「NETWORK」- 网络准入控制(NAC,Network Admission Control)

  CREATED BY JENKINSBOT

问题描述

随着园区网络的应用和发展,病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中,一般认为园区内网是安全的,安全威胁主要来自外界。但是研究证明,80%的网络安全漏洞都存在于网络内部,它们导致的网络故障对网络的破坏程度和影响范围在持续扩大,经常引起业务系统崩溃、网络瘫痪。

非法用户随意接入园区内部网络,会危害园区的信息安全。
接入园区网络的终端种类多,且园区内用户行为难以管控。
出于对安全问题的考虑,园区网络不能对所有终端开放访问权限,需要基于终端对应的用户身份和终端状态进行认证,不符合条件的终端不能接入网络。

从安全角度来分析,目前大部分的园区内部网络中,主要存在如下安全问题:
1)防病毒软件未实现集中管理,补丁管理混乱,企业即便购买了防病毒软件,但很难保证所有的终端其病毒特征库都是最新的,导致一旦某台终端感染病毒或恶意代码,很快会在内网泛滥。
2)无法识别用户的身份,无法识别非法接入用户,导致网络存在安全隐患。
3)缺乏对接入终端的访问控制,只要用户接入网络,就能够自由地访问整个网络。

如何确认终端身份合法并保证终端安全?如何确保合法终端获得正确的授权?

解决方案

NAC(网络接入控制,Network Admission Control),通过对接入网络的客户端及用户进行认证,来保证网络的安全,是种“端到端”的安全技术。

NAC 从对接入网络的终端安全控制入手,将终端安全状况网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户终端的主动防御能力,保证园区中每个终端的安全性,进而保护园区网络的安全性。

NAC 以“只有合法的用户安全的终端才可以接入网络”为主导思想,通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力。

原理简述

用于用户和接入设备之间的交互。
NAC 负责控制用户的接入方式(802.1X,MAC,Portal认证),接入过程中的各类参数和定时器。
确保合法用户和接入设备建立安全稳定的连接。

特性特征

用户认证 与 终端安全,是 NAC 的两大主要内容。

应用场景

WIP