司马镇4948安徽财经大学校园网安全建议书.docx
《司马镇4948安徽财经大学校园网安全建议书.docx》由会员分享,可在线阅读,更多相关《司马镇4948安徽财经大学校园网安全建议书.docx(20页珍藏版)》请在冰点文库上搜索。
司马镇4948安徽财经大学校园网安全建议书
安徽财经大学校园网
安全建议书
学号:
20134948
姓名:
司马镇
班级:
13信管1
2015年12月25日
目录
第1章安徽财经大学学校园网安全现状分析3
1.1概述3
1.2安徽财经大学网络安全系统3
第2章校园网安全风险隐患7
2.1来自外网的病毒和黑客攻击7
2.2来自校园网内部的攻击和病毒8
2.3操作系统的安全漏洞8
2.4管理方面存在的问题8
第3章安徽财经大学校园网安全需求分析8
3.1结构需求分析8
3.2流量需求分析9
3.3保密控制需求分析10
第4章网络安全关键技术11
4.1防火墙技术11
4.2计算机病毒防护技术12
4.3入侵检测的实现13
4.4安全扫描技术14
4.5网络访问控制技术16
第5章安徽财经大学校园网安全方案设计17
4.5设计思路17
4.5部署防火墙17
4.5部署入侵检测系统18
4.5部署漏洞管理系统18
4.5部署校园网络防病毒系统18
4.5部署校园网web应用防护系统19
第一章安徽财经大学校园网安全现状分析
1.1概述
我校的网络主干采用双链路万兆互联。
即由龙湖西校区一台核心、一台思科6509作为汇聚,龙湖东校区网络中心核心加一台核心备用,通过万兆光纤链路构成骨干网络,由分布在各楼宇的汇聚成路由交换机与相近的核心交换机通过千兆链路连接,形成星型结构。
安徽财经大学校园网拓扑图
1.2安徽财经大学网络安全系统
随着校园网络建设复杂化,运用的多样性,确实实现学校管理、科研、教学与师生之间互相交流学习。
校园网在学校教学、科研中发挥着越来越重要的作用,但是网络病毒侵害、黑客攻击、账号密码丢失等网络安全问题也随之而来,如果安全问题不能有效地解决,必将阻碍我校网络建设的进一步发展。
我校网络安全主要通过一下几种技术实现。
IPS入侵防御系统:
IPS入侵防御系统的功能。
一个优秀的入IPS侵防御系统的必须具备以下几个方面的主要功能:
(一)监视和隔离攻击/网络管理员面对网络系统攻击的最大挑战是,他无法在应用层对数据流进行扫描和检测。
使用IPS,网络管理员可以检测蠕虫和病毒以及非正常流量模式,从而将攻击的威胁降至最低。
IPS检测实施攻击的对象和位置,完全把握攻击动向。
一旦检测到攻击,IPS将其隔离,限制其带宽,达到防止攻击消耗网络带宽的目的,通过流量控制来保证服务水平协议(SLA)。
借助IPS高密度端口和静态转发技术,支持分布式应用,在多个网段之间提供安全防护。
(二)防范拒绝服务攻击IPS可以识别千兆位速度的拒绝服务攻击,阻止以使企业网络瘫痪为目的的恶意操作。
在保持高流量速度的情况下,IPS可以一边同时拦截多个活动攻击,一边防范其它的各种可能攻击。
通过基准性监视来检测流量方面的异常,高级的取样方法提高了性能。
(三)主动、实时预防攻击IPS应该提供对攻击的实时预防和分析。
它应该在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源。
IPS采用特征检测、异常检测和拒绝服务分析等各种技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护,使企业免遭已知攻击、首次发生的未知攻击以及DOS攻击的影响。
(四)攻击报告功能IPS能够为网络管理人员提供详细的攻击报告,该报告包括几个方面的内容:
攻击开始时间3结束时间;源IP地址和目标IP地址;严重性居于前10位的攻击;各个物理端口上的攻击及当前的和历史的攻击报告。
并且可以将报告通过各种方式导出到外部程序和数据库中。
防火墙系统:
防火墙技术对于加强网络管理和网络控制起到很大的作用。
通过对网络的访问之间加强控制,防止用户受到非法访问的骚扰。
防火墙是一种保护网络整体环境安全的设备。
它对多个网络用户之间的资源传送和连接方式都有相应的安全策略。
网络之间的通信只有通过防火墙技术的检查才能够确保整个网络的安全运行,是整个网络处于防火墙技术的监控下。
我校在校园网出口位置架设防火墙实现校园网与互联网的隔离;在校园网内部服务器和数据中心之前架设防火墙以防止校园网内部对重要设备和服务的攻击,防火墙系统保证外部和内部网络核心设备都不被攻击。
服务器群:
一、集群系统可解决所有的服务器硬件故障,当某一台服务器出现任何故障,如:
硬盘、内存、CPU、主板、I/O板以及电源故障,运行在这台服务器上的应用就会切换到其它的服务器上。
二、集群系统可解决软件系统问题,我们知道,在计算机系统中,用户所使用的是应用程序和数据,而应用系统运行在操作系统之上,操作系统又运行在服务器上。
这样,只要应用系统、操作系统、服务器三者中的任何一个出现故障,系统实际上就停止了向客户端提供服务,比如我们常见的软件死机,就是这种情况之一,尽管服务器硬件完好,但服务器仍旧不能向客户端提供服务。
而集群的最大优势在于对故障服务器的监控是基于应用的,也就是说,只要服务器的应用停止运行,其它的相关服务器就会接管这个应用,而不必理会应用停止运行的原因是什么。
三、集群系统可以解决人为失误造成的应用系统停止工作的情况,例如,当管理员对某台服务器操作不当导致该服务器停机,因此运行在这台服务器上的应用系统也就停止了运行。
由于集群是对应用进行监控,因此其它的相关服务器就会接管这个应用。
◆外部服务器群
我校使用的外部服务器群主要有Web服务器、MAIL服务器等。
Web服务器主要是安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器安全防护软件。
提供服务器杀毒、服务器优化、系统漏洞补丁修复、服务器程序守护、风险帐号(影子帐号等)优化、DDOS防火墙、ARP防火墙、防CC攻击、防入侵防提权、防篡改、安全策略设置等,使服务器免受攻击,同时提供邮件实时告警等功能,服务器状态实时掌握。
软件支持Windows一系列操作系(Windows2003/Windows2008/Windows2012)、linux主流操作系统(nginx/Ubuntu/Centos/Fedora/RHEL等),全面支持32位和64位系
服务器安全狗—核心功能
Ø多引擎,精准查杀网页木马、各类病毒
独有的安全狗云查杀引擎、网马引擎与专业的小红伞引擎结合,精确查杀各类网页木马和主流病毒。
多引擎智能查杀病毒,全面保障服务器安全。
Ø三层网络防护,实时保护网络安全
网络防火墙,强有力的网络防护,实时监测IP和端口访问的合法性,实时拦截ARP 攻击、 Web攻击(抗CC)、DDOS攻击、暴力破解等。
Ø全面的文件/注册表保护,杜绝非法篡改
全面开放保护规则,同时支持监控网站目录,有效保护重要文件、目录与注册表不被篡改与删除,实时防止网站被上传网页木马。
系统默认规则与用户自定义规则全支持,灵活定制,全面保护。
Ø底层驱动防护,屏蔽入侵提权
驱动级保护,拦截更快速,有效防止未授权的非法用户登录服务器,实时阻止非法创建和修改系统帐号
Ø服务器安全加固,避免配置风险
全面的服务器体检,暴露安全隐患,当前系统健康情况了然于心,同时提供贴心的优化建议措施,加固服务器更简单,系统运行更快速,更安全。
◆内部服务器群
内部服务器群主要包括数据库服务器、内部服务器、计费服务器。
DAS服务器、视频点播服务器和其他各种应用服务器等。
第二章校园网安全风险隐患
校园网络是学校进行教学管理和科研的重要信息平台,具有开放的网络环境、庞大复杂的用户群。
而许多校园网络在规划建设初期由于意识与资金方面的原因,在安全方面没有太多的防范措施,为网络安全埋下了隐患,造成了校园网内病毒泛滥、黑客攻击、信息丢失、服务被拒绝等网络安全故障,给学校的教学及管理造成巨大影响。
通常把校园网的安全隐患归纳为以下四个方面:
2.1来自外网的病毒和黑客攻击
校园网络通常是通过CERNET与Internet相连或直接与In-ternet相连,许多用户每天都要通过校园网访问Internet资源,与此同时也为外网病毒进入校园网打开了方便之门,Internet上的许多的资源都暗藏病毒,用户下载的程序和电子邮件都可能带有病毒和木马。
因此,大量的网络病毒及各类攻击随之而来,不断更新的病毒与黑客攻击手段对网络安全造成了很大的威胁。
2.2来自校园网络内部的攻击和病毒
由于校园网是一个开放的环境,用户密度又高,并且学生的好奇心与活跃的思维也会驱使他们探索一些网络技术甚至黑客技术。
另外由于许多用户网络防护意识薄弱,没有任何的防范措施,随时都可能因为感染木马、病毒被攻击入侵。
这就导致校园网络要承受大量来自内部的攻击,而源于内部的攻击是很难防御的,一旦有木马、病毒发作将会造成大面积的网络瘫痪。
2.3操作系统的安全漏洞
高校网络服务器大多为WIN2003、LINUX、UNIX等操作系统,各类操作系统都有不同程度的安全漏洞与隐患。
微软的操作系统以其易用性得到广泛应用,但层出不穷的安全漏洞也成了黑客攻击的对象。
LINUX和UNIX系统的复杂性使其相对安全一些,但也同样存在安全漏洞及病毒威胁,这些操作系统的安全漏洞对于网络安全是极大的威胁。
2.4管理方面存在的问题
网络的整体安全仅从技术和设备入手是不够的,还应该有一套行之有效的管理制度和操作规范,以及与相应的监控体系。
有的学校即使有用户上网管理办法,但却没有相应的监控措施,难以取得违规用户的行为证据,这些管理上的问题都会给网络的安全带来巨大的隐患。
第三章安徽财经大学校园网安全需求分析
3.1结构需求分析
网络结构作为高校校园网安全建设的基础,对校园网安全性能的提升具有非常积极的意义。
当前我国高校信息化建设过程中高质量、高带宽、强控制的校园网基础支撑平台已经基本完成,整体建设环境较为良好。
相关资料显示:
截止到目前为止高校互联网连接已经达到100%,其中70%的高校已经拥有3000多个
网络接口,出口带宽已经达到上千兆。
我国高校校园网网络结构框架基本成熟,主要由核心层、校园骨干网完成对主体内容的控制,主次向外放射形成汇聚层和接入层,层次结构非常明确,应用效益显著。
(1)核心层
核心层在构建的过程中主要选取三层交换机完成各项处理,通过核心交换机实现信息交互,其吞吐量大大提升,高校校园网安全性能得到本质上转变;
(2)汇聚层
汇聚层主要通过汇聚层交换机完成上下级交换机的互联,通过交换机汇聚节点完成信息的汇总、传输,将信息传递到核心层中。
(3)接入层
接入层主要采取二层智能可网管交换机,通过互联网将信息传输到网络结构中。
高校校园网信息内容较为庞大,各项大型计算机结构内容较为丰富,因此需要通过分层网络结构试下各部分内容的高效处理。
上述三层次网络结构拓扑结构简单,功能划分完善,系统协议互补,整体安全性非常高,与高校校园网安全需求相符合,对校园网建设具有非常好的促进作用。
3.2流量需求分析
作为人口高度集中区域,高校校园网用户数量非常庞大,小流量的校园网根本无法满足学生的使用需求,严重影响了高校校园网的使用效益。
尤其是在学生休息时间,这段时间学生多使用校园网查阅信息、看视频、听音乐等,网络流量需求大大上升,需要较大的校园网核心带宽和出口带宽。
但是当前部分校园网在建设的过程中并没有重视到流量的重要性,没有针对学生上网需求合理设置对应流量体系,这直接导致网络流量与学生需求无法匹配,造成校园网安全事件产生的可能性上升。
当高校校园网中的流量无法满足学生的需求时,许多学生经常通过和互联网获取相应资源,从而导致互联网的出口流量上升。
这种出口流量的上升造成校园网与不同网络系统之间的业务交流愈发频繁,导致校园网受到攻击的可能性极加大。
而在校园网内部流量充足时,学生可以直接通过校园网完成各项信息数据的获取,通过FTP、BBS等实现需求服务,整体效益较好。
因此在高校校园网安全设计的过程中要在校园网中学生流量需求的基础上提升核心带宽和出口带宽,适当提升校园网中的流量。
3.3保密控制需求分析
随着高校校园网安全建设的不断深入,人们对校园网内部的安全问题日益重视,对校园网安全策略、保密策略等控制内容的需求不断上升。
安全策略主要通过在安全区域中的各项内容进行控制,形成对应的活动规则。
上述规则通过网络内容进行联动控制,有效改善了安全网络联动的高效性、可靠性和安全质量,整体内部攻击引起的安全问题大幅降低;保密策略主要是通过对涉密文件和涉密信息的控制,通过各项技术手术和信息手段完成加密控制,从而保障机要信息不被外部获取或破坏,从而提升系统的安全性。
当前高校校园网中的系统安全和数据安全问题非常突出,各项安全病毒和黑客攻击日益加剧,校园网中的各项安全设置需要逐渐不断提升。
校园网要对数据内容进行强化控制,要从数据安全需求上对数据进行安全访问控制,从条例和设置上着手,形成不同层次的保密级别体系。
与此同时,校园网还要形成对应保密级别,形成分区域管理层次,保证各个保密区域能够完成高校校园网安全需求,形成对应安全体系结构。
高校校园网安全结构模型在设置的过程中需要以安全策略为核心,依照安全策略设置外层结构,通过防护、检测、响应、修复四大板块完成安全策略的实施,提升各项系统的安全性能,从本质上满足高校校园网安全需求。
上述系统通过动态循环实现了信息的保护,提升了PPDR模型对高校校园网安全系数改善的作用。
第四章网络安全关键技术
4.1防火墙技术
防火墙大多采用网络数据包过滤和网络服务代理的技术相结合的形式来保护网络不受攻击。
数据包过滤
数据包过滤技术是以数据包为单位在网络层对数据进行分析。
根据系统内设置的过滤规则,检查数据流中每一个数据包的源地址、目的地址、端口号、协议状态等因素进行过滤,或它们的组合来判断这些包是否来自可信任的网络,进而确定是否需对数据包进行处理和操作。
如图所示,数据过滤防火墙的实现制。
用户可以通过进行一些设置,通过设置规则,目的是为了过滤并区分哪些数
据是可以流入或流出内部网络,哪些数据需要拦截。
数据包过滤技术通过对IP
包的分析,可以在路由器、网桥、主机上对IP包的源地址、目的地址、封装协
议、端口号等进行筛选,包过滤技术可以有效地拒绝TCP或UDP应用程序在IP
层出入网络。
由于不能对数据包内的信息进行检查,所以不能识别具有非法信息
的数据包,无法进行应用层协议的安全处理。
应用层网关
应用层网关技术被称为第三代防火墙,它检查的对象是整个信息包,是在网络的应用层上实现协议过滤和转发功能。
它比数据包过滤技术能够更准确的判断数据包的信息,用更复杂的规则定义任何接受的信息包的合法性,同时边过滤边对数据包展开必要的分析、记录、统计,最后形成一份详细的报告。
如图2—2所示,应用层网关实现机制。
应用层网关无论工作在OSI模型的任何一层,都可以对进出的数据包进行检
查,通过网关复制并传递数据,避免与不受信任的主机间直接建立联系。
代理服务
代理服务是处理代表内部网络用户的外部服务器的程序。
代理服务器通过验证用户请求,然后才送到真正的服务器上,内部网络接收的是代理服务器传送的请求,但是不会接收对外部网络的直接请求。
所以说,代理服务器是一条纽带,发挥了转接的作用。
代理服务的工作过程是,先由代理服务器接收外部网络需要访问的申请,然后根据其服务器类型、服务内容、被服务对象以及申请者的域名范围、IP地址等因素,决定是否接受此项服务。
如果接受,代理服务器会向内部网络转发请求并把应答回送给申请者;否则,拒绝其请求。
如图2-3所示,代理服务器防火墙应用层数据的控制及传输。
状态检测
状态检测主要是针对数据包过滤功能进行拓展,把包过滤的快速性和代理的安全性很好地结合在一起。
传统的包过滤在用动态端口的协议时,会将所有可能用到的端口打开,这样的方法会给网络安全带来威胁。
状态检测通过检查应用程
序信息来判断什么端口需要临时打开,从而动态的打开响应端口,一旦数据连接
结束,该端口就会关闭。
状态检测防火墙不再仅仅检查进出网络的数据包,而是依靠网络层的检测模块维护一个状态连接表,把进出网络的数据当作事件来对待。
从截获的数据包中抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。
这种防火墙一旦发现任何连接的参数有意外的变化,该连接就被中止。
4.2计算机病毒防护技术
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒表面上是和普通应用或系统程序完全一样的,但是,当病毒程序被触发后可以在短时间内对应用软件或系统文件进行损坏,最终造成应用程序或系统陷入瘫痪,导致数据被修改及丢失。
大多数情况下,病毒不会单独存在于计算机中,基本上是依附在一些计算机程序及文件中,通过用户的激活来运行,破坏计算机系统的正常运行,它的目标就是毁坏数据、强占资源、影响计算机的正常运行。
计算机病毒具有可触发性、寄生性、传染性、潜伏性、隐蔽性、破坏性等特点。
防护计算机病毒的方法:
1.采用病毒防治
对于计算机病毒应该是以预防为主,软件查杀作为辅助的防治手段。
不随意使用他人的移动存储设备,不浏览不良网站、不阅读来历不明的邮件,定期进行系统备份。
2.安装使用杀毒软件
给计算机安装杀毒软件,并定期进行病毒库升级。
目前的杀毒软件一般由查毒、杀毒及病毒防火墙二部分组成。
但是杀毒软件具有被动性,杀毒软件只能查
杀己知的病毒或是己知病毒的变种,对未知病毒还不能查杀,且单一杀毒软件还
不能查杀所有病毒。
3.网络病毒的防治
工作站的防治:
采用软件防治,及时升级病毒库,经常利用杀毒软件检查系统;在工作站上安装硬件防病毒卡实现实时检测;在网络接口卡上安装防病毒芯
片,实现了工作站访问控制与病毒防护两种功能集成在一起,从而能更加有效及时地保护工作站。
不过,在实际应用中应该具体问题具体分析,依据网络的规模、数据传输的负荷来决定使用哪种方法。
服务器的防治:
服务器是计算机网络的核心,服务器瘫痪在某种程度意味着
网络的瘫痪。
目前服务器防病毒的方法大都采用装载模块防病毒,以提供实时扫
描病毒的能力。
也可以使用防毒卡片在服务器上来保护服务器避免病毒的破坏与
攻击,阻断病毒的传输路途。
加强网络的管理:
为了防治计算机上的网络病毒,不能单独的依靠科学技术
手段,也需要一些管理机制提高人们的网络病毒防范意识,便能保证计算机网络
的安全。
网络病毒的防治对网络安全的维护来说是非常重要的环节,完成好这一环节
最关键的要有严格的网络使用、管理制度,所以,每一个网络用户都要时刻保持
预防病毒的观念,提高预防病毒的意识,并利用快速发展的高科技,建立安全的
网络环境,保证网络的安全。
4.3入侵检测的实现
入侵检测主要通过对用户及系统活动进行监视和分析、系统构造和弱点的审
计、识别己知攻击的活动模式并提出报警、对异常行为模式进行统计分析、评估
系统和文件数据的完整性、操作系统的审计跟踪管理、识别用户违反安全策略的
行为等任务来实现的。
入侵检测的分类
基于主机的入侵检测系统(Host-basedIntrusionDetectionSystem,HIDS)。
这种系统可监测事件、系统和WindowsNT下的安全记录以及Unix环境下的系统
记录。
当有文件被修改或删减时,IDS将其与己知的攻击特征相比较,检测是否
匹配,若匹配,IDS就会发出报警或者作出响应。
基于主机的入侵检测通过定期
检查操作系统的审计、跟踪日志来发现异常的变化,某些也会主动与主机系统进
行交互以获得不存在于系统日志中的信息以检测入侵。
这种检测对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机
的可靠住,所能检测的攻击类型受限。
基于网络的入侵检测系统(Network-basedIntrusionDetectionSystem,
NIDS)。
它通常利用网卡来被动地监听网络上传输的原始流量,对获取的网络数
据进行处理,从中提取有用的信息,再通过使用统计分析、模式匹配等技术与己
知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
一旦系统检测
到了攻击行为,IDS的响应模块就做出报警、切断使用用户的网络连接等。
针对
不同的网络入侵检测系统,响应的方式也是不一样的,主要是包括切断连接、通
知管理员、记录相关的信息的方法。
分布式入侵检测系统。
许多网络安全解决方案都是在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,由于两种系统的互补性,可以同时分析来自主机系统的审计日志和来自网络的数据流。
实际上,许多用户在使用
IDS时都配置了基于网络的入侵检测,但是DNS、Email和Web服务器与Internet
外部网络进行交互经常是被攻击的目标,所以应在各个服务器上安装基于主机的
入侵检测系统。
因此,即便是小规模的网络也需要采用分布式入侵检测系统。
4.4安全扫描技术
网络安全技术中,还有一类重要技术为安全扫描技术。
安全扫描,又名脆弱性评估,主要是通过模拟黑客攻击的方式对本地或者远程系统安全脆弱性的扫描的技术,主要扫描的目标是可能存在的己知安全漏洞。
通过实行安全扫描技术,可以发现网络和主机存在的对外开放的端口、提供的服务、某些系统信息、错误的配置、已知的安全漏洞等。
所以说安全扫描技术能够有效的主动防御攻击,如果还应用入侵检测系统和防火墙技术,便能够为网络提供一个安全的应用环境,最后营造全方位的保护。
安全扫描主要有以下几方面的技术:
1.端口扫描技术
端口扫描技术,主要是通过对TCP/UDP的端口展开的安全扫描,由于TCP协议是面向连接的,针对TCP扫描方法比较多,扫描方法已经由一般探测逐渐发展到了躲避IDS和防火墙的高级扫描技术的阶段。
最开始对TCP端口的扫描方法是全连接的扫描,后来科学技术的高速发展,扫描方法也不断的改进,一些秘密扫描技术出现了,比如说TCPSYN扫描,便能躲避防火墙。
针对UDP端口的扫描方法相对较少,只有UDPICMP端口不可达扫描和利用socket函数xecvfrom和write来判断的扫描。
目前,端口扫描技术己经发展得非常丰富和完善。
端口扫描主要可分为开放扫描、半开放扫描、秘密扫描等。
2.操作系统检测技术
操作系统检测技术,通过向目标主机发送应用服务连接或访问目标主机开放的有关记录,探测出目标主机的操作系统的应用层探测技术以及TCP/IP堆栈特
征探测技术。
3.漏洞检测技术
漏洞检测就是主动地对系统中未知漏洞的检测和对己知漏洞的检测。
对未
知漏洞检测的目的在于发现软件系统中可能存在但尚未发现的漏洞。
己知漏洞的
检测主要是采用模拟黑客攻击的方式对工作站、服务器、交换机、数据库等各种
目标可能存在的己知安全漏洞进行逐项检测。
漏洞扫描技术是依据远程操作系统
识别技术、端口扫描技术发展而来,漏洞扫描技术主要通过特征匹配方法和插件
技术来检查目标主机是否存在漏洞。
4.5网络访问控制技术
网络接入控制也可称为网络访问控制,它是一种协议的集合,它的定义是在
节点访问网络之前可以确保网络以及节点的安全性的集合。
网络访问控制(简称
NAC)还集成了自动化的救治过程,允许路由器、交换机、防火墙等网络设备相
互协作,以保障服务器和终端用户在进行交互之前信息系统可以进行安全的操作。
NAC目标可分为以下三个部分:
1)降低零日攻击风险。
NAC方案的关键是防止网络资源被缺乏反病毒、补丁、主机入侵防御软件的终端访问,并阻止这种设备将其它计算机置于风险之中;2)增强策略。
NAC方案允许网络操作员定义策略,比如决定哪些种类的用户以及哪种计算机可以有权访问网络,并在交换机、路由器等网络设备中强化这些策略。
3)身份和访问管理。
NAC环境可以根据用户身份来增强安全,优于传
升级会员 