NAC(Network Access Control)是一种网络安全技术,旨在限制未经授权的设备和用户连接到网络中。它通过对设备和用户的身份进行验证,并确保设备具有适当的安全配置,才允许连接到网络。
网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助 NAC,客户可以只允许合法的、值得信任的终端设备(例如 PC、服务器、PDA)接入网络,而不允许其它设备接入,利用 NAC 技术,企业能够减少病毒对企业网络的干扰。
(1)终端安全检查软件 终端安全检查软件负责对接入的终端进行主机健康检查和网络接入认证。
(2)网络接入设备 网络接入设备包括路由器、交换机、无线 AP 和安全设备等,这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施 NAC 决策。
(3)策略 / AAA 服务器
策略 / AAA 服务器负责评估来自网络设备终端的安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。
NAC 系统基本工作原理是:当终端接入网络时,首先由终端设备和网络接入设备(如交换机、无线 AP、VPN 等)进行交互通信;然后,网络接入设备将终端信息发给策略 / AAA 服务器,服务器对接入终端和终端使用者进行检查;当终端及使用者符合策略 / AAA 服务器上定义的策略后,策略 / AAA 服务器会通知网络接入设备,对终端进行授权和访问控制。
目前通常有四种准入控制方式:
- 802.1x 准入控制:802.1x 的准入控制的优点是在交换机支持 802.1x 协议的时候,能够真正做到了对网络边界的保护,缺点是不兼容老旧交换机,必须更换使用新的交换机;
- DHCP 准入控制:兼容老旧交换机,缺点是不如 802.1x 协议的控制力度强;
- 网关型准入控制:不是严格意义上的准入控制,它没有对终端接入网络进行控制,而只是对终端访问外网进行了控制,同时,网关型准入控制会造成出口宕掉的瓶颈效应;
- ARP 准入控制:通过 ARP 欺骗实现,实际上是一种变相病毒,容易造成网络堵塞,由于越来越多的终端安装了 ARP 防火墙,在这种情况下,ARP 准入控制不能发挥作用。