问题描述

随着园区网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中，一般认为园区内网是安全的，安全威胁主要来自外界。但是研究证明，80% 的网络安全漏洞都存在于网络内部，它们导致的网络故障对网络的破坏程度和影响范围在持续扩大，经常引起业务系统崩溃、网络瘫痪；

非法用户随意接入园区内部网络，会危害园区的信息安全；
接入园区网络的终端种类多，且园区内用户行为难以管控；
出于对安全问题的考虑，园区网络不能对所有终端开放访问权限，需要基于终端对应的用户身份和终端状态进行认证，不符合条件的终端不能接入网络；

从安全角度来分析，目前大部分的园区内部网络中，主要存在如下安全问题：
1）防病毒软件未实现集中管理，补丁管理混乱，企业即便购买了防病毒软件，但很难保证所有的终端其病毒特征库都是最新的，导致一旦某台终端感染病毒或恶意代码，很快会在内网泛滥；
2）无法识别用户的身份，无法识别非法接入用户，导致网络存在安全隐患；
3）缺乏对接入终端的访问控制，只要用户接入网络，就能够自由地访问整个网络；

如何确认终端身份合法并保证终端安全？如何确保合法终端获得正确的授权？

解决方案

NAC（网络接入控制，Network Admission Control），通过对接入网络的客户端及用户进行认证，来保证网络的安全，是种“端到端”的安全技术；

原理简述

用于用户和接入设备之间的交互；
NAC 负责控制用户的接入方式（802.1X，MAC，Portal 认证），接入过程中的各类参数和定时器；
确保合法用户和接入设备建立安全稳定的连接；

特性特征

NAC 的两大主要内容：用户认证；终端安全；

NAC 从对接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证园区中每个终端的安全性，进而保护园区网络的安全性；

NAC 以“只有合法的用户、安全的终端才可以接入网络”为主导思想，通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力；

应用场景

WIP