什么是终端防仿冒？终端防仿冒应用场景

什么是终端防仿冒？
终端防仿冒是一种终端检测和管控技术，它能够学习终端访问网络的流量特征并形成流量行为模型，借助流量行为模型识别仿冒终端，最终对识别出的仿冒终端自动下发隔离策略。

为什么需要终端防仿冒？

IP话机、IP摄像头和打印机等哑终端一般通过IP地址白名单或者MAC认证等安全性低的方式接入网络，并且通常缺乏定时查杀病毒的机制。因此非法终端容易仿冒终端的IP地址或MAC地址，并借此攻击网络。

为了避免IP话机、IP摄像头和打印机等终端引发此类问题，设备提供了终端防仿冒功能。终端防仿冒功能可以辅助管理员管理网络，实现对终端的信息管理、异常检测和异常管控，从而降低网络受到非法仿冒终端的风险。

终端防仿冒应用场景有哪些？

让我们看个例子，如下图所示，打印机、IP摄像头和IP话机等哑终端通过交换机接入网络。

非法终端容易仿冒哑终端的IP地址或MAC地址，并借此攻击网络。因此可以在接入交换机（如SwitchA和SwitchB）上部署终端防仿冒功能，识别仿冒终端并控制其网络访问权限。

终端防仿冒应用场景

终端防仿冒交互流程

下面以打印机这一类终端为例，说明使用终端防仿冒对终端实施信息管理、异常检测和隔离策略的过程。基本消息交互流程图如下图所示。

在整个过程中的基本消息交互流程如下：

1. 管理员在交换机上配置终端防仿冒功能。包括手动录入终端信息，全局使能终端异常检测功能，对终端开启异常检测功能和配置终端隔离策略。
2. 合法终端通过交换机接入网络，因此交换机接收到合法终端发送的ARP报文。交换机将管理员手动录入的终端信息与合法终端发送的ARP报文相比较。当二者能够匹配、且设备已经全局使能终端异常检测功能时，交换机会生成对应的终端表项。
3. 交换机识别合法终端符合终端异常检测的终端类型，因此采集该终端的流量行为特征，通过算法分析推理，最终判断终端的流量行为正常。
4. 一段时间后，仿冒终端冒充合法终端MAC地址或IP地址，通过交换机接入网络，企图攻击网络。
5. 交换机采集仿冒终端的流量行为特征，通过算法分析推理，判断终端的流量行为异常。交换机对仿冒终端执行终端隔离策略。仿冒终端被隔离，无法访问网络。