什么是网络接入控制(NAC)?
NAC网络安全解决方案从用户角度考虑内部网络安全,通过对接入用户进行安全控制,提供“端到端”的安全保证。借助于NAC方案,实现“只有合法的用户、安全的终端才可以接入网络”,隔离非法、不安全的用户和终端,或者仅允许他们访问受限的资源。以此来提升整个网络的安全防护能力。
为什么需要网络接入控制?
在传统的园区网络建设思路中,一般认为园区内部网络是安全的,安全威胁主要来自外界。因此各种安全措施基本上都围绕着如何抵御外部的攻击来部署,如部署防火墙等。但是,许多重大的安全漏洞往往出现在网络内部,例如园区内部员工在浏览某些网站时,一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中,并在内网传播,产生严重的安全隐患。因此,在园区网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。另外,园区网络出现大量非法接入和非授权访问用户时,也会导致业务系统遭受破坏、关键信息资产泄漏的风险。
NAC方案能够有效的管理网络访问权限、及时的更新系统补丁、升级病毒库,让管理员更快捷的查找、隔离及修复不安全的终端,满足园区网络内部的安全需求。
网络接入控制具备哪些能力?
NAC具备以下能力:
身份认证
- 符合安全要求的终端提供正确的用户名和密码后,可以正常接入网络。
- 不符合安全的终端,只能接入到网络隔离区,待终端安全修复后才能接入网络。
- 不合法的用户不允许接入网络。
访问控制
根据用户身份、接入时间、接入地点、终端类型、终端来源、接入方式(简称5W1H)精细匹配用户,控制用户能够访问的资源。5W1H即:
who-谁接入了网络(员工、访客);
whose-谁的设备(公司标配、BYOD设备);
what-什么设备(PC、手机);
when-什么时间接入(上班、下班);
where-什么地点接入(研发区、非研发区、家里);
how-如何接入(有线、无线)。
终端安全检查和控制
- 对终端的安全性(杀毒软件安装、补丁更新、密码强度等)进行扫描,在接入网络前完成终端安全状态的检查。
- 对终端不安全状态能够与网络准入设备进行联动,当发现不安全终端接入网络的时候,能够对这些终端实现一定程度的阻断,防止这些终端对业务系统造成危害,并能够主动帮助这些终端完成安全状态的自修复。
- 对于未能及时修复的不安全终端,能够对其进行权限限制,避免接入网络,引发网络安全问题。
系统修复和升级
如果系统存在安全隐患,NAC方案提供了系统自动和手动修复升级功能。可自动下载和升级系统补丁、触发病毒库的更新、自动杀死非法/违规进程等强制安全措施。
网络接入控制是如何实现的?
NAC方案包括三个关键组件:安全终端、网络准入设备、服务器系统。
NAC方案的组成
- 安全终端:安全终端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。
- 网络准入设备:网络准入设备是网络中安全策略的实施点,负责按照客户网络制定的安全策略,实施相应的准入控制(允许、拒绝、隔离或限制)。
华为NAC方案支持802.1X、MAC认证和Portal等多种认证方式。在各种认证方式下,网络准入设备辅助用户终端与准入服务器进行认证。网络准入设备可以是交换机、路由器、无线接入点或其它安全设备,通过这些网络准入设备,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为“合法用户、健康终端”提供网络服务的目的。
- 服务器系统:服务器系统包括准入控制服务器、病毒/补丁/软件服务器和业务服务器。
准入控制服务器是NAC方案的核心,用户在身份认证和安全检查通过前就可以访问,主要负责对用户进行认证和安全审核,实施安全策略,并且与网络准入设备联动,下发用户权限。用户已通过身份认证但终端安全检查未通过时,一般会访问病毒/补丁/软件服务器,进行终端上病毒库的自动更新、操作系统和应用软件的补丁安装和更新等,以满足终端安全检查的要求。业务服务器用于企业业务管理,只有通过认证和授权后的用户才能访问。
以企业网络为例,网络中的用户通常可以分为员工、合作伙伴和访客,针对不同的用户角色,NAC方案可实现为其定制不同的网络接入和权限控制规则。
- 员工:主要指具有固定办公地点以及长期工作合同的用户。员工通常使用公司设备作为办公设备,公司设备一般在员工领取时已预安装了安全终端,员工认证通过后一般具有公司网络充分的访问权限。
- 合作伙伴:主要指流动性较大,企业约束力较低的合作伙伴等。这些人员会在一定时期内接入企业网络,并访问网络内的部分服务器。这类人员通常也使用安装了安全终端的公司设备,但是,由于此类人员安全性较低,权限应当严格受控。
- 访客:主要指一次性接入企业网络的访客人员。通常通过无线方式接入,权限仅限于借助企业网络访问Internet,与员工、合作伙伴之间要进行严格隔离,以防止企业信息资产泄露。
网络接入控制的应用
NAC方案可以应用在很多网络场景中,例如企业园区网络场景、BYOD场景、物联网场景、公共WIFI网络场景等。
企业网络
如上例,NAC方案在企业网络中通常会按照用户的角色,严格区分员工和非员工的网络访问权限。
BYOD
为满足企业员工对于新科技和个性化的追求、提高员工的工作效率,许多企业开始考虑允许员工自带智能设备(例如手机、平板或笔记本电脑等移动设备)接入企业内部网络,这就是BYOD(Bring Your Own Device)。员工自带的设备通常没有安装安全终端,接入企业内部网络可能会带来安全隐患。NAC方案借助终端类型识别技术,自动识别企业员工接入内部网络的设备类型,实现基于用户、设备类型及设备环境的认证和授权。
物联网
大多数的物联网设备不支持传统的身份验证协议或安全证书。NAC方案通过物联网设备的电子规约信息(包括设备版本号、厂家信息、版本号、产品名称、终端类型等)自动识别物联网设备,之后,根据各自配置的安全策略,完成物联网设备的入网认证。
公共WIFI网络
公共WIFI网络非常普及,几乎所有的咖啡馆、商店、机场、酒店和其他公共场所都为他们的顾客和访客提供了公共WiFi接入。对于完全开放的公共WIFI网络安全性很低,这是由于任何人、无需任何身份验证都可以登录,用户连接网络时需要慎重考虑。NAC提供微信认证、短信认证方案,用户接入公共WIFI时,通过微信扫码或者在Web Portal页面上输入手机号实现用户实名入网。
- 作者: 豆翠翠
- 最近更新: 2024-02-26
- 浏览次数: 61204
- 平均得分:
