需求與挑戰
簡介
準入控制能夠在用戶訪問網路之前確保用戶的身份是信任關係。但是,識別用戶的身份僅僅是問題的一部分。儘管依照總體安全策略,用戶有權進入網路,但是他們所使用的計算機可能不適合接入網路,為什麼會出現這種情況?因為筆記本電腦等移動計算設備在今天的工作環境中的普及提高了用戶的生產率,但是,這也會產生一定的問題:這些計算設備很容易在外部感染病毒或者蠕蟲,當它們重新接入企業網路的時候,就會將病毒等惡意代碼在不經意之間帶入企業環境。
瞬間病毒和蠕蟲侵入將繼續干擾企業業務的正常運作,造成停機,業務中斷和不斷地打補丁。利用網路準入控制,企業能夠減少病毒和蠕蟲對企業運作的干擾,因為它能夠防止易損主機接入正常網路。在主機接入正常網路之前,NAC能夠檢查它是否符合企業最新制定的防病毒和作業系統補丁策略。可疑主機或有問題的主機將被隔離或限制網路接入範圍,直到它經過修補或採取了相應的安全措施為止,這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭。
NAC 的作用
NAC 的作用是檢查設備的“狀態”。終端NAC代理(CTA) 可以從多個安全軟體客戶端――例如防病毒客戶端――蒐集安全狀態信息,並將這些信息傳送到相連的、制定訪問控制決策的思科網路。套用和作業系統的狀態――例如防病毒和作業系統補丁等級或者身份證明――可以被用於制定相應的網路準入決策。
NAC的主要優點
NAC的主要優點包括:
a. 控制範圍大——它能夠檢測主機用於與網路連線的所有接入方法,包括園區網交換、無線接入、路由器WAN鏈路、IPSec遠程接入和撥號接入;
b. 利用網路和防病毒投資——NAC將網路基礎設施中的現有投資與防病毒技術結合在一起,對終端準入進行主機健康檢查。
c.控制力度強——通常採用在網路層面上的隔離、修復區方法。在終端接入網路訪問業務數據之前就可以進行相應的控制。
技術介紹
a. NAC系統組件
網路準入控制主要組件有:
。終端安全檢查軟體
。網路接入設備(接入交換機和無線訪問點)
。 策略/AAA伺服器
終端安全檢查軟體 — 主要負責對接入的終端進行主機健康檢查和進行網路接入認證。當前更傾向於採用輕量級或可溶解的客戶端。以降低終端的部署和使用壓力。
網路接入設備 — 實施準入控制的網路設備包括路由器、交換機、無線接入點和安全設備。這些設備接受主機委託,然後將信息傳送到策略伺服器,在那裡實施網路準入控制決策。網路將按照客戶制定的策略實施相應的準入控制決策:允許、拒絕、隔離或限制。
策略/AAA伺服器——策略伺服器負責評估來自網路設備的端點安全信息,並決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。
b. NAC系統基本工作原理
當終端接入網路時,首先由終端設備和網路接入設備(如:交換機、無線AP、VPN等)進行互動通訊。然後,網路接入設備將終端信息發給策略/AAA伺服器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA伺服器上定義的策略後, 策略/AAA伺服器會通知網路接入設備,對終端進行授權和訪問控制。
部署方案
要部署NAC方案,需要安裝上面提到的所有NAC系統組件。在企業中,通常網路已擁有終端和網路接入設備。只需要再部署策略/AAA伺服器。
常見方法
通常有4種準入控制:
a.802.1x準入控制
802.1x的準入控制的優點是在交換機支持802.1x協定的時候,802.1x能夠真正做到了對網路邊界的保護。缺點是不兼容老舊交換機,必須重新更換新的交換機;同時,交換機下接不啟用802.1x功能的交換機時,無法對終端進行準入控制。
b.DHCP準入控制
DHCP的準入控制的優點是兼容老舊交換機。缺點是不如802.1x協定的控制力度強。
c.網關型準入控制
網關型準入控制不是嚴格意義上的準入控制。網關型準入控制沒有對終端接入網路進行控制,而只是對終端出外網進行了控制。同時,網關型準入控制會造成出口宕掉的瓶頸效應。
d.MVG準入控制
其前身是思科公司的VG(虛擬網關)技術。但是該技術僅能支持思科公司相關設備。受該技術的啟發,國內某些公司開發了MVG(多廠商虛擬網關)技術。該技術可以支持目前市場上幾乎所有的交換機設備。
e.ARP型準入控制
ARP準入控制是通過ARP欺騙實現的。ARP欺騙實際上是一種變相病毒。容易造成網路堵塞。由於越來越多的終端安裝的ARP防火牆,ARP準入控制在遇到這種情況下,則不能起作用。
展望
隨著網路套用的普及和雲計算的興起,網路準入控制會變得越來越重要。網路準入控制對保證網路邊界完整,進行訪問控制會起到重要的作用。