【网络基础架构安全】网络准入与控制（NAC）安全114-网络安全在线-网络安全百科-网安百科搜索引擎网络安全百科-网络安全114-网络安全在线

网络准入与控制概述

NAC (Network Access Control) 这一概念最早由思科发起，后续Juniper、华为、联软、北信源等多家厂商根据此概念，不断发展新兴技术并完善相关标准。网络准入控制产品出现至今将近20年历史，其宗旨是防止计算机病毒和蠕虫等黑客攻击技术对企业安全造成危害。借助网络准入控制技术，可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络，而未经授权的终端不能接入。

网络准入与控制通常有4种准入控制：

a.802.1x准入控制

802.1x的准入控制的优点是在交换机支持802.1x协议的时候，802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机，必须重新更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法对终端进行准入控制。

b.DHCP准入控制

DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。

c.网关型准入控制

网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制，而只是对终端出外网进行了控制。同时，网关型准入控制会造成出口宕掉的瓶颈效应。

d.MVG准入控制

其前身是思科公司的VG（虚拟网关）技术。但是该技术仅能支持思科公司相关设备。受该技术的启发，国内某些公司开发了MVG（多厂商虚拟网关）技术。该技术可以支持市场上几乎所有的交换机设备。

e.ARP型准入控制

ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。

准入控制能够在用户访问网络之前确保用户的身份是信任关系。但是，识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略，用户有权进入网络，但是他们所使用的计算机可能不适合接入网络，为什么会出现这种情况。因为笔记本电脑等移动计算设备在工作环境中的普及提高了用户的生产率，但是，这也会产生一定的问题：这些计算设备很容易在外部感染病毒或者蠕虫，当它们重新接入企业网络的时候，就会将病毒等恶意代码在不经意之间带入企业环境。

瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作，造成停机，业务中断和不断地打补丁。利用网络准入控制，企业能够减少病毒和蠕虫对企业运作的干扰，因为它能够防止易损主机接入正常网络。在主机接入正常网络之前，NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

网络准入与控制重要性

随着计算机技术和网络通信技术的发展、应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是网线所连接的PC，还包括手机、PAD等各类新式的移动设备。这些形形色色的终端给信息安全工作带来了巨大挑战：类型众多，以各种方式接入。并且是大部分事物的起点和源头，是用户登录并访问网络的起点、是用户访问Internet的起点、是应用系统访问和数据产生的起点、更是病毒攻击、从内部发起恶意攻击和内部保密数据盗用或失窃的源头。

因此，终端安全管理对每个企业来说都极其重要，只有通过完善的终端安全管理才能够真正从源头上控制各种事件的启始、遏制由内网发起的攻击和破坏。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。