終端防仿冒是一種終端檢測和(hé)管控技術,它能(néng)夠學習終端訪問網絡的流量特征并形成流量行爲模型,借助流量行爲模型識别仿冒終端,最終對(duì)識别出的仿冒終端自(zì)動下(xià)發隔離策略。
終端防仿冒的目的
IP話(huà)機、IP攝像頭和(hé)打印機等啞終端一般通過IP地址白(bái)名單或者MAC認證等安全性低(dī)的方式接入網絡,并且通常缺乏定時(shí)查殺病毒的機制。因此非法終端容易仿冒終端的IP地址或MAC地址,并借此攻擊網絡。
爲了(le)避免IP話(huà)機、IP攝像頭和(hé)打印機等終端引發此類問題,設備提供了(le)終端防仿冒功能(néng)。終端防仿冒功能(néng)可以輔助管理(lǐ)員管理(lǐ)網絡,實現(xiàn)對(duì)終端的信息管理(lǐ)、異常檢測和(hé)異常管控,從(cóng)而降低(dī)網絡受到(dào)非法仿冒終端的風(fēng)險。
對(duì)于說明(míng)使用(yòng)終端防仿冒對(duì)終端實施信息管理(lǐ)、異常檢測和(hé)隔離策略的過程,以打印機終端爲例,基本交互流程圖如下(xià)所示:
.png)
終端防仿冒交互流程示意圖
1.管理(lǐ)員在交換機上(shàng)配置終端防仿冒功能(néng)。包括手動錄入終端信息,全局使能(néng)終端異常檢測功能(néng),對(duì)終端開(kāi)啓異常檢測功能(néng)和(hé)配置終端隔離策略。
2.合法終端通過交換機接入網絡,因此交換機接收到(dào)合法終端發送的ARP報(bào)文(wén)。交換機将管理(lǐ)員手動錄入的終端信息與合法終端發送的ARP報(bào)文(wén)相比較。當二者能(néng)夠匹配、且設備已經全局使能(néng)終端異常檢測功能(néng)時(shí),交換機會(huì)生成對(duì)應的終端表項。
3.交換機識别合法終端符合終端異常檢測的終端類型,因此采集該終端的流量行爲特征,通過算(suàn)法分析推理(lǐ),最終判斷終端的流量行爲正常。
4.仿冒終端冒充合法終端MAC地址或IP地址,通過交換機接入網絡,企圖攻擊網絡。
5.交換機采集仿冒終端的流量行爲特征,通過算(suàn)法分析推理(lǐ),判斷終端的流量行爲異常。交換機對(duì)仿冒終端執行終端隔離策略。仿冒終端被隔離,無法訪問網絡。
.png)