终端接入控制(网络准入控制),由CISCO 2002年提出的主动防御技术。通过身份认证、终端安全检查、访问控制等技术实现对接入网络的终端进行全面的安全检测,防止感染了病毒、木马、蠕虫或其他不合法终端接入网络。
终端接入控制主要目的是保证网络边界完整性,提升内网安全性。实现过程大致为三步:
- 当终端接入网络时,先与终端接入设备(如交换机)完成首次信息交换;
- 终端接入设备将终端信息发送至策略控制中心进行认证和检查;
- 策略控制中心将认证结果返回给终端接入设备,对终端进行放行、阻断或隔离。
常见的接入控制技术包括端口级接入控制:如802.1X、DHCP、SNMP、MVG,可以实现真正意义上的入网级控制;访问级控制级技术,如网关型等。访问级控制技术,是防火墙、上网行为管理等网关型产品实现的轻量级接入控制技术,可以对终端的外网访问行为进行控制,但无法实现端口级入网控制。