准入控制NAC概述

随着计算机技术和网络通信技术的发展、应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是网线所连接的PC，还包括手机、PAD等各类新式的移动设备。这些形形色色的终端给信息安全工作带来了巨大挑战：类型众多，以各种方式接入；并且是大部分事物的起点和源头：是用户登录并访问网络的起点、是用户访问Internet的起点、是应用系统访问和数据产生的起点、更是病毒攻击、从内部发起恶意攻击和内部保密数据盗用或失窃的源头。因此，终端安全管理对每个企业来说都极其重要，只有通过完善的终端安全管理才能够真正从源头上控制各种事件的启始、遏制由内网发起的攻击和破坏。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

常见的网络准入控制技术

网关准入控制

在接入终端和网络资源(如：服务器/互联网出口)之间，设置一个网关，终端只有通过网关的验证和检查后，才能访问网关后面的资源；实际上网关准入控制只是防火墙功能的一个扩展，可以认为是网络准入控制中的一种特殊形式，绝大多少传统的防火墙厂商都提供该类解决方案。

注：

1、Cisco NAC的NAC-L3-IP解决方案可以用路由器作为网关完全替代网关准入控制解决方案；

2、NACC的串行模式也可以完全替代网关准入控制解决方案。

802.1x准入控制

802.1X协议是一种基于端口的网络接入控制协议。基于端口的网络接入控制，是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源，支持多网络厂商，可在网络交换机和无线AP上实现。

802.1X认证系统使用EAP来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中；在设备端与RADIUS服务器之间，可以使用两种方式来交换信息：一种是EAP协议报文由设备端进行中继，使用EAPOR封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进行终结，采用包含PAP或CHAP属性的报文与RADIUS服务器进行认证交互。

Cisco EOU准入控制

Cisco EOU架构的特点：与网络设备紧密集成的准入控制；多种类型的网络设备均支持准入控制；接入认证统一用Radius来控制，扩展、管理方便；Cicso EOU是一个准入控制架构平台，目的是让其它厂商在此平台上构建用户的桌面安全管理系统；Cisco EOU本身不提供准入控制以外的功能与特性，例如：补丁管理、软件分发等。Cisco EOU实现准入控制的三种方式：NAC-L2-802.1x，NAC-L2-IP，NAC-L3-IP

Leagsoft NACC准入控制

NACC是联软科技拥有自主知识产权的硬件准入控制设备，基于EAP over UDP协议，专为解决非802.1X网络环境下的网络准入控制问题。NACC有两种工作模式。

第一种，策略路由模式：

策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。

第二种，端口镜像模式：

端口镜像（portMirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

NACC为了解决非802.1X网络环境准入，适用如下场景：

1、接入层网络环境复杂，HUB设备数量多且不易管理；

2、网络交换机只支持端口镜像环境；

3、支持企业VPN接入；支持无线、有线等复杂网络环境；

4、支持特殊网络环境：MPLS VPN多域；

5、支持一台设备同时支持多个隔离网接入；

6、支持NAT接入检测。

--------以下技术，只是Agent强制安装技术，不属于真正的准入控制技术----------

DHCP准入控制

终端连接到网络时，DHCP服务器给终端分配一个临时的IP和路由，使得终端只能访问有限的资源，终端通过安全检查之后，重新获取一个IP，此时可以正常访问网络，DHCP类型不是真正意义上的准入控制，Microsoft的NAP最初采用此解决方案，NAP后来又支持802.1x, IPsec等。

ARP干扰准入控制

通过ARP干扰实现准入控制，制造IP地址冲突，技术实现简单；利用了ARP协议本身的一些缺陷，终端可以通过自行设置本机的路由、ARP映射等绕开ARP准入控制；无需调整网络结构，需要在每个网段设置ARP干扰器；过多的ARP广播包会给网络带来诸多性能、故障问题，国内部分小厂商支持，适合小型网络。

常见的网络准入控制技术对比表

产品类别

管控能力及范围

优势

劣势

802.1X

高，管控到内网入口

1.802.1x是一个国际标准，多个厂商支持2.通过动态VLAN切换，实现对不安全终端的隔离3.不会影响网络的性能

1.只有通过LAN接入才能做准入控制，VPN/Wirelesss不行

2.许多网络交换机、HUB不支持802.1x协议3.许多无线AP支持802.1x，但是不支持动态VLAN切换4.不同厂商在802.1x协议实现上有差别，存在兼容性问题

Cisco EOU

高，管控到内网入口

1.支持交换机、路由器、VPN多种类型设备等等

2.允许设置例外，如网络打印机3.通过ACL动态下载，可以实现非常精确的资源访问，针对不同的终端、不同的用户可以访问不同的网络资源4.用户违反安全管理规定时，网络设备对其HTTP访问重定向；重定向URL可以在Radius服务器上设置6.不影响网络的可靠性、性能等，在边缘接入或者汇聚层进行准入控制

1.Cisco的解决方案，其它厂商网络设备不支持2.必须安装CTA ̶̶ Cisco Trust Agent3.要结合其它的安全厂商才能做更多的功能，例如防病毒，安全补丁，资产管理，安全行为管理

NACC

高，管控到内网入口

1.路由模式：属于限制认证方式，认证不通过则限制访问，管控非常全面，支持双机热备

2.端口镜像模式：全旁路模式，无网络瓶颈、网络故障风险，零网络  改造

3.NAT模式：全旁路模式，能够将分支结构中NAT环境下的客户端设备通过一种强制手段安装安全助手，弥补之前无法管理NAT下终端设备的情况，可区分多种认证状态

4.网桥模式：对网络的修改较小，支持Bypass功能

1.路由模式：要求核心网络设备支持策略路由功能，增加网络拓扑的复杂性2.端口镜像模式：端口镜像一般不能跨网络设备，负载过大会导致交换机丢包，非完全控制认证方式，支持TCP3.NAT模式依赖客户端安全助手的网络插件

4.网桥模式

单点故障

网络瓶颈

网关类准入

中，网关之下无法管控

1.网络设备、网络结构没有关系

2.部署相对比较简单

1.可靠性问题，如果设备发生故障，怎么办？2.性能问题，终端的所有网络访问都要经过网关，如果数据中心有很多服务器，要求网关必须有非常高的性能；3.安全性问题，终端之间的访问没有控制，非法接入的终端可以干扰、影响其它的终端；

DHCP型

中高，适合小型网络

1.网络兼容性好，一体化DHCP准入控制产品实施较为方便

2.费用低，通过更换DHCP服务器软件即可实现

1.不适用于大规模网络2.用户如果手工设置IP，可以绕开准入控制3.终端如果感染ARP广播病毒，可以继续破坏网络

ARP干扰

弱，单个网段管控

技术简单，实现成本低

1.在网络上产生ARP广播，可能会影响网络的正常运行2.要求在每个网段部署一个干扰器3.通过设置静态ARP映射等方法，可以被绕过

联软准入控制与其他厂商的对比

选择联软准入控制，不单是做设备入网的接入管控，更是搭建一个全方位安全防护体系的基础，在技术高速发展和业务灵活多变的今天，让选择更有选择！