網絡准入控制

准入控制能夠在用户訪問網絡之前確保用户的身份是信任關係。但是，識別用户的身份僅僅是問題的一部分。儘管依照總體安全策略，用户有權進入網絡，但是他們所使用的計算機可能不適合接入網絡，為什麼會出現這種情況。因為筆記本電腦等移動計算設備在工作環境中的普及提高了用户的生產率，但是，這也會產生一定的問題：這些計算設備很容易在外部感染病毒或者蠕蟲，當它們重新接入企業網絡的時候，就會將病毒等惡意代碼在不經意之間帶入企業環境。

瞬間病毒和蠕蟲侵入將繼續幹擾企業業務的正常運作，造成停機，業務中斷和不斷地打補丁。利用網絡准入控制，企業能夠減少病毒和蠕蟲對企業運作的干擾，因為它能夠防止易損主機接入正常網絡。在主機接入正常網絡之前，NAC能夠檢查它是否符合企業最新制定的防病毒和操作系統補丁策略。可疑主機或有問題的主機將被隔離或限制網絡接入範圍，直到它經過修補或採取了相應的安全措施為止，這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標，還可以防止這些主機成為傳播病毒的源頭。

NAC 的作用是檢查設備的“狀態”。終端NAC代理(CTA) 可以從多個安全軟件客户端――例如防病毒客户端――蒐集安全狀態信息，並將這些信息發送到相連的、制定訪問控制決策的思科網絡。應用和操作系統的狀態――例如防病毒和操作系統補丁等級或者身份證明――可以被用於制定相應的網絡准入決策。

NAC的主要優點包括：

a. 控制範圍大——它能夠檢測主機用於與網絡連接的所有接入方法，包括園區網交換、無線接入、路由器WAN鏈路、IPSec遠程接入和撥號接入；

b. 利用網絡和防病毒投資——NAC將網絡基礎設施中的現有投資與防病毒技術結合在一起，對終端准入進行主機健康檢查。

c.控制力度強——通常採用在網絡層面上的隔離、修復區方法。在終端接入網絡訪問業務數據之前就可以進行相應的控制。

網絡准入控制主要組件有：

。終端安全檢查軟件

。網絡接入設備（接入交換機和無線訪問點）

。 策略/AAA服務器

終端安全檢查軟件 — 主要負責對接入的終端進行主機健康檢查和進行網絡接入認證。當前更傾向於採用輕量級或可溶解的客户端。以降低終端的部署和使用壓力。

網絡接入設備 — 實施准入控制的網絡設備包括路由器、交換機、無線接入點和安全設備。這些設備接受主機委託，然後將信息傳送到策略服務器，在那裏實施網絡准入控制決策。網絡將按照客户制定的策略實施相應的准入控制決策：允許、拒絕、隔離或限制。

策略/AAA服務器——策略服務器負責評估來自網絡設備的端點安全信息，並決定應該使用哪種接入策略（接入、拒絕、隔離或打補丁）。

當終端接入網絡時，首先由終端設備和網絡接入設備（如：交換機、無線AP、VPN等）進行交互通訊。然後，網絡接入設備將終端信息發給策略/AAA服務器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA服務器上定義的策略後， 策略/AAA服務器會通知網絡接入設備，對終端進行授權和訪問控制。

要部署NAC方案，需要安裝上面提到的所有NAC系統組件。在企業中，通常網絡已擁有終端和網絡接入設備。只需要再部署策略/AAA服務器。

通常有4種准入控制：

802.1x的准入控制的優點是在交換機支持802.1x協議的時候，802.1x能夠真正做到了對網絡邊界的保護。缺點是不兼容老舊交換機，必須重新更換新的交換機；同時，交換機下接不啓用802.1x功能的交換機時，無法對終端進行准入控制。

DHCP的准入控制的優點是兼容老舊交換機。缺點是不如802.1x協議的控制力度強。

網關型准入控制不是嚴格意義上的准入控制。網關型准入控制沒有對終端接入網絡進行控制，而只是對終端出外網進行了控制。同時，網關型准入控制會造成出口宕掉的瓶頸效應。

其前身是思科公司的VG（虛擬網關）技術。但是該技術僅能支持思科公司相關設備。受該技術的啓發，國內某些公司開發了MVG（多廠商虛擬網關）技術。該技術可以支持市場上幾乎所有的交換機設備。

ARP准入控制是通過ARP欺騙實現的。ARP欺騙實際上是一種變相病毒。容易造成網絡堵塞。由於越來越多的終端安裝的ARP防火牆，ARP准入控制在遇到這種情況下，則不能起作用。

隨着網絡應用的普及和雲計算的興起，網絡准入控制會變得越來越重要。網絡准入控制對保證網絡邊界完整，進行訪問控制會起到重要的作用。