終端防仿冒是一(yī)種終端檢測和管控技術,它能夠學習終端訪問網絡的流量特征并形成流量行爲模型,借助流量行爲模型識别仿冒終端,最終對識别出的仿冒終端自動下(xià)發隔離(lí)策略。
終端防仿冒的目的
IP話(huà)機、IP攝像頭和打印機等啞終端一(yī)般通過IP地址白(bái)名單或者MAC認證等安全性低的方式接入網絡,并且通常缺乏定時查殺病毒的機制。因此非法終端容易仿冒終端的IP地址或MAC地址,并借此攻擊網絡。
爲了避免IP話(huà)機、IP攝像頭和打印機等終端引發此類問題,設備提供了終端防仿冒功能。終端防仿冒功能可以輔助管理員(yuán)管理網絡,實現對終端的信息管理、異常檢測和異常管控,從而降低網絡受到非法仿冒終端的風險。
對于說明使用終端防仿冒對終端實施信息管理、異常檢測和隔離(lí)策略的過程,以打印機終端爲例,基本交互流程圖如下(xià)所示:
終端防仿冒交互流程示意圖
1.管理員(yuán)在交換機上配置終端防仿冒功能。包括手動錄入終端信息,全局使能終端異常檢測功能,對終端開(kāi)啓異常檢測功能和配置終端隔離(lí)策略。
2.合法終端通過交換機接入網絡,因此交換機接收到合法終端發送的ARP報文。交換機将管理員(yuán)手動錄入的終端信息與合法終端發送的ARP報文相比較。當二者能夠匹配、且設備已經全局使能終端異常檢測功能時,交換機會生(shēng)成對應的終端表項。
3.交換機識别合法終端符合終端異常檢測的終端類型,因此采集該終端的流量行爲特征,通過算法分(fēn)析推理,最終判斷終端的流量行爲正常。
4.仿冒終端冒充合法終端MAC地址或IP地址,通過交換機接入網絡,企圖攻擊網絡。
5.交換機采集仿冒終端的流量行爲特征,通過算法分(fēn)析推理,判斷終端的流量行爲異常。交換機對仿冒終端執行終端隔離(lí)策略。仿冒終端被隔離(lí),無法訪問網絡。