準入控制作為設備接入企業(yè)網(wǎng)絡(luò )的安全邊界，一直以來(lái)都是企業(yè)的安全基礎設施之一。簡(jiǎn)單的準入機制潛藏著(zhù)巨大的網(wǎng)絡(luò )安全隱患。如何正確處理用戶(hù)終端安全接入的問(wèn)題？這就需要基礎網(wǎng)絡(luò )提供必要且有效的安全認證機制。

作為近年來(lái)網(wǎng)絡(luò )信息安全行業(yè)準入控制領(lǐng)域備受關(guān)注的焦點(diǎn)之一，802.1X被越來(lái)越頻繁地提及，勢頭正旺。802.1X是什么？企業(yè)為什么需要802.1X？對于802.1X，哪些安全廠(chǎng)商走在了前面？今天，聯(lián)軟科技和大家好好聊一聊802.1X準入控制那些事。

802.1X準入認證是什么？

● 802.1X的由來(lái)

基于網(wǎng)絡(luò )安全風(fēng)險背景，由Cisco提出，遵循 IEEE標準，利用網(wǎng)絡(luò )基礎設施來(lái)實(shí)現終端設備和用戶(hù)合法合規接入企業(yè)網(wǎng)絡(luò )的方案，名為網(wǎng)絡(luò )準入控制（Network Admission Control，簡(jiǎn)稱(chēng) NAC）。802.1X是其中一種標準、一項準入控制技術(shù)。

802.1X是一種基于端口的網(wǎng)絡(luò )接入控制協(xié)議。

基于端口的網(wǎng)絡(luò )接入控制，是指在局域網(wǎng)接入設備的端口這一級對所接入的用戶(hù)設備進(jìn)行認證和控制。連接在端口上的用戶(hù)設備如果能通過(guò)認證，就可以訪(fǎng)問(wèn)局域網(wǎng)中的資源；如果不能通過(guò)認證，則無(wú)法訪(fǎng)問(wèn)局域網(wǎng)中的資源。

基于802.1X協(xié)議的用戶(hù)認證方式叫做802.1X認證。

802.1X認證被廣泛應用于用戶(hù)集中且對信息安全要求嚴格的場(chǎng)景中。

802.1X旨在解決局域網(wǎng)用戶(hù)的接入認證和安全方面的問(wèn)題。借助802.1X準入認證，企業(yè)可以只允許合法的、值得信任的終端設備（例如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò )，而不允許其它設備接入。

● 802.1X準入架構組件

802.1X采用標準AAA認證架構，分別由設備端，控制端、服務(wù)端和目錄服務(wù)器（如果有，如：AD/LDAP/郵箱）組成。

設備端與控制端采用EAP協(xié)議進(jìn)行認證和通信，認證報文采用UDP協(xié)議；控制端與服務(wù)端采用標準Radius協(xié)議進(jìn)行通信，認證報文采用UDP協(xié)議。

● 802.1X準入控制有何優(yōu)勢？

高兼容性：基于IEEE標準，所有符合IEEE標準的網(wǎng)絡(luò )設備都支持。

高安全性：在接入層階段實(shí)現對終端設備的接入控制，不符合安全標準無(wú)法接入網(wǎng)絡(luò )，真正實(shí)現對網(wǎng)絡(luò )邊界的保護，拓寬企業(yè)網(wǎng)絡(luò )安全邊界。

高靈活性：基于動(dòng)態(tài)授權對接入網(wǎng)絡(luò )的人員、設備進(jìn)行明確的網(wǎng)絡(luò )權限劃分。

企業(yè)為什么需要802.1X？

如今，網(wǎng)絡(luò )和信息安全形勢日趨嚴峻復雜，企業(yè)數字化轉型發(fā)展也被動(dòng)面臨著(zhù)越來(lái)越多不確定的、突發(fā)的、多樣的網(wǎng)絡(luò )安全攻擊風(fēng)險。不斷升級的高級持續性攻擊，使得企業(yè)原有的安全邊界不斷被突破。準入控制作為主要保障使用企業(yè)網(wǎng)絡(luò )基礎設施的安全問(wèn)題，首當其沖。

與此同時(shí)，特別是對于中大型企業(yè)來(lái)說(shuō)，終端類(lèi)型多樣數量激增，終端管理任務(wù)重難度大成本高。

在這樣的大背景下，更靈活的動(dòng)態(tài)識別、認證、訪(fǎng)問(wèn)控制等成為了企業(yè)最為關(guān)注的核心訴求。出于安全功能要求、自身安全要求、安全保證要求以及降本增效等諸多因素考慮，基于角色的控制訪(fǎng)問(wèn)，安全性更高的802.1X準入認證，毫無(wú)意外成為了很多對網(wǎng)絡(luò )及信息安全要求嚴格的企業(yè)的首選。

同時(shí)，802.1X協(xié)議為二層協(xié)議，不需要到達三層，可以有效降低建設成本。

特別是在防泄密需求推動(dòng)下，基于802.1X NAC成為基礎設施的基本要求，成為越來(lái)越多企業(yè)的剛需。

關(guān)于802.1X，誰(shuí)走在前面？強在哪？

作為全球較早的網(wǎng)絡(luò )準入控制廠(chǎng)商之一、中國網(wǎng)絡(luò )準入控制市場(chǎng)的開(kāi)創(chuàng )者與引領(lǐng)者，聯(lián)軟科技深耕網(wǎng)絡(luò )安全行業(yè)，一直堅持做創(chuàng )新引領(lǐng)者而不是追隨者。

早在2006年，聯(lián)軟率先在國內業(yè)界實(shí)現了基于802.1X和EOU網(wǎng)絡(luò )準入控制產(chǎn)品，可以與思科、華為等主流品牌的網(wǎng)絡(luò )設備很好的聯(lián)動(dòng)。同時(shí)，聯(lián)軟在2008年發(fā)布硬件網(wǎng)絡(luò )準入控制器并在業(yè)界首創(chuàng )了準旁路式部署。

聯(lián)軟的UniNAC網(wǎng)絡(luò )準入控制系統經(jīng)過(guò)近20年研發(fā)更新迭代，是網(wǎng)絡(luò )級端點(diǎn)安全領(lǐng)域的專(zhuān)業(yè)解決方案，現已為眾多大型機構的網(wǎng)絡(luò )安全、終端管理、信息安全管理提供直接支撐，擁有中國500多家金融機構最佳實(shí)踐，是市場(chǎng)保有量更多的NAC產(chǎn)品，決策風(fēng)險與TCO更低。

為更好保障企業(yè)安全性，聯(lián)軟UniNAC網(wǎng)絡(luò )準入控制系統采用國際標準協(xié)議802.1X來(lái)實(shí)現到交換機端口級別的強準入認證強管控，支持Windows、macOS、Linux、iOS、Android等各種終端的802.1X協(xié)議，實(shí)現對所有接入網(wǎng)絡(luò )的終端進(jìn)行身份驗證、合規檢查、安全檢查等。

目前，聯(lián)軟科技802.1X技術(shù)的獨特點(diǎn)與優(yōu)勢主要表現為以下幾大方面：

●業(yè)內網(wǎng)絡(luò )設備對接兼容性更廣、實(shí)施案例更多的準入廠(chǎng)商，具備大量替換各類(lèi)主流品牌準入產(chǎn)品的能力和兼容性；可以對華為、思科交換機直接下發(fā)ACL內容，無(wú)需在交換機預先配置ACL，并且支持RABC的最小訪(fǎng)問(wèn)控制，可實(shí)現VLAN、ACL與個(gè)人用戶(hù)或部門(mén)組關(guān)聯(lián)下發(fā)。

●支持SDN網(wǎng)絡(luò )架構適應未來(lái)發(fā)展：國內較早支持SDN網(wǎng)絡(luò )環(huán)境適配的準入廠(chǎng)商，支持思科、華為等主流網(wǎng)絡(luò )廠(chǎng)商SDN環(huán)境，在SDN網(wǎng)絡(luò )中，聯(lián)軟實(shí)現終端的身份認證及入網(wǎng)安全基線(xiàn)檢查，終端的訪(fǎng)問(wèn)控制策略由終端的用戶(hù)身份標簽實(shí)現，與IP地址解耦合。

●可靠性設計優(yōu)異：提供業(yè)內更高標準的6重高可用機制保障，大大減少因為部署準入系統而帶來(lái)的斷網(wǎng)故障。獨有的智能熔斷機制，當人員誤操作情況而導致終端無(wú)法正常入網(wǎng)。

●超前的一體化平臺設計理念：實(shí)現一個(gè)客戶(hù)端，一個(gè)平臺，可以做到網(wǎng)絡(luò )準入控制、桌面安全管理、 信息防泄露等領(lǐng)域，包含網(wǎng)絡(luò )準入控制、主機監控審計、桌面管理、補丁管理、安全管理、終端行為管理等功能的一體化、全方位的終端安全解決方案。

●智能幻影防入侵：基于聯(lián)軟獨創(chuàng )的幻影技術(shù)，支持自動(dòng)或手動(dòng)幻影出與真實(shí)在線(xiàn)設備一致的設備類(lèi)型和數量，大規模輕量誘捕+動(dòng)態(tài)引流到蜜罐重度誘捕進(jìn)行聯(lián)動(dòng)，同時(shí)在真實(shí)終端注入面包屑誘餌，發(fā)現入侵者惡意訪(fǎng)問(wèn)幻影設備立即告警或者阻斷。

此外，對于部分網(wǎng)絡(luò )環(huán)境因交換機不支持802.1X的，UniNAC可采用網(wǎng)關(guān)型準入控制技術(shù)，如策略路由和鏡像技術(shù)作為過(guò)渡，待后續交換機更換或升級后再落實(shí)802.1X強管控。

作為新一代的智能化網(wǎng)絡(luò )準入控制系統，UniNAC 提倡直接與網(wǎng)絡(luò )設備聯(lián)動(dòng)實(shí)現網(wǎng)絡(luò )準入控制，以實(shí)現優(yōu)秀的網(wǎng)絡(luò )安全性、可靠性和組網(wǎng)靈活性，目前能直接聯(lián)動(dòng)的網(wǎng)絡(luò )設備型號達數百種。通過(guò)與網(wǎng)絡(luò )設備聯(lián)動(dòng)及聯(lián)軟NACC準入控制器配合，UniNAC 能解決各種復雜環(huán)境下的網(wǎng)絡(luò )準入控制問(wèn)題，在無(wú)線(xiàn)接入（員工、訪(fǎng)客）、有線(xiàn)網(wǎng)絡(luò )、遠程接入等場(chǎng)景中有著(zhù)廣泛運用。

802.1X NAC + SDP

——強強聯(lián)合下的全網(wǎng)零信任安全管理解決方案

——大規模成功實(shí)踐 代表客戶(hù)：交通銀行、郵儲銀行、光大銀行、中國銀聯(lián)、中國移動(dòng)、格力電器......

相較于以網(wǎng)絡(luò )為中心的準入控制，零信任則是以企業(yè)資源為中心。但兩者理念與零信任相似，都是默認不相信任何設備，必須進(jìn)行嚴格校驗后，才允許接入。所以?xún)烧叨加猩矸菪ｒ?、環(huán)境感知、信任評估、動(dòng)態(tài)最小授權等環(huán)節，嚴格上來(lái)講這些環(huán)節有重復的部分，在具體的落地過(guò)程中肯定要考慮如何統一，以便給用戶(hù)更好的體驗和更低的性能成本。

從企業(yè)網(wǎng)絡(luò )安全角度來(lái)看，兩者解決的問(wèn)題并不沖突，準入控制主要保障使用企業(yè)網(wǎng)絡(luò )基礎設施的安全問(wèn)題，零信任主要解決訪(fǎng)問(wèn)企業(yè)資源的安全問(wèn)題，所以Google的零信任實(shí)踐項目BeyondCrop在企業(yè)網(wǎng)中的第一步也是準入控制（802.1X）。

 BeyondCrop組件和訪(fǎng)問(wèn)流程

數字化轉型大潮下，企業(yè)在基礎IT架構中引入了上云服務(wù)、移動(dòng)計算等熱點(diǎn)技術(shù)，內網(wǎng)外網(wǎng)的物理邊界逐步消失，木馬病毒迭代速度也急速加快，終端數量巨大呈指數級增長(cháng)。

如何捍衛企業(yè)安全邊界？如何實(shí)現更靈活的動(dòng)態(tài)識別、認證、訪(fǎng)問(wèn)控制？如何實(shí)現終端的高效實(shí)時(shí)管控？這些安全問(wèn)題都備受關(guān)注。保障企業(yè)業(yè)務(wù)系統訪(fǎng)問(wèn)的安全性，首先需要統一加強接入終端的安全建設水平。

隨著(zhù)市場(chǎng)及需求的升級、零信任理念逐漸成熟、云計算持續發(fā)展，面對不斷升級的新興技術(shù)、需求及應用場(chǎng)景，在此契機下，聯(lián)軟充分發(fā)揮802.1X在應對終端安全等領(lǐng)域中的獨特優(yōu)勢和價(jià)值作用，推出了基于零信任理念的全網(wǎng)零信任安全管理解決方案。

全網(wǎng)零信任安全管理解決方案主要采用“802.1X NAC + SDP”技術(shù)結合的方式，以“持續驗證，永不信任”為原則，圍繞接入、身份、設備、應用以及數據五要素打造企業(yè)新安全體系。

聯(lián)軟科技全網(wǎng)零信任解決方案融合了SDP軟件定義邊界、NAC準入安全、NXG數據安全交換、EMM移動(dòng)安全、EPP端點(diǎn)安全、EDR終端檢測與響應、DLP數據安全等功能。通過(guò)一套平臺、一個(gè)客戶(hù)端集成了接入安全、端點(diǎn)安全、數據安全的能力，全面針對不同身份、不同設備類(lèi)型、不同操作系統、不同接入場(chǎng)景、不同的數據外發(fā)方式進(jìn)行管控，實(shí)現不同資源細粒度的訪(fǎng)問(wèn)控制。

用戶(hù)只需要采購與安裝、部署一套系統即可實(shí)現全網(wǎng)各種終端的零信任安全接入，并可對移動(dòng)端和PC端進(jìn)行統一管理，并且用戶(hù)可根據企業(yè)實(shí)際需求選擇方案具體的應用場(chǎng)景，基于一套平臺、一個(gè)客戶(hù)端，可快速擴展，無(wú)需重復建設，同時(shí)提高運維和管理效率，實(shí)現降本增效。

全網(wǎng)零信任安全管理解決方案，被視為防泄密和防勒索病毒方案的基礎方案。該方案實(shí)現了比肩Google BeyondCorp零信任方案的安全效果，并且在實(shí)際應用場(chǎng)景中更契合國內安全市場(chǎng)需求，為企業(yè)構建新一代的安全體系，代表客戶(hù)包括交通銀行、郵儲銀行、光大銀行、中國銀聯(lián)、中國移動(dòng)、格力電器等。

做強做優(yōu)，探索技術(shù)發(fā)展新方向

作為全球較早的網(wǎng)絡(luò )準入控制廠(chǎng)商之一、中國企業(yè)端點(diǎn)安全領(lǐng)域的領(lǐng)導者、中國UEM統一終端管理領(lǐng)域領(lǐng)導者、國產(chǎn)自主可控的網(wǎng)絡(luò )安全新基建領(lǐng)軍廠(chǎng)商，國內率先落地基于“零信任安全”產(chǎn)品的廠(chǎng)商之一，聯(lián)軟持續關(guān)注市場(chǎng)發(fā)展和客戶(hù)需求，在關(guān)鍵核心技術(shù)創(chuàng )新上不斷發(fā)力，不斷加快推進(jìn)802.1X等技術(shù)成果轉化應用，引領(lǐng)行業(yè)探索技術(shù)發(fā)展新方向。

目前，聯(lián)軟科技已為金融、制造業(yè)、運營(yíng)商、政府、醫療、能源等行業(yè)客戶(hù)實(shí)施部署了基于802.1X強準入認證技術(shù)的UniNAC網(wǎng)絡(luò )準入控制系統，聯(lián)軟的ESPP各子系統以及以全網(wǎng)零信任安全管理為代表的系列解決方案，已經(jīng)為3000多家行業(yè)企業(yè)提供持續創(chuàng )新的網(wǎng)絡(luò )安全解決方案和技術(shù)服務(wù)。

強者愈強，勢頭正旺的802.1X，在構建網(wǎng)絡(luò )安全新基建中正發(fā)揮越來(lái)越突出的重要作用。聯(lián)軟也將堅持技術(shù)創(chuàng )新，引領(lǐng)行業(yè)技術(shù)先機，開(kāi)辟更多新領(lǐng)域新賽道，為促進(jìn)政企數字化建設提供有力保障。