準入控制NAC概述

隨著計算機技術和網(wǎng)絡通信技術的發(fā)展、應用的日趨復雜，計算機終端已不再是傳統(tǒng)意義上我們所理解的“終端”，它不僅是網(wǎng)線所連接的PC，還包括手機、PAD等各類新式的移動設備。這些形形色色的終端給信息安全工作帶來了巨大挑戰(zhàn)：類型眾多，以各種方式接入；并且是大部分事物的起點和源頭：是用戶登錄并訪問網(wǎng)絡的起點、是用戶訪問Internet的起點、是應用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點、更是病毒攻擊、從內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，終端安全管理對每個企業(yè)來說都極其重要，只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。

在內(nèi)網(wǎng)安全管理中，準入控制是所有終端管理功能實現(xiàn)的基礎所在，采用準入控制技術能夠主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦隔離、進行修復。準入控制技術與傳統(tǒng)的網(wǎng)絡安全技術如防火墻、防病毒技術結(jié)合，將被動防御變?yōu)橹鲃臃烙?，能夠有效促進內(nèi)網(wǎng)合規(guī)建設，減少網(wǎng)絡事故。

常見的網(wǎng)絡準入控制技術

網(wǎng)關準入控制

在接入終端和網(wǎng)絡資源(如：服務器/互聯(lián)網(wǎng)出口)之間，設置一個網(wǎng)關，終端只有通過網(wǎng)關的驗證和檢查后，才能訪問網(wǎng)關后面的資源；實際上網(wǎng)關準入控制只是防火墻功能的一個擴展，可以認為是網(wǎng)絡準入控制中的一種特殊形式，絕大多少傳統(tǒng)的防火墻廠商都提供該類解決方案。

注：

1、Cisco NAC的NAC-L3-IP解決方案可以用路由器作為網(wǎng)關完全替代網(wǎng)關準入控制解決方案；

2、NACC的串行模式也可以完全替代網(wǎng)關準入控制解決方案。

802.1x準入控制

802.1X協(xié)議是一種基于端口的網(wǎng)絡接入控制協(xié)議?；诙丝诘?a href="/doc/article/1085.html" target="_blank" rel="noopener">網(wǎng)絡接入控制，是指在局域網(wǎng)接入設備的端口這一級對所接入的用戶設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源，支持多網(wǎng)絡廠商，可在網(wǎng)絡交換機和無線AP上實現(xiàn)。

802.1X認證系統(tǒng)使用EAP來實現(xiàn)客戶端、設備端和認證服務器之間認證信息的交換。在客戶端與設備端之間，EAP協(xié)議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中；在設備端與RADIUS服務器之間，可以使用兩種方式來交換信息：一種是EAP協(xié)議報文由設備端進行中繼，使用EAPOR封裝格式承載于RADIUS協(xié)議中；另一種是EAP協(xié)議報文由設備端進行終結(jié)，采用包含PAP或CHAP屬性的報文與RADIUS服務器進行認證交互。

Cisco EOU準入控制

Cisco EOU架構(gòu)的特點：與網(wǎng)絡設備緊密集成的準入控制；多種類型的網(wǎng)絡設備均支持準入控制；接入認證統(tǒng)一用Radius來控制，擴展、管理方便；Cicso EOU是一個準入控制架構(gòu)平臺，目的是讓其它廠商在此平臺上構(gòu)建用戶的桌面安全管理系統(tǒng)；Cisco EOU本身不提供準入控制以外的功能與特性，例如：補丁管理、軟件分發(fā)等。Cisco EOU實現(xiàn)準入控制的三種方式：NAC-L2-802.1x，NAC-L2-IP，NAC-L3-IP

Leagsoft NACC準入控制

NACC是聯(lián)軟科技擁有自主知識產(chǎn)權(quán)的硬件準入控制設備，基于EAP over UDP協(xié)議，專為解決非802.1X網(wǎng)絡環(huán)境下的網(wǎng)絡準入控制問題。NACC有兩種工作模式。

第一種，策略路由模式：

策略路由是一種比基于目標網(wǎng)絡進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。應用了策略路由，路由器將通過路由圖決定如何對需要路由的數(shù)據(jù)包進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。

第二種，端口鏡像模式：

端口鏡像（portMirroring)把交換機一個或多個端口（VLAN）的數(shù)據(jù)鏡像到一個或多個端口的方法。

NACC為了解決非802.1X網(wǎng)絡環(huán)境準入，適用如下場景：

1、接入層網(wǎng)絡環(huán)境復雜，HUB設備數(shù)量多且不易管理；

2、網(wǎng)絡交換機只支持端口鏡像環(huán)境；

3、支持企業(yè)VPN接入；支持無線、有線等復雜網(wǎng)絡環(huán)境；

4、支持特殊網(wǎng)絡環(huán)境：MPLS VPN多域；

5、支持一臺設備同時支持多個隔離網(wǎng)接入；

6、支持NAT接入檢測。

--------以下技術，只是Agent強制安裝技術，不屬于真正的準入控制技術----------

DHCP準入控制

終端連接到網(wǎng)絡時，DHCP服務器給終端分配一個臨時的IP和路由，使得終端只能訪問有限的資源，終端通過安全檢查之后，重新獲取一個IP，此時可以正常訪問網(wǎng)絡，DHCP類型不是真正意義上的準入控制，Microsoft的NAP最初采用此解決方案，NAP后來又支持802.1x, IPsec等。

ARP干擾準入控制

通過ARP干擾實現(xiàn)準入控制，制造IP地址沖突，技術實現(xiàn)簡單；利用了ARP協(xié)議本身的一些缺陷，終端可以通過自行設置本機的路由、ARP映射等繞開ARP準入控制；無需調(diào)整網(wǎng)絡結(jié)構(gòu)，需要在每個網(wǎng)段設置ARP干擾器；過多的ARP廣播包會給網(wǎng)絡帶來諸多性能、故障問題，國內(nèi)部分小廠商支持，適合小型網(wǎng)絡。

常見的網(wǎng)絡準入控制技術對比表

聯(lián)軟準入控制與其他廠商的對比

選擇聯(lián)軟準入控制，不單是做設備入網(wǎng)的接入管控，更是搭建一個全方位安全防護體系的基礎，在技術高速發(fā)展和業(yè)務靈活多變的今天，讓選擇更有選擇！