準(zhǔn)入控制NAC概述

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的發(fā)展、應(yīng)用的日趨復(fù)雜，計(jì)算機(jī)終端已不再是傳統(tǒng)意義上我們所理解的“終端”，它不僅是網(wǎng)線所連接的PC，還包括手機(jī)、PAD等各類新式的移動(dòng)設(shè)備。這些形形色色的終端給信息安全工作帶來了巨大挑戰(zhàn)：類型眾多，以各種方式接入；并且是大部分事物的起點(diǎn)和源頭：是用戶登錄并訪問網(wǎng)絡(luò)的起點(diǎn)、是用戶訪問Internet的起點(diǎn)、是應(yīng)用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點(diǎn)、更是病毒攻擊、從內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，終端安全管理對(duì)每個(gè)企業(yè)來說都極其重要，只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。

在內(nèi)網(wǎng)安全管理中，準(zhǔn)入控制是所有終端管理功能實(shí)現(xiàn)的基礎(chǔ)所在，采用準(zhǔn)入控制技術(shù)能夠主動(dòng)監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)，將不安全的電腦隔離、進(jìn)行修復(fù)。準(zhǔn)入控制技術(shù)與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻、防病毒技術(shù)結(jié)合，將被動(dòng)防御變?yōu)橹鲃?dòng)防御，能夠有效促進(jìn)內(nèi)網(wǎng)合規(guī)建設(shè)，減少網(wǎng)絡(luò)事故。

常見的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

網(wǎng)關(guān)準(zhǔn)入控制

在接入終端和網(wǎng)絡(luò)資源(如：服務(wù)器/互聯(lián)網(wǎng)出口)之間，設(shè)置一個(gè)網(wǎng)關(guān)，終端只有通過網(wǎng)關(guān)的驗(yàn)證和檢查后，才能訪問網(wǎng)關(guān)后面的資源；實(shí)際上網(wǎng)關(guān)準(zhǔn)入控制只是防火墻功能的一個(gè)擴(kuò)展，可以認(rèn)為是網(wǎng)絡(luò)準(zhǔn)入控制中的一種特殊形式，絕大多少傳統(tǒng)的防火墻廠商都提供該類解決方案。

注：

1、Cisco NAC的NAC-L3-IP解決方案可以用路由器作為網(wǎng)關(guān)完全替代網(wǎng)關(guān)準(zhǔn)入控制解決方案；

2、NACC的串行模式也可以完全替代網(wǎng)關(guān)準(zhǔn)入控制解決方案。

802.1x準(zhǔn)入控制

802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議。基于端口的網(wǎng)絡(luò)接入控制，是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源，支持多網(wǎng)絡(luò)廠商，可在網(wǎng)絡(luò)交換機(jī)和無線AP上實(shí)現(xiàn)。

802.1X認(rèn)證系統(tǒng)使用EAP來實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。在客戶端與設(shè)備端之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式，直接承載于LAN環(huán)境中；在設(shè)備端與RADIUS服務(wù)器之間，可以使用兩種方式來交換信息：一種是EAP協(xié)議報(bào)文由設(shè)備端進(jìn)行中繼，使用EAPOR封裝格式承載于RADIUS協(xié)議中；另一種是EAP協(xié)議報(bào)文由設(shè)備端進(jìn)行終結(jié)，采用包含PAP或CHAP屬性的報(bào)文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互。

Cisco EOU準(zhǔn)入控制

Cisco EOU架構(gòu)的特點(diǎn)：與網(wǎng)絡(luò)設(shè)備緊密集成的準(zhǔn)入控制；多種類型的網(wǎng)絡(luò)設(shè)備均支持準(zhǔn)入控制；接入認(rèn)證統(tǒng)一用Radius來控制，擴(kuò)展、管理方便；Cicso EOU是一個(gè)準(zhǔn)入控制架構(gòu)平臺(tái)，目的是讓其它廠商在此平臺(tái)上構(gòu)建用戶的桌面安全管理系統(tǒng)；Cisco EOU本身不提供準(zhǔn)入控制以外的功能與特性，例如：補(bǔ)丁管理、軟件分發(fā)等。Cisco EOU實(shí)現(xiàn)準(zhǔn)入控制的三種方式：NAC-L2-802.1x，NAC-L2-IP，NAC-L3-IP

Leagsoft NACC準(zhǔn)入控制

NACC是聯(lián)軟科技擁有自主知識(shí)產(chǎn)權(quán)的硬件準(zhǔn)入控制設(shè)備，基于EAP over UDP協(xié)議，專為解決非802.1X網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制問題。NACC有兩種工作模式。

第一種，策略路由模式：

策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。應(yīng)用了策略路由，路由器將通過路由圖決定如何對(duì)需要路由的數(shù)據(jù)包進(jìn)行處理，路由圖決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。

第二種，端口鏡像模式：

端口鏡像（portMirroring)把交換機(jī)一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口的方法。

NACC為了解決非802.1X網(wǎng)絡(luò)環(huán)境準(zhǔn)入，適用如下場景：

1、接入層網(wǎng)絡(luò)環(huán)境復(fù)雜，HUB設(shè)備數(shù)量多且不易管理；

2、網(wǎng)絡(luò)交換機(jī)只支持端口鏡像環(huán)境；

3、支持企業(yè)VPN接入；支持無線、有線等復(fù)雜網(wǎng)絡(luò)環(huán)境；

4、支持特殊網(wǎng)絡(luò)環(huán)境：MPLS VPN多域；

5、支持一臺(tái)設(shè)備同時(shí)支持多個(gè)隔離網(wǎng)接入；

6、支持NAT接入檢測。

--------以下技術(shù)，只是Agent強(qiáng)制安裝技術(shù)，不屬于真正的準(zhǔn)入控制技術(shù)----------

DHCP準(zhǔn)入控制

終端連接到網(wǎng)絡(luò)時(shí)，DHCP服務(wù)器給終端分配一個(gè)臨時(shí)的IP和路由，使得終端只能訪問有限的資源，終端通過安全檢查之后，重新獲取一個(gè)IP，此時(shí)可以正常訪問網(wǎng)絡(luò)，DHCP類型不是真正意義上的準(zhǔn)入控制，Microsoft的NAP最初采用此解決方案，NAP后來又支持802.1x, IPsec等。

ARP干擾準(zhǔn)入控制

通過ARP干擾實(shí)現(xiàn)準(zhǔn)入控制，制造IP地址沖突，技術(shù)實(shí)現(xiàn)簡單；利用了ARP協(xié)議本身的一些缺陷，終端可以通過自行設(shè)置本機(jī)的路由、ARP映射等繞開ARP準(zhǔn)入控制；無需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，需要在每個(gè)網(wǎng)段設(shè)置ARP干擾器；過多的ARP廣播包會(huì)給網(wǎng)絡(luò)帶來諸多性能、故障問題，國內(nèi)部分小廠商支持，適合小型網(wǎng)絡(luò)。

常見的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)對(duì)比表

聯(lián)軟準(zhǔn)入控制與其他廠商的對(duì)比

選擇聯(lián)軟準(zhǔn)入控制，不單是做設(shè)備入網(wǎng)的接入管控，更是搭建一個(gè)全方位安全防護(hù)體系的基礎(chǔ)，在技術(shù)高速發(fā)展和業(yè)務(wù)靈活多變的今天，讓選擇更有選擇！