论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 413 篇帖子 ]  前往页数 上一页  1 ... 23, 24, 25, 26, 27, 28  下一页
作者 内容
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-09-12 12:16 
离线
初级用户

注册: 2012-03-12 22:06
最近: 2013-02-26 22:11
拥有: 381.00 安全币

奖励: 157 安全币
在线: 508 点
帖子: 26
clouesec 写道:
感谢各位的支持;讨论的激烈程度是一拨又一拨。
当初发帖只是为了分享一份技术,其实华安论坛不错,但是技术贴较少。
真不是希望成为战场。
希望大家围绕技术来讨论。
很多兄弟都是混迹行业很久,也真算是高手,也希望各位在“东拉西扯”的时候,分享一些东西。
分享不一定要原创,你可以把你看见的、理解的、觉得有用的东西贴出来,一起享用和讨论。
还是,感谢大家的支持!

支持一下,凑个热闹。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-09-24 16:30 
离线
新手

注册: 2012-09-24 13:48
最近: 2012-09-24 17:36
拥有: 14.00 安全币

奖励: 0 安全币
在线: 47 点
帖子: 3
支持楼主共享!支持技术探讨,真理需要辩证,希望大家就事论事!


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-10-03 19:34 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
niklle 写道:
支持楼主共享!支持技术探讨,真理需要辩证,希望大家就事论事!

谢挺,提倡SHARE。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-10-05 09:49 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,387.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
802.1x解决不了直接网线双机互联的问题,所以……
我还是建议在准入的基础上,加装客户端,防止双机直连


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-10-05 14:06 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
网路游侠 写道:
802.1x解决不了直接网线双机互联的问题,所以……
我还是建议在准入的基础上,加装客户端,防止双机直连

是的目前来说,还是需要客户端的,但是不是所有的客户端都能解决双机直连,双机直连也是有很多点,要关注的。
但就技术来说,802.1x在目前市场上所有的准入技术中已经将隔离发挥到“极致”了,其他的技术还没有一个能像802.1x这样的隔离效果。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-10-10 10:51 
离线
中级用户

注册: 2008-06-17 10:00
最近: 2016-06-30 09:28
拥有: 1,340.00 安全币

奖励: 21 安全币
在线: 1253 点
帖子: 86
clouesec 写道:
网路游侠 写道:
802.1x解决不了直接网线双机互联的问题,所以……
我还是建议在准入的基础上,加装客户端,防止双机直连

是的目前来说,还是需要客户端的,但是不是所有的客户端都能解决双机直连,双机直连也是有很多点,要关注的。
但就技术来说,802.1x在目前市场上所有的准入技术中已经将隔离发挥到“极致”了,其他的技术还没有一个能像802.1x这样的隔离效果。


隔离到“极致”的个人认为还是网管软件中的将交换机端口直接down功能最极致。eap报文也无法进行通过了。
另外从功能上面来说,cisco的eou隔离较802.1x的隔离更好,只不过受cisco的限制,另外huawei体系的portal也可以达到类似于eou的隔离效果(同样受huawei的限制),国外比较倡导的一个vlan隔离也可以。
不过所有这些技术都无法解决双机直连的问题,因为从技术上面来说,这些技术其实都是基于网络设备的隔离,而双机直连(u盘拷贝等)直接把这步跳过去了。从这个来说,客户端是信息安全的最佳方式(不考虑管理,人员等非技术因素),但是国内对客户端由于国人的心里因素对这个抵触较大。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-10-12 16:56 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
hoyt 写道:
clouesec 写道:
网路游侠 写道:
802.1x解决不了直接网线双机互联的问题,所以……
我还是建议在准入的基础上,加装客户端,防止双机直连

是的目前来说,还是需要客户端的,但是不是所有的客户端都能解决双机直连,双机直连也是有很多点,要关注的。
但就技术来说,802.1x在目前市场上所有的准入技术中已经将隔离发挥到“极致”了,其他的技术还没有一个能像802.1x这样的隔离效果。


隔离到“极致”的个人认为还是网管软件中的将交换机端口直接down功能最极致。eap报文也无法进行通过了。
另外从功能上面来说,cisco的eou隔离较802.1x的隔离更好,只不过受cisco的限制,另外huawei体系的portal也可以达到类似于eou的隔离效果(同样受huawei的限制),国外比较倡导的一个vlan隔离也可以。
不过所有这些技术都无法解决双机直连的问题,因为从技术上面来说,这些技术其实都是基于网络设备的隔离,而双机直连(u盘拷贝等)直接把这步跳过去了。从这个来说,客户端是信息安全的最佳方式(不考虑管理,人员等非技术因素),但是国内对客户端由于国人的心里因素对这个抵触较大。


1. SNMP目前来说是非安全的方式,都知道SNMP V1 V2都不安全,就可以一个团体字就操作交换机,这是一种不安全的方式,现在很多也只是用SNMP来网关监控取值,并不会开启write权限,这是一个危险东西,还记得前几年某省全省掉网吗,就是老美搞定了核心的SNMP,管控了路由器。SNMP准入以前CISCO 搞过NAC app 不过现在都基本没有用了。
2.“网路游侠” 所说的双机直连不是U盘什么的,而是两台机器通过HUB网线等直接互联,相互访问,这个是客户端可以解决的问题。
3. 市场的技术很多,这都知道,也有限制,但是这都是些不错的技术;如果把这些东西柔和到一块就是一个准入厂家的高明之处了,因为每种技术都有优点,特别是在不同网络环境下不同的技术能够去适应,把特定环境的准入解决得“淋漓尽致”,这就是准入厂家的厉害之处。目前来说一个技术解决一个企业所用的环境是不太可能的。那么如何在同一套系统中柔和多种网络技术,而且是同时能使用这些技术来做企业不同的网络环境,至关重要。
4.现在中国特色的IT管理下装个客户端已经不是什么难事情了,而且基于现在技术基本都是静默安装,对用户处于透明阶段,和加密一样都要客户端,还是没那么多的抵触情绪的。
5. 从各方面综合考虑,目前来说还是推崇客户端(当然有、无也可能各有优缺点)因为这是一个“一劳永逸”的方案。 说实话目前的无客户端准入都是有客户端,只是变相了,比如插件===。
什么是客户端,通俗理解就是只有新增进程在终端运行就叫有客户端
其实这个国外分的很细,很明白
例如CISCO的SSL VPN 他就认为有: Agentless (正真的无客户端) 、Thin Client ( 基于JAVA) 、Client (客户端程序)。
无论是Thin Client ( 基于JAVA) 、Client (客户端程序)反正都要装,不如装个牛逼的;


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-12-09 22:28 
离线
初级用户

注册: 2012-03-12 22:06
最近: 2013-02-26 22:11
拥有: 381.00 安全币

奖励: 157 安全币
在线: 508 点
帖子: 26
clouesec 写道:

1. SNMP目前来说是非安全的方式,都知道SNMP V1 V2都不安全,就可以一个团体字就操作交换机,这是一种不安全的方式,现在很多也只是用SNMP来网关监控取值,并不会开启write权限,这是一个危险东西,还记得前几年某省全省掉网吗,就是老美搞定了核心的SNMP,管控了路由器。SNMP准入以前CISCO 搞过NAC app 不过现在都基本没有用了。
2.“网路游侠” 所说的双机直连不是U盘什么的,而是两台机器通过HUB网线等直接互联,相互访问,这个是客户端可以解决的问题。
3. 市场的技术很多,这都知道,也有限制,但是这都是些不错的技术;如果把这些东西柔和到一块就是一个准入厂家的高明之处了,因为每种技术都有优点,特别是在不同网络环境下不同的技术能够去适应,把特定环境的准入解决得“淋漓尽致”,这就是准入厂家的厉害之处。目前来说一个技术解决一个企业所用的环境是不太可能的。那么如何在同一套系统中柔和多种网络技术,而且是同时能使用这些技术来做企业不同的网络环境,至关重要。
4.现在中国特色的IT管理下装个客户端已经不是什么难事情了,而且基于现在技术基本都是静默安装,对用户处于透明阶段,和加密一样都要客户端,还是没那么多的抵触情绪的。
5. 从各方面综合考虑,目前来说还是推崇客户端(当然有、无也可能各有优缺点)因为这是一个“一劳永逸”的方案。 说实话目前的无客户端准入都是有客户端,只是变相了,比如插件===。
什么是客户端,通俗理解就是只有新增进程在终端运行就叫有客户端
其实这个国外分的很细,很明白
例如CISCO的SSL VPN 他就认为有: Agentless (正真的无客户端) 、Thin Client ( 基于JAVA) 、Client (客户端程序)。
无论是Thin Client ( 基于JAVA) 、Client (客户端程序)反正都要装,不如装个牛逼的;

分析到位!


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2012-12-11 22:37 
离线
初级用户

注册: 2009-11-30 14:41
最近: 2014-12-07 21:18
拥有: 754.00 安全币

奖励: 0 安全币
在线: 359 点
帖子: 20
帖子够长,mark先


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2013-01-18 21:10 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
Crusade 写道:
帖子够长,mark先

谢谢支持与MARK! 长 都是大家关注的结果,呵呵!


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2013-01-29 10:49 
离线
中级用户

注册: 2004-04-07 16:52
最近: 2016-04-28 17:33
拥有: 1,125.90 安全币

奖励: 28 安全币
在线: 3116 点
帖子: 88
地址: 上海
断断续续看了几天,还是有所收获。
七八年前搞过802.1x证书认证后,没想到现在衍生的准入概念变得了这么火,有点出乎意料。。。。
从这帖子也觉得准入还是有点混沌,各方思路利益都在搅动,不过在准入上我没啥经验。。
我能想到的是,涉及到客户端的东西,尤其是安全类的客户端,要去大规模推广越来越难,后期成本也会越来越高,大家想想现在桌面安全类终端软件有多少,夸张的客户能装4、5家。。。
然后考虑的是智能手机、平板电脑等移动设备的安全问题以及云概念下虚拟桌面化带来的冲击。。。


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2013-01-30 16:34 
离线
新手

注册: 2013-01-18 17:17
最近: 2013-03-05 16:57
拥有: 17.00 安全币

奖励: 0 安全币
在线: 101 点
帖子: 7
clouesec 写道:
网路游侠 写道:
802.1x解决不了直接网线双机互联的问题,所以……
我还是建议在准入的基础上,加装客户端,防止双机直连

是的目前来说,还是需要客户端的,但是不是所有的客户端都能解决双机直连,双机直连也是有很多点,要关注的。
但就技术来说,802.1x在目前市场上所有的准入技术中已经将隔离发挥到“极致”了,其他的技术还没有一个能像802.1x这样的隔离效果。



双击直连怎么不行? 加上mac地址绑定可否?


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2013-02-21 21:03 
离线
中级用户

关注按钮

注册: 2012-02-12 21:14
最近: 2013-06-05 14:23
拥有: 937.00 安全币

奖励: 876 安全币
在线: 1875 点
帖子: 81
[quote="gazali"]断断续续看了几天,还是有所收获。
七八年前搞过802.1x证书认证后,没想到现在衍生的准入概念变得了这么火,有点出乎意料。。。。
从这帖子也觉得准入还是有点混沌,各方思路利益都在搅动,不过在准入上我没啥经验。。
我能想到的是,涉及到客户端的东西,尤其是安全类的客户端,要去大规模推广越来越难,后期成本也会越来越高,大家想想现在桌面安全类终端软件有多少,夸张的客户能装4、5家。。。
然后考虑的是智能手机、平板电脑等移动设备的安全问题以及云概念下虚拟桌面化带来的冲击。。。[/quote]


GAZALI 说的也有道理,不过现在虚拟化还是有点距离,一个朋友的公司弄过 50台服务器 带 2000个终端,结果服务器也很难维护,而且下面的终端也搞得乱七八糟的,什么都出现了。有点难管理。
目前就我们公司实际情况来看,还是上客户端准入比较好,而且我们用的802.1X效果还不错,装客户端就是第一次麻烦点,一劳永逸,后面维护很轻松; 我们当时测试了 号称是无客户端的,结果还是要装插件,安装插件当时看似很好,但是我们测试一个月后发现,问题很多,经常起不来,容易被查杀或阻止,竟然上不了网络,而且也不方便远程维护,目前来说无客户端准入还是不怎么样。 要么就做到正真的无客户端,那才有意义,否则只是瘦客户端,就像前面说的那样,与其装不如就装个一劳永逸的客户端上去。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2013-02-25 18:04 
离线
新手

注册: 2013-02-25 17:25
最近: 2013-02-25 18:04
拥有: 50.00 安全币

奖励: 0 安全币
在线: 40 点
帖子: 4
楼主说的太好了,每一种准入技术都说的很详细,对不同厂家的产品也非常熟悉,对于不同的网络环境使用的准入技术也不一样,总之,看了受益匪浅,让我了解了准入技术的相关东西,真的不错,强烈支持,顶~~~


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡
帖子发表于 : 2013-02-25 18:09 
离线
新手

注册: 2013-02-22 13:41
最近: 2013-03-25 11:55
拥有: 73.00 安全币

奖励: 0 安全币
在线: 110 点
帖子: 11
网络准入控制可以安全隔离内外网,可以帮助用户很好地解决如下问题:

 防止非法的外来电脑接入网络,影响内部网络的安全;
 防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络,影响网络正常运行;
 确保接入网络的客户机符合公司安全管理要求;
 帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为;
 与桌面管理紧密结合,防止用户私自重装电脑卸载网络管理软件客户端,逃避监管要求;

针对网络准入控制技术,楼主说的非常详细,完全诠释了上述的解决方案的理由,从技术上产品对比上,都很客观的进行了分析和对比,没有一点的虚夸,非常真实和实用,很收帮助,希望还有更多的东西分享,谢咯~


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 413 篇帖子 ]  前往页数 上一页  1 ... 23, 24, 25, 26, 27, 28  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012