网络准入控制的介绍

1. 网络准入控制的介绍

网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

2. 网络准入控制的常见方法

通常有4种准入控制：a.802.1x准入控制802.1x的准入控制的优点是在交换机支持802.1x协议的时候，802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机，必须重新更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法对终端进行准入控制。b.DHCP准入控制DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。c.网关型准入控制网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制，而只是对终端出外网进行了控制。同时，网关型准入控制会造成出口宕掉的瓶颈效应。d.MVG准入控制其前身是思科公司的VG（虚拟网关）技术。但是该技术仅能支持思科公司相关设备。受该技术的启发，国内某些公司开发了MVG（多厂商虚拟网关）技术。该技术可以支持目前市场上几乎所有的交换机设备。　　e.ARP型准入控制ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。

3. 网络准入控制的常见方法

网络准入控制的方法有很多，最常用的有以下几个：
DHCP网络准入应用控制
准入系统接入到网络内部后，在核心位置上启动DHCP服务, DHCP服务有静态地址池，和动态地址池，管理人员可以预先设定静态地址池中的IP资源以及对应的MAC地址，当有终端接入后，根据终端的MAC地址，准入系统会自动分配相关的IP地址资源；对于未预先分配过IP地址中的终端，管理员可以设置从动态IP地址池进行相关的IP资源分配，也可以手动根据终端的MAC地址进行IP地址分配。
系统也可以展示全网的IP地址占用情况，管理人员可以对于网络中的整体IP地址资源进行实时掌握。通过DHCP准入方式可以安全的对于终端计算机IP地址使用进行准入管理，在链路层做到了对于接入终端的隔离，真正做到了不经管理员认证，不能接入到内部网络。
802.1X网络准入控制
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。
网络准入控制系统终端集成了802.1X客户端，终端接入网络时，如未安装准入客户端，则不能接入网络。当成功安装准入终端后，准入终端会进行拨号，准入设备会进行认证，认证通过后，终端可以接入网络了。
合规则入网，不合规不入网
在终端接入网络之前，计算机会被要求下载客户端进行相关的安全检测，检测内容包括，操作系统信息、杀毒软件运行情况、黑名单进程、必须运行的进程、域环境检测等多种检测类目，并根据检测结果来判定是否允许终端入网，充分做到合规则入网，不合规不入网。
Portal认证模式
针对新接入的计算机系统提供了多重认证模式，包括用户名/密码认证、U-Key认证、手机短信认证、动态码认证等模式。管理员可以设备针对不同的用户形态使用不同的认证方式等。针对来访人群接入网络，系统提供了访客模式，来访者填入相关的入网申请信息，管理者审批通过后，终端计算机则可入网。
高可用双机热备方案
本次安秉信息科技为用户内网准入管理项目所推荐采用的网络准入设备支持稳定的主备冗余功能，在办公网中各部署的2台网络准入设备能够完全支持数据库同步、双机保活、宕机后自动切换备机等标准的主备冗余功能。双机冗余示意图如下：
 
利用网络准入协议本身的特性，能够支持对多个认证服务器的判断，因此安秉信息科技针对本次准入项目设计的网络准入双机主备方案能够充分满足准入协议本身的应急机制，在主网络准入宕机的情况下，通过协议本身的智能判断迅速切换到备机网络准入，由备机网络准入接管准入系统，保证系统的正常运行。
同时安秉信息科技的高可用性（HA）功能也支持双机冗余情况下，备网络准入能够及时检测到主网络准入设备的宕机事故，从而主动接管网络，确保用户的网络可用性。

4. 网络准入控制的需求与挑战

 准入控制能够在用户访问网络之前确保用户的身份是信任关系。但是，识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略，用户有权进入网络，但是他们所使用的计算机可能不适合接入网络，为什么会出现这种情况？因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率，但是，这也会产生一定的问题：这些计算设备很容易在外部感染病毒或者蠕虫，当它们重新接入企业网络的时候，就会将病毒等恶意代码在不经意之间带入企业环境。瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作，造成停机，业务中断和不断地打补丁。利用网络准入控制，企业能够减少病毒和蠕虫对企业运作的干扰，因为它能够防止易损主机接入正常网络。在主机接入正常网络之前，NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。 NAC的主要优点包括：a. 控制范围大——它能够检测主机用于与网络连接的所有接入方法，包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入；b. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起，对终端准入进行主机健康检查。c.控制力度强——通常采用在网络层面上的隔离、修复区方法。在终端接入网络访问业务数据之前就可以进行相应的控制。

5. 网络准入控制的展望

随着网络应用的普及和云计算的兴起，网络准入控制会变得越来越重要。网络准入控制对保证网络边界完整，进行访问控制会起到重要的作用。

6. 网络准入的功能

1.用户身份认证从接入层对访问的用户进行最小授权控制，根据用户身份严格控制用户对内部网络访问范围，确保企业内网资源安全。2.终端完整性检查通过身份认证的用户还必须通过终端完整性检查，查看连入系统的补丁、防病毒等功能是否已及时升级，是否具有潜在安全隐患。3.终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入，并强制引导移至隔离修复区，提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。4.非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问，降低非法终端对内网进行攻击、窃密等安全威胁，从而确保内部网络的安全。5.接入强制技术支持几乎所有的网络接入强制技术，如： 802.1X、DNS代理、防火墙、CISCO EOU、H3C Portal、VPN等，实现从网络层到系统层接入的全面、深度控制，有效拒绝未知设备接入。

7. 网络准入的介绍

网络准入这一概念是由思科发起、后续由华为、联软、北信源等多家厂商根据此概念，基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基础上进行自主研发的一门新兴技术。其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害，为企业建设一套网络安全体系。

8. 准入控制的技术介绍

网络准入控制技术通常包括：802.1x准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入。 portal型准入控制是兼容性相对比较好的一种控制手段，最利用交换机端口重定向（既：http重定向）的手段进行身份认证。这种方式不需要考虑客户网络的情况进行部署的，只要下面的终端能与设备进行通讯就没有问题。