準入控制NAC概述

隨著(zhù)計算機技術(shù)和網(wǎng)絡(luò )通信技術(shù)的發(fā)展、應用的日趨復雜，計算機終端已不再是傳統意義上我們所理解的“終端”，它不僅是網(wǎng)線(xiàn)所連接的PC，還包括手機、PAD等各類(lèi)新式的移動(dòng)設備。這些形形色色的終端給信息安全工作帶來(lái)了巨大挑戰：類(lèi)型眾多，以各種方式接入；并且是大部分事物的起點(diǎn)和源頭：是用戶(hù)登錄并訪(fǎng)問(wèn)網(wǎng)絡(luò )的起點(diǎn)、是用戶(hù)訪(fǎng)問(wèn)Internet的起點(diǎn)、是應用系統訪(fǎng)問(wèn)和數據產(chǎn)生的起點(diǎn)、更是病毒攻擊、從內部發(fā)起惡意攻擊和內部保密數據盜用或失竊的源頭。因此，終端安全管理對每個(gè)企業(yè)來(lái)說(shuō)都極其重要，只有通過(guò)完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內網(wǎng)發(fā)起的攻擊和破壞。

在內網(wǎng)安全管理中，準入控制是所有終端管理功能實(shí)現的基礎所在，采用準入控制技術(shù)能夠主動(dòng)監控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦隔離、進(jìn)行修復。準入控制技術(shù)與傳統的網(wǎng)絡(luò )安全技術(shù)如防火墻、防病毒技術(shù)結合，將被動(dòng)防御變?yōu)橹鲃?dòng)防御，能夠有效促進(jìn)內網(wǎng)合規建設，減少網(wǎng)絡(luò )事故。

常見(jiàn)的網(wǎng)絡(luò )準入控制技術(shù)

網(wǎng)關(guān)準入控制

在接入終端和網(wǎng)絡(luò )資源(如：服務(wù)器/互聯(lián)網(wǎng)出口)之間，設置一個(gè)網(wǎng)關(guān)，終端只有通過(guò)網(wǎng)關(guān)的驗證和檢查后，才能訪(fǎng)問(wèn)網(wǎng)關(guān)后面的資源；實(shí)際上網(wǎng)關(guān)準入控制只是防火墻功能的一個(gè)擴展，可以認為是網(wǎng)絡(luò )準入控制中的一種特殊形式，絕大多少傳統的防火墻廠(chǎng)商都提供該類(lèi)解決方案。

注：

1、Cisco NAC的NAC-L3-IP解決方案可以用路由器作為網(wǎng)關(guān)完全替代網(wǎng)關(guān)準入控制解決方案；

2、NACC的串行模式也可以完全替代網(wǎng)關(guān)準入控制解決方案。

802.1x準入控制

802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò )接入控制協(xié)議?；诙丝诘?a href="/doc/article/1085.html" target="_blank" rel="noopener">網(wǎng)絡(luò )接入控制，是指在局域網(wǎng)接入設備的端口這一級對所接入的用戶(hù)設備進(jìn)行認證和控制。連接在端口上的用戶(hù)設備如果能通過(guò)認證，就可以訪(fǎng)問(wèn)局域網(wǎng)中的資源；如果不能通過(guò)認證，則無(wú)法訪(fǎng)問(wèn)局域網(wǎng)中的資源，支持多網(wǎng)絡(luò )廠(chǎng)商，可在網(wǎng)絡(luò )交換機和無(wú)線(xiàn)AP上實(shí)現。

802.1X認證系統使用EAP來(lái)實(shí)現客戶(hù)端、設備端和認證服務(wù)器之間認證信息的交換。在客戶(hù)端與設備端之間，EAP協(xié)議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中；在設備端與RADIUS服務(wù)器之間，可以使用兩種方式來(lái)交換信息：一種是EAP協(xié)議報文由設備端進(jìn)行中繼，使用EAPOR封裝格式承載于RADIUS協(xié)議中；另一種是EAP協(xié)議報文由設備端進(jìn)行終結，采用包含PAP或CHAP屬性的報文與RADIUS服務(wù)器進(jìn)行認證交互。

Cisco EOU準入控制

Cisco EOU架構的特點(diǎn)：與網(wǎng)絡(luò )設備緊密集成的準入控制；多種類(lèi)型的網(wǎng)絡(luò )設備均支持準入控制；接入認證統一用Radius來(lái)控制，擴展、管理方便；Cicso EOU是一個(gè)準入控制架構平臺，目的是讓其它廠(chǎng)商在此平臺上構建用戶(hù)的桌面安全管理系統；Cisco EOU本身不提供準入控制以外的功能與特性，例如：補丁管理、軟件分發(fā)等。Cisco EOU實(shí)現準入控制的三種方式：NAC-L2-802.1x，NAC-L2-IP，NAC-L3-IP

Leagsoft NACC準入控制

NACC是聯(lián)軟科技擁有自主知識產(chǎn)權的硬件準入控制設備，基于EAP over UDP協(xié)議，專(zhuān)為解決非802.1X網(wǎng)絡(luò )環(huán)境下的網(wǎng)絡(luò )準入控制問(wèn)題。NACC有兩種工作模式。

第一種，策略路由模式：

策略路由是一種比基于目標網(wǎng)絡(luò )進(jìn)行路由更加靈活的數據包路由轉發(fā)機制。應用了策略路由，路由器將通過(guò)路由圖決定如何對需要路由的數據包進(jìn)行處理，路由圖決定了一個(gè)數據包的下一跳轉發(fā)路由器。

第二種，端口鏡像模式：

端口鏡像（portMirroring)把交換機一個(gè)或多個(gè)端口（VLAN）的數據鏡像到一個(gè)或多個(gè)端口的方法。

NACC為了解決非802.1X網(wǎng)絡(luò )環(huán)境準入，適用如下場(chǎng)景：

1、接入層網(wǎng)絡(luò )環(huán)境復雜，HUB設備數量多且不易管理；

2、網(wǎng)絡(luò )交換機只支持端口鏡像環(huán)境；

3、支持企業(yè)VPN接入；支持無(wú)線(xiàn)、有線(xiàn)等復雜網(wǎng)絡(luò )環(huán)境；

4、支持特殊網(wǎng)絡(luò )環(huán)境：MPLS VPN多域；

5、支持一臺設備同時(shí)支持多個(gè)隔離網(wǎng)接入；

6、支持NAT接入檢測。

--------以下技術(shù)，只是Agent強制安裝技術(shù)，不屬于真正的準入控制技術(shù)----------

DHCP準入控制

終端連接到網(wǎng)絡(luò )時(shí)，DHCP服務(wù)器給終端分配一個(gè)臨時(shí)的IP和路由，使得終端只能訪(fǎng)問(wèn)有限的資源，終端通過(guò)安全檢查之后，重新獲取一個(gè)IP，此時(shí)可以正常訪(fǎng)問(wèn)網(wǎng)絡(luò )，DHCP類(lèi)型不是真正意義上的準入控制，Microsoft的NAP最初采用此解決方案，NAP后來(lái)又支持802.1x, IPsec等。

ARP干擾準入控制

通過(guò)ARP干擾實(shí)現準入控制，制造IP地址沖突，技術(shù)實(shí)現簡(jiǎn)單；利用了ARP協(xié)議本身的一些缺陷，終端可以通過(guò)自行設置本機的路由、ARP映射等繞開(kāi)ARP準入控制；無(wú)需調整網(wǎng)絡(luò )結構，需要在每個(gè)網(wǎng)段設置ARP干擾器；過(guò)多的ARP廣播包會(huì )給網(wǎng)絡(luò )帶來(lái)諸多性能、故障問(wèn)題，國內部分小廠(chǎng)商支持，適合小型網(wǎng)絡(luò )。

常見(jiàn)的網(wǎng)絡(luò )準入控制技術(shù)對比表

聯(lián)軟準入控制與其他廠(chǎng)商的對比

選擇聯(lián)軟準入控制，不單是做設備入網(wǎng)的接入管控，更是搭建一個(gè)全方位安全防護體系的基礎，在技術(shù)高速發(fā)展和業(yè)務(wù)靈活多變的今天，讓選擇更有選擇！