案的安全效果，并且在實(shí)際應(yīng)用場(chǎng)景中更契合國(guó)內(nèi)安全市場(chǎng)需求，為企業(yè)構(gòu)建新一代的安全體系，代表客戶包括交通銀行、郵儲(chǔ)銀行、光大銀行、中國(guó)銀聯(lián)、中國(guó)移動(dòng)、格力電器等。 做強(qiáng)做優(yōu)，探索技術(shù)發(fā)展新方向

作為全球較早的網(wǎng)絡(luò)準(zhǔn)入控制廠商之一、中國(guó)企業(yè)端點(diǎn)安全領(lǐng)域的領(lǐng)導(dǎo)者、中國(guó)UEM統(tǒng)一終端管理領(lǐng)域領(lǐng)導(dǎo)者、國(guó)產(chǎn)自主可控的網(wǎng)絡(luò)安全新基建領(lǐng)軍廠商，國(guó)內(nèi)率先落地基于“零信任安全”產(chǎn)品的廠商之一，聯(lián)軟持續(xù)關(guān)注市場(chǎng)發(fā)展和客戶需求，在關(guān)鍵核心技術(shù)創(chuàng)新上不斷發(fā)力，不斷加快推進(jìn)802.1X等技術(shù)成果轉(zhuǎn)化應(yīng)用，引領(lǐng)行業(yè)探索技術(shù)發(fā)展新方向。

目前，聯(lián)軟科技已為金融、制造業(yè)、運(yùn)營(yíng)商、政府、醫(yī)療、能源等行業(yè)客戶實(shí)施部署了基于802.1X強(qiáng)準(zhǔn)入認(rèn)證技術(shù)的UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，聯(lián)軟的ESPP各子系統(tǒng)以及以全網(wǎng)零信任安全管理為代表的系列解決方案，已經(jīng)為3000多家行業(yè)企業(yè)提供持續(xù)創(chuàng)新的網(wǎng)絡(luò)安全解決方案和技術(shù)服務(wù)。

強(qiáng)者愈強(qiáng)，勢(shì)頭正旺的802.1X，在構(gòu)建網(wǎng)絡(luò)安全新基建中正發(fā)揮越來(lái)越突出的重要作用。聯(lián)軟也將堅(jiān)持技術(shù)創(chuàng)新，引領(lǐng)行業(yè)技術(shù)先機(jī)，開(kāi)辟更多新領(lǐng)域新賽道，為促進(jìn)政企數(shù)字化建設(shè)提供有力保障。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）