歷史巨輪：NAC誕生

計算機高速發(fā)展過(guò)程中，網(wǎng)絡(luò )內出現越來(lái)越多的0day攻擊，此時(shí)迫切需要一種技術(shù)可以對非法的電腦做網(wǎng)絡(luò )隔離，并能在網(wǎng)絡(luò )中自動(dòng)定位出有問(wèn)題的電腦，進(jìn)一步對這些電腦做安全修復，最早的網(wǎng)絡(luò )準入控制技術(shù)應景而生。

在2003年，當時(shí)全世界最大的網(wǎng)絡(luò )廠(chǎng)商Cisco提出NAC技術(shù)與SDN(自防御網(wǎng)絡(luò ))概念，并形成了網(wǎng)絡(luò )準入控制技術(shù)框架，隨后，Microsoft、Juniper等網(wǎng)絡(luò )大廠(chǎng)也分別發(fā)布相應的產(chǎn)品與解決方案，到了2006年，網(wǎng)絡(luò )準入控制市場(chǎng)發(fā)展迅猛，當年NAC被國內外媒體稱(chēng)為繼防火墻之后最大的網(wǎng)絡(luò )安全市場(chǎng)熱點(diǎn)。

NAC首創(chuàng )者：Cisco

思科是網(wǎng)絡(luò )準入控制技術(shù)的提出者，Cisco NAC網(wǎng)絡(luò )準入控制技術(shù)的演進(jìn)過(guò)程如下所示：

Cisco NAC 1.0：解決網(wǎng)絡(luò )隔離問(wèn)題；

Cisco NAC 2.0：實(shí)現更細粒度的準入控制；

Cisco NAC 3.0：提出硬件的解決方案，主要解決部署困難的問(wèn)題；

Cisco NAC 4.0：思科又放棄了網(wǎng)關(guān)的方案，重點(diǎn)解決集中管理的問(wèn)題，在第二代技術(shù)基礎上增加了實(shí)名制網(wǎng)絡(luò )資源訪(fǎng)問(wèn)控制等技術(shù)，即Role-based 802.1x技術(shù)。

經(jīng)過(guò)這么多年的發(fā)展，NAC的解決焦點(diǎn)從網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制演進(jìn)為對資源的訪(fǎng)問(wèn)控制。

NAC技術(shù)發(fā)展階段

NAC技術(shù)類(lèi)型分析

在標準框架基礎上，根據不同的應用場(chǎng)景發(fā)展出三類(lèi)網(wǎng)絡(luò )準入控制技術(shù)，這三種類(lèi)型技術(shù)，都支持有Agent和無(wú)Agent設備的接入認證，無(wú)Agent的認證，大多數廠(chǎng)商使用MAC地址或IP地址。

這三類(lèi)技術(shù)各有特點(diǎn)，分別應用于不通的網(wǎng)絡(luò )接入場(chǎng)景。

除了以上的技術(shù)分析，還需明確網(wǎng)絡(luò )接入最終需要承擔安全責任的是人，不是設備，所以采用Role-based（基于角色）管理方法，與HR/LDAP對接，更易落實(shí)到人，也便于策略管理、數據分析、事后追查（事件鏈）。

NAC創(chuàng )新者和領(lǐng)導者：聯(lián)軟科技

總括：

Leagsoft UniNAC支持幾乎所有的網(wǎng)絡(luò )準入控制技術(shù)，除了能支持802.1x 、Cicso NAC、portal等Infrastructure-based準入控制技術(shù)，串接、準旁路、端口鏡像等Appliance-based準入控制技術(shù)和ARP干擾、DHCP干擾等Software-based準入控制技術(shù)外，還支持Role-Based準入控制技術(shù)，針對不同的準入控制技術(shù)，可以應用于不同的接入管理場(chǎng)景，所以UniNAC可以適應任何復雜的網(wǎng)絡(luò )環(huán)境下的網(wǎng)絡(luò )接入控制需求。

創(chuàng )新：資源訪(fǎng)問(wèn)控制技術(shù)RAC

Leagsoft UniNAC系統在2012年發(fā)布資源訪(fǎng)問(wèn)控制技術(shù)RAC(Resource Access Control)，支持Role-based網(wǎng)絡(luò )資源訪(fǎng)問(wèn)控制，也支持用戶(hù)終端、啞終端的資源訪(fǎng)問(wèn)控制。

該技術(shù)通常用ACL控制網(wǎng)絡(luò )資源訪(fǎng)問(wèn)權限，支持在各種型號的802.1X網(wǎng)絡(luò )交換機、無(wú)線(xiàn)控制器、支持EoU的路由器、聯(lián)軟的NACC網(wǎng)關(guān)和客戶(hù)端上下發(fā)ACL，這樣就可以實(shí)現對不同的終端、不同的用戶(hù)角色、不同的應用程序、不同的訪(fǎng)問(wèn)時(shí)間下發(fā)指定的訪(fǎng)問(wèn)權限，從而對網(wǎng)絡(luò )的接入實(shí)現細粒度的管理。

創(chuàng )新：新一代的DEVAS

網(wǎng)絡(luò )使用中新的安全性和移動(dòng)性要求，讓NAC演進(jìn)為全新的EVAS（Endpoint、Visibility、Access、Security）端點(diǎn)可視化與訪(fǎng)問(wèn)控制安全。EVAS定義：一種網(wǎng)絡(luò )安全技術(shù)，提供基于策略的情報、 執行、 弱化風(fēng)險，并實(shí)時(shí)監控所有網(wǎng)絡(luò )設備訪(fǎng)問(wèn)、配置和連接到 IP 網(wǎng)絡(luò )的任何節點(diǎn)的活動(dòng)。

但是EVAS本身不直接實(shí)現數據信息的保護，而只能作為“安全基礎設施”為數據安全保護提供支撐基礎！聯(lián)軟科技率先將EVAS概念引入到終端安全管理平臺產(chǎn)品中，形成了一套以EVAS為基礎，集合終端數據信息安全防護的DEVAS解決方案。

在網(wǎng)絡(luò )安全方面

有EAVS，基于設備、用戶(hù)、網(wǎng)絡(luò )位置、時(shí)間、數據的敏感性等顆?；木W(wǎng)絡(luò )訪(fǎng)問(wèn)控制，防止問(wèn)題電腦接入、問(wèn)題人員對網(wǎng)絡(luò )的訪(fǎng)問(wèn)，與安全信息和事件管理間廣泛的集成。

在應用安全方面

有資源訪(fǎng)問(wèn)控制RAC，防止不正確的時(shí)間、地點(diǎn)、接入方式的異常訪(fǎng)問(wèn)，防范緩沖區溢出攻擊、規避審計手段等黑客工具攻擊。

在信息安全方面

有終端數據信息安全防護，防止被用黑客工具非法盜取信息，防止內部人員將其接觸到的信息，轉給外部人員泄密。

聯(lián)軟在準入控制的演進(jìn)

2004年，全球首創(chuàng )設備快速發(fā)現與定位技術(shù)，設備接入網(wǎng)絡(luò )，幾分鐘內即可發(fā)現、定位(無(wú)需Agent)，同類(lèi)產(chǎn)品需要數小時(shí)乃至數天，持續12年保持領(lǐng)先；

2005年，中國第一家基于802.1x/EoU網(wǎng)絡(luò )準入控制產(chǎn)品，EoU準入這個(gè)名詞首先在聯(lián)軟的技術(shù)文檔中被使用；

2006年，全球第一家，一個(gè)Agent支持多網(wǎng)絡(luò )設備廠(chǎng)商，聯(lián)軟成為首家基于Cicso NAC框架的產(chǎn)品供應商；

2008年，中國第一家推出基于硬件網(wǎng)關(guān)的準入控制器(NACC)，解決復雜的環(huán)境的網(wǎng)絡(luò )接入管理問(wèn)題，支持準旁路部署、全旁路部署；

2010年，中國第一家發(fā)布Linux客戶(hù)端的廠(chǎng)商，支持準入控制；

2012年，在網(wǎng)絡(luò )準入控制基礎上，發(fā)布新一代NAC技術(shù)RAC，引領(lǐng)第四代網(wǎng)絡(luò )準入控制技術(shù)向前發(fā)展；

2014年，系統支持對移動(dòng)終端的接入管理；

2015年，系統支持對啞終端設備自動(dòng)識別和接入管理；集合終端數據信息安全防護的DEVAS解決方案。

當然，還有業(yè)內獨創(chuàng )HTTPS重定向訪(fǎng)問(wèn)技術(shù)，獨創(chuàng )MAC地址自動(dòng)獲取，接入認證故障診斷輔助工具等等。

經(jīng)過(guò)13年的發(fā)展，聯(lián)軟科技已經(jīng)成為中國網(wǎng)絡(luò )準入控制市場(chǎng)的技術(shù)領(lǐng)導者，而且還將持續創(chuàng )新，為客戶(hù)更有價(jià)值的技術(shù)及解決方案。