MAP协议与TNC架构是怎样的?
IF-MAP协议与TNC架构
在TNC1。2架构中,主要定义了网络终端设备接入时的准入控制框架、接口和相关协议,实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作,共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正,从而保证整个网络环境的安全可信。
框架中定义了3种实体(entity)、3个层次(layer)、7个组件(components),其中3个实体分别为:
接入请求者(Access Requester-AR):指运行于接入端点设备上的各种安全组件,用于完成端点设备各种安全状态信息的收集和提交接入认证请求;
策略执行者(Polic...全部
IF-MAP协议与TNC架构
在TNC1。2架构中,主要定义了网络终端设备接入时的准入控制框架、接口和相关协议,实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作,共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正,从而保证整个网络环境的安全可信。
框架中定义了3种实体(entity)、3个层次(layer)、7个组件(components),其中3个实体分别为:
接入请求者(Access Requester-AR):指运行于接入端点设备上的各种安全组件,用于完成端点设备各种安全状态信息的收集和提交接入认证请求;
策略执行者(Policy Enforcement Point-PEP):指完成端点设备接入网络的各种接入设备,包括802。
1x的交换机、防火墙、VPN网关等,主要完成接受端点接入请求信息,转发端点安全状态信息给后台策略服务器,并执行策略服务器下发的安全接入策略;
策略决策者(Policy Decision Point-PDP):指安全策略服务器,主要完成根据接入请求设备提交的安全状态信息执行平台完整性认证,并根据策略对其进行授权;
在TNC1。
2的体系结构中整合了端点安全系统、网络接入设备、AAA平台和策略管理平台,初步形成结构化的防御体系。但是,在这个架构中没有整合网络中的安全检测设备(如IDS)和安全控制设备(如内网防火墙、流控),这使得传统的网络安全防护手段与可信网络连接系统之间无法进行信息交互和共享,形成两种安全防御体系各自为战的局面。
正是为了解决这个问题,TNC工作组开发了IF-MAP协议,并升级了TNC架构。
在TNC1。3框架中,增加了两个实体:
元数据存取点(Metadata Access Point-MAP):指独立的元数据服务器,用于统一集中存储网络终端的各种安全状态信息、策略信息,构成网络中安全信息的交换平台;
网络行为控制和监控点(Flow Controllers Sensors, etc。
):指网络中部署的其他各种安全设备(比如IDS、防火墙、流量控制等),完成向MAP实时提交端点设备的动态安全信息,并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。
在新的架构中,TNC1。
2中的缺点被很好的弥补了,通过IF-MAP协议和MAP服务器在传统网络安全设备与TNC组件之间建立起了信息沟通桥梁和信息共享的平台,系统防御的整体性得到突出,防护效果倍增。下面通过一个实际应用场景分析来简要描述IF-MAP协议是如何完成这个功能。
收起