終端接入控制(網絡准入控制),由CISCO 2002年提出的主動防御技術。通過身份認證、終端安全檢查、訪問控制等技術實現對接入網絡的終端進行全面的安全檢測,防止感染了病毒、木馬、蠕蟲或其他不合法終端接入網絡。
終端接入控制主要目的是保證網絡邊界完整性,提升內網安全性。實現過程大致為三步:
- 當終端接入網絡時,先與終端接入設備(如交換機)完成首次信息交換;
- 終端接入設備將終端信息發送至策略控制中心進行認證和檢查;
- 策略控制中心將認證結果返回給終端接入設備,對終端進行放行、阻斷或隔離。
常見的接入控制技術包括端口級接入控制:如802.1X、DHCP、SNMP、MVG,可以實現真正意義上的入網級控制;訪問級控制級技術,如網關型等。訪問級控制技術,是防火牆、上網行為管理等網關型產品實現的輕量級接入控制技術,可以對終端的外網訪問行為進行控制,但無法實現端口級入網控制。