系统组成部分
/3_Campus_Netwrok_Security/1_Network_Admission_Control_(NAC)/1.Terms_and_Work_Details/pasted_image.png)
NAC-TRM(用户终端,NAC Terminal)
NAC-TRM 上一般安装有终端代理(或叫客户端软件),其与 NAC-SRV 联动进行用户身份认证、终端安全检查、系统修复升级,终端行为监控审计等工作;
各种终端设备,例如 PC、手机、打印机、摄像头等;
NAC-DEV(网络准入设备,Network Access Device)
终端访问网络的认证控制点,准入设备对接入用户进行认证,是园区安全策略的实施者,按照网络指定的安全策略实施相应的准入控制(如允许接入网络或拒绝接入网络);
准入设备可以是:交换机、路由器、无线接入点、VPN 网关或其他安全设备;
具备功能特性:用户身份认证;在各种常见认证方式(如 802.1X、MAC、Portal)下, NAC-DEV 辅助客户端软件与 NAC-SRV 进行认证;实现用户权限控制;
NAC-SRV(准入服务器,Access Server)
NAC-SRV 的功能是实现对用户的认证和授权,用于确认尝试接入网络的终端身份是否合法,还可以指定身份合法的终端所能拥有的网络访问权限
NAC-SRV 通常有认证服务器(如 RADIUS-SRV) 和用户数据源服务器(存储用户的身份信息);
NAC-SRV 包括准入安全控制服务器、安全管理服务器、必要的病毒库服务器、补丁服务器:
1)安全控制服务器,主要进行用户认证和安全审核,实施安全策略,并且与 NAC-DEV 联动,下发用户权限;
2)安全管理服务器,主要进行用户管理,包括增加、删除、修改用户权限及用户部门配置,及安全策略的定制和管理等;
3)病毒库服务器,主要用于控制各种终端上的防病毒软件的病毒库的自动更新;
4)补丁服务器,主要用于控制各种终端上的操作系统和应用软件的补丁安装和更新;
交互流程概述
/3_Campus_Netwrok_Security/1_Network_Admission_Control_(NAC)/1.Terms_and_Work_Details/pasted_image001.png)
用户身份认证请求: NAC-DEV 通过和 NAC-TRM 进行报文交互,获取 NAC-TRM 的身份凭证, NAC-TRM 发送自己的身份凭证给准入设备;
用户身份认证: NAC-DEV 将身份凭证发送给 NAC-SRV 进行身份认证;
用户身份校验:NAC-SRV 储用户的身份信息,提供用户管理功能。 NAC-SRV 收到 NAC-TRM 的身份凭证后,进行身份校验,确定 NAC-TRM 身份是否合法,并将校验结果及策略下发给准入设备;
用户策略授权: NAC-DEV 作为策略的实施者,根据 NAC-SRV 的授权结果对 NAC-TRM 实施策略的控制,比如允许或者禁止 NAC-TRM 访问网络;或者对 NAC-TRM 进行更加复杂的策略管控,如提高或降低 NAC-TRM 转发优先级、限制用户的网络访问速率;
补充说明:
1)该图为包含 NAC-TRM 下线相关内容;
参考文献