网络准入控制(NAC)
1. 引言
网络准入控制(Network Access Control, NAC) 通过身份认证、终端合规性检查和动态访问控制,有效防止未授权或高风险设备接入到内部网络,防止数据泄露等信息安全风险。
本文将深入探讨 NAC 的工作原理、关键技术、部署方式及典型应用场景,帮助读者全面理解其在现代网络安全体系中的作用。
2. NAC 工作原理
NAC 的核心目标是 动态控制网络访问权限,确保只有符合安全要求的设备或用户可以接入到公司网络。其工作流程可分为以下几个关键阶段:
(1)设备接入网络
当终端设备尝试连接企业网络(有线/Wi-Fi/VPN)时,NAC 流程开始执行
(2)身份认证
设备必须证明其身份,常见的认证方式包括:
- 802.1X 认证(基于 EAP 协议,如 EAP-TLS、EAP-PEAP)
- Web 认证(Captive Portal)(适用于访客网络)
- MAC 认证(适用于无法运行 802.1X 的设备,如打印机)
- 证书认证(PKI 体系下的客户端证书)
(3)合规性检查
认证通过后,NAC 会检查设备是否符合安全策略,例如:
- 操作系统是否安装最新补丁?
- 防病毒软件是否运行且病毒库最新?
- 是否启用了防火墙?
- 是否安装了企业要求的软件(如 VPN 客户端)?
就是会对终端进行信息安全基线检测,以检测终端当前的状态是否满足信息安全要求
检查方式包括:
- 代理模式:设备安装 NAC 探针,主动上报主机情况。
- 无代理模式:NAC 服务器主动扫描设备(如 Nmap 漏洞扫描)。
(4)访问控制
根据认证和合规性检查结果,NAC 动态分配网络权限:
- 合规设备:允许访问业务网络(如分配正常 VLAN)。
- 不合规设备 :
- 隔离到修复网络,仅允许访问补丁服务器。
- 提示用户修复问题(如更新系统或安装杀毒软件)。
(5)持续监控与动态调整
NAC 会持续监控已接入设备的状态变化(如杀毒软件关闭、新漏洞出现),并实时调整访问权限。
3. NAC 的关键技术
(1)认证技术
- 802.1X (基于端口的访问控制):
- 使用 EAP(可扩展认证协议)与 RADIUS 服务器交互。
- 支持多种认证方式(EAP-TLS、EAP-PEAP、EAP-TTLS)。
- MAC 认证 :
- 适用于 IoT 设备等无法运行 802.1X 的场景。
- 通过 MAC 地址白名单控制访问。
- Web 认证 :
- 访客设备连接网络时,强制跳转至认证页面(如输入短信验证码)。
(2)终端合规性检查技术
- 终端代理 :
- 安装在设备上的轻量级客户端,定期上报安全状态。
- 无代理检查 :
- 通过主动扫描(如 Nmap、NESSUS)检测设备漏洞。
(3)策略执行技术
- 动态 VLAN 分配 :
- 根据 NAC 策略,交换机动态调整端口的 VLAN(如合规设备 → VLAN 10,不合规设备 → VLAN 99)。
- ACL(访问控制列表) :
- 限制设备访问特定资源(如仅允许研发部门访问代码服务器)。
- CoA(Change of Authorization) :
- 实时调整设备权限(如检测到异常行为时,强制断开连接)。
(4)网络设备联动
NAC 需要与网络基础设施(如交换机、防火墙、无线控制器)协同工作:
- RADIUS 协议:交换机与 NAC 服务器通信(如 Cisco ISE、Aruba ClearPass)。
- SNMP/API:用于监控设备状态或下发策略。
4. NAC 的部署方式
(1)基于硬件的 NAC
- 专用 NAC 设备 :
- 提供高性能策略执行和终端识别。
- 适用于大型企业网络。
- 集成式 NAC :
- 与网络设备(交换机、防火墙)深度集成。
(2)基于软件的 NAC
- 云 NAC (如 Zscaler Private Access):
- 适用于分布式企业或远程办公场景。
- 开源 NAC (如 PacketFence):
- 适用于预算有限的中小企业。
5. NAC 的典型应用场景
(1)企业内网安全
- 确保员工设备符合安全策略(如域加入、加密启用)。
- 防止未授权设备(如个人笔记本电脑)接入核心业务网络。