5.1 网络访问控制（NAC）

NAC对登录到网络的用户进行认证，同时决定该用户可以访问哪些数据，执行哪些操作。NAC同时可以检查用户的计算机或者移动设备(终端)的安全程度。

NAC系统的组成元素

NAC系统由三种类型的成分组成。

访问请求者（AR）：AR是一个尝试访问网络的节点,可以是由NAC系统控制的任何设备,包括工作站、服务器、打印机、照相机,以及其他支持IP的设备。AR同时也被称为请求者,或者简称为客户。
策略服务器：基于AR的态度和企业预先定义好的策略，策略服务器决定授予请求者什么访问权限。策略服务器经常依赖诸如杀毒、补丁管理,或者用户目录等后端系统的帮忙来决定主机的状况。
网络访问服务器(NAS):在远程的用户系统想连接公司内网的时候,NAS起到一个访问控制点的作用。NAS同时也被称为介质网关、远程访问服务器(RAS),或者是策略服务器,NAS有可能包含自己的认证服务,也有可能依赖由策略服务器提供的分离的认证服务。

认证过程服务于多种用途，它可以对请求者声称的身份进行验证，根据验证结果，策略服务器决定请求者是否具有访问权限以及具有什么级别的访问权限。认证交换可能导致会话密钥的建立,从而保证将来请求者与企业网络的资源之间可以进行安全通信。

通常，策略服务器或者支持服务器会对AR进行检查，以决定是否允许该请求者建立交互式远程访问连接。这些检查，有时也称为健壮性、适合性、筛选或者评估检查，需要用户系统中的软件去遵守来自企业组织的安全配置基准的一些要求。比如,用户的反恶意软件必须是最新的,操作系统必须完全打补丁,远程的计算机必须被组织拥有并受组织控制。

这些检查必须在授予AR访问企业网络的权限之前被执行。

如果用户具有可被接受的认证证书,但是远程计算机没有通过健康检查,用户以及远程计算机会被拒绝访问企业网络,或者只能被限制访问隔离网络,这样,只有被授权的人员可以访问网络,可以解决企业网络中存在的安全缺陷。
一旦AR被认证通过,具有访问企业网络的权限,NAS就会允许AR与企业网络中的资源进行交互。NAS有可能会干涉每一次交换以强制执行安全策略,也有可能使用其他方法限制AR的特权。

网络访问强制措施

强制措施被施加到AR上来管理用户对企业网络的访问。该许多供应商同时支持多种强制措施,允许用户使用一种或者几种措施的组合来定制配置。下面是一些常用的NAC强制措施。

IEEE802.1X：这是一个链接层协议,在一个端口被分配IP之前必须强制进行认证。IEEE 802.1X在认证过程中使用了可扩展认证协议。
虚拟局域网(VLAN)：在这种方法中,由互连的局域网组成的企业网络被逻辑划分为了许多VLAN，NAC系统根据设备是否需要安全修复,是否只是访问互联网,对企业资源何种级别的网络访问,决定将网络中的哪一个虚拟局域网分配给AR。

VALN可以被动态创建,VLAN的两个成员:企业服务器和访问请求者可能会有重叠。也就是说,一个企业服务器或者访问请求者可能属于不止一个虚拟局域网。
防火墙：防火墙通过允许或者拒绝企业主机与外部用户的网络流量来提供一种形式的网络访问控制。
动态主机配置协议(DHCP)管理：动态主机配置协议(DHCP)是一个能为主机动态分配IP地址的互联网协议。DHCP服务器拦截DHCP请求,分配IP地址。因此,基于子网以及IP分配,NAC强制措施会在IP层出现。DHCP服务器很容易安装配置,但是由于经常遭受各种形式的IP欺骗,只能提供有限的安全性。