本文介绍了网络访问控制(NAC)的概念及工作原理,详细解释了NAC如何通过客户端软件、策略执行点(PEP)等组件实现对接入网络设备的身份验证与安全策略执行。此外还探讨了NAC的技术发展阶段及其在不同标准下的应用。
定义:根据著名研究机构Forrester Research给出的定义,“NAC是一种软件技术和硬件技术的混合体,可根据客户系统符合策略的情况对其访问网络能力进行动态控制。网络访问控制是一个愿景,它利用现有的解决方案和新技术,来保证接入网络策略域的任何设备是通过认证的,并且遵从网络安全策略。不符合要求的设备将被隔离,直到其回到符合要求的状态。
?NAC的三个阶段,目前处于第二阶段
–意识
–标准(私有和非私有)
–合作
?微软和思科采用的是私有标准,TNC提供了开放的标准,而Juniper的UAC依据了TNC的一部分的开放标准
NAC的功能模块:
?节点检测,检测终端接入网络的动作,如ARP、802.1X等
?身份认证,如1X,IPSEC,PPPoE等
?端点安全检测,如杀软、补丁检测
?授权
?策略执行,即隔离等行为的执行,如ACL、VLAN等
?隔离,如部署VLAN,分配临时IP等
?修复,如打补丁等
?接入后的控制,如IDS、IPS等
NAC的组件
?客户端
–客户端软件:检测、上报、执行策略、接入后控制
–无客户端软件:自动下载客户端;基于Java或ActiveX
?策略执行点(PEP):交换机、路由器、防火墙等
?策略服务器
?隔离区
?修复服务器
NAC的工作流程:
1.用户试图连接网络
2.NAC检测到用户的接入,检测客户端
3.用户向PEP设备提供准入数据
4.网络设备将准入信息传递给策略服务器
5.策略服务器完成对用户身份的验证,然后将端点信息发送给策略厂商服务器
6.策略厂商服务器针对某一方面的安全情况进行检查,例如针对补丁、针对杀毒软件,然后返回其意见
7.策略服务器根据反馈,决定客户端的访问权限,并将策略下发给策略执行设备
8.PEP设备执行策略,并将执行结果反馈给客户端
9.基于策略的执行结果,客户端将会接入网络或者进入隔离区
扫一扫
75
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
