网络访问控制(Network Access Control, NAC)
网络访问控制是一种安全解决方案,用于控制对网络资源的访问,确保只有授权和合规的设备才能连接网络
什么是网络访问控制
网络访问控制(NAC)是一套安全技术和策略的组合,用于在设备尝试连接网络时评估其安全性,并根据评估结果决定是否允许访问以及访问权限。
NAC的基本原理
设备连接请求
│
▼
┌─────────────────┐
│ 身份验证 │ ← 验证用户和设备身份
└─────────┬───────┘
│
▼
┌─────────────────┐
│ 合规性检查 │ ← 检查设备安全状态
└─────────┬───────┘
│
▼
┌─────────────────┐
│ 访问决策 │ ← 根据策略决定访问权限
└─────────┬───────┘
│
▼
访问结果
├─允许完全访问
├─允许有限访问
├─隔离修复
└─拒绝访问
NAC的核心功能
- 身份认证:验证用户和设备身份
- 设备评估:检查设备安全状态
- 策略执行:根据策略授予或拒绝访问
- 网络隔离:将不合规设备隔离到修复网络
- 持续监控:持续监控已连接设备状态
NAC架构组件
1. 访问请求者(AR, Access Requester)
尝试访问网络的设备或终端。
类型:
- 个人电脑
- 移动设备
- 物联网设备
- 服务器
2. 策略执行点(PEP, Policy Enforcement Point)
执行访问控制策略的网络设备。
类型:
- 交换机
- 无线接入点
- VPN网关
- 防火墙
3. 策略决策点(PDP, Policy Decision Point)
根据策略和设备信息做出访问决策。
功能:
- 策略存储
- 设备评估
- 访问决策
- 日志记录
4. 访问服务器(Access Server)
处理身份验证和授权的服务器。
类型:
- RADIUS服务器
- TACACS+服务器
- LDAP目录服务
5. 修复服务器
为不合规设备提供修复服务的服务器。
服务:
- 补丁分发
- 病毒库更新
- 配置修复
- 软件安装
NAC部署模式
1. 基于端口的NAC
在交换机端口级别实施访问控制。
设备 → 交换机端口 → NAC检查 → 网络访问
优点:
- 实施简单
- 控制精确
- 与现有网络集成
缺点:
- 依赖交换机支持
- 只适用于有线网络
- 扩展性有限
2. 基于DHCP的NAC
通过DHCP服务器实施访问控制。
设备 → DHCP请求 → NAC检查 → IP分配
优点:
- 实施简单
- 不依赖特定设备
- 适用于有线和无线
缺点:
- 安全性较低
- 容易绕过
- 控制粒度粗
3. 基于VPN的NAC
在VPN连接点实施访问控制。
远程设备 → VPN连接 → NAC检查 → 内部网络
优点:
- 适合远程访问
- 安全性高
- 集中管理
缺点:
- 只适用于VPN连接
- 需要VPN基础设施
- 性能开销大
4. 无线NAC
在无线接入点实施访问控制。
无线设备 → AP连接 → NAC检查 → 无线网络
优点:
- 无线网络专用
- 移动设备支持好
- 与无线集成
缺点:
- 只适用于无线网络
- 依赖AP支持
- 性能影响大
NAC标准与协议
1. IEEE 802.1X
基于端口的网络访问控制标准。
工作流程
1. 设备连接 → 2. EAPOL-Start → 3. EAP-Request/Identity
↑ ↓
6. EAP-Success ← 5. EAP-Response
↑ ↓
4. RADIUS Access-Request
↑ ↓
3. RADIUS Access-Accept
组件
- 请求者(Supplicant):客户端设备
- 认证者(Authenticator):网络设备(交换机/AP)
- 认证服务器(AS):RADIUS服务器
EAP方法
- EAP-TLS:基于证书的认证
- EAP-TTLS:隧道TLS认证
- PEAP:受保护的EAP
- EAP-MSCHAPv2:基于密码的认证
2. RADIUS
远程认证拨入用户服务,用于AAA(认证、授权、计费)。
功能
- 认证:验证用户身份
- 授权:授予访问权限
- 计费:记录使用情况
属性
User-Name: 用户名
User-Password: 用户密码
NAS-IP-Address: NAS IP地址
Service-Type: 服务类型
Framed-Protocol: 协议类型
3. TACACS+
终端访问控制器访问控制系统,提供AAA服务。
与RADIUS区别
| 特性 | RADIUS | TACACS+ |
|---|---|---|
| 协议 | UDP | TCP |
| 加密 | 只加密密码 | 加密整个包 |
| 分离 | 认证/授权分离 | 完全分离 |
| 可靠性 | 较低 | 较高 |
NAC实施策略
1. 身份认证策略
多因素认证
- 因素1:用户知道(密码)
- 因素2:用户拥有(令牌、证书)
- 因素3:用户特征(生物特征)
设备认证
- MAC地址认证:基于MAC地址
- 证书认证:基于设备证书
- 设备指纹:基于设备特征
2. 设备合规策略
安全软件检查
- 杀毒软件安装与更新
- 防火墙状态
- 操作系统补丁级别
- 反恶意软件状态
配置检查
- 系统配置合规性
- 安全设置检查
- 服务配置检查
- 注册表检查
3. 访问控制策略
角色基础访问控制(RBAC)
管理员角色 → 完全访问
员工角色 → 业务系统访问
访客角色 → 互联网访问
时间基础访问控制
工作时间 → 完全访问
非工作时间 → 限制访问
位置基础访问控制
内网位置 → 完全访问
远程连接 → 限制访问
NAC解决方案
1. Cisco ISE
Cisco身份服务引擎,企业级NAC解决方案。
特点
- 统一访问策略
- 设备配置文件
- 访客管理
- 设备注册
组件
Cisco ISE
├── 策略管理
├── 身份验证
├── 设备管理
├── 访客管理
└── 报告分析
2. Aruba ClearPass
Aruba网络访问控制解决方案。
特点
- 多厂商支持
- 简化部署
- 自助服务
- BYOD支持
3. ForeScout CounterACT
网络可视化和控制平台。
特点
- 自动化响应
- 实时监控
- 设备发现
- 无代理部署
NAC实施案例
1. 企业有线网络NAC实施
需求
- 员工:完全访问内部资源
- 访客:仅互联网访问
- 合规:安全软件检查
实施
# 交换机配置(Cisco)
interface GigabitEthernet1/0/1
authentication port-control auto
authentication host-mode multi-auth
authentication violation restrict
dot1x pae authenticator
spanning-tree portfast# RADIUS配置
client switch {
ipaddr = 192.168.1.1
secret = shared_secret
}
users {
employee {
ntlm-password = "password"
reply {
Tunnel-Type = "VLAN"
Tunnel-Medium-Type = "IEEE-802"
Tunnel-Private-Group-ID = "10"
}
}
guest {
ntlm-password = "password"
reply {
Tunnel-Type = "VLAN"
Tunnel-Medium-Type = "IEEE-802"
Tunnel-Private-Group-ID = "20"
}
}
}
2. 无线网络NAC实施
需求
- 员工:内部资源访问
- BYOD:有限访问
- 访客:隔离网络
实施
# 无线控制器配置
wlan wlan1
security wpa2 aes
security wpa2 ciphers aes
authentication open eap eap_methods eap-tls
accounting radius
aaa authentication radius server1
aaa authorization radius server1
aaa accounting radius server1NAC最佳实践
1. 规划阶段
- 需求分析:明确访问需求和安全要求
- 策略设计:设计访问控制策略
- 设备评估:评估现有设备兼容性
- 网络规划:规划网络分段
2. 部署阶段
- 分阶段部署:从小范围开始逐步扩展
- 测试验证:全面测试功能和性能
- 培训用户:培训最终用户
- 应急预案:准备应急方案
3. 运营阶段
- 定期审计:定期审计访问日志
- 策略更新:根据需要更新策略
- 性能监控:监控系统性能
- 用户支持:提供技术支持
NAC面临的挑战
1. 设备兼容性
- 老旧设备:不支持802.1X
- 物联网设备:功能受限
- 移动设备:多样性高
- 专用设备:特殊协议支持
2. 用户体验
- 复杂性:增加使用复杂度
- 延迟:认证增加连接延迟
- 故障排除:问题诊断困难
- 兼容性:多设备协同问题
3. 管理复杂性
- 策略管理:策略复杂度高
- 设备管理:设备数量大
- 日志分析:日志量庞大
- 维护成本:维护成本高
未来发展趋势
1. 零信任NAC
基于零信任模型的NAC,持续验证和最小权限。
传统NAC:连接→信任→访问
零信任NAC:连接→验证→信任→访问(持续验证)
2. AI增强NAC
使用机器学习优化访问决策和异常检测。
3. 云集成NAC
与云平台集成,支持混合云环境访问控制。
🔗 相关链接
最后更新:2025-01-26 维护规范:详见 笔记规范文档