1.NAC技术
1.1简介
网络接入控制(Network Access Control,简称NAC)是由思科(Cisco)主导的产业级协同研究成果,NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略,并可保证不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络策略,或者限制其可访问的资源。
1.2作用及用处
NAC具备以下能力:
身份认证
对接入网络的用户身份进行合法性认证,只有合法用户才允许接入是园区网络安全的基本需求。园区网络中终端(例如PC等)用户的身份认证应满足如下需求:
- 符合安全要求的终端提供正确的用户名和密码后,可以正常接入网络。
- 不符合安全的终端,只能接入到网络隔离区,待终端安全修复后才能接入网络。
- 不合法的用户不允许接入网络。
访问控制
根据用户身份、接入时间、接入地点、终端类型、终端来源、接入方式(简称5W1H)精细匹配用户,控制用户能够访问的资源。5W1H即:
who-谁接入了网络(员工、访客);
whose-谁的设备(公司标配、BYOD设备);
what-什么设备(PC、手机);
when-什么时间接入(上班、下班);
where-什么地点接入(研发区、非研发区、家里);
how-如何接入(有线、无线)。
终端安全检查和控制
对用户终端的安全性进行检查,只有“健康的、安全的”用户终端才可以接入网络。安全性检查应满足如下需求:
- 对终端的安全性(杀毒软件安装、补丁更新、密码强度等)进行扫描,在接入网络前完成终端安全状态的检查。
- 对终端不安全状态能够与网络准入设备进行联动,当发现不安全终端接入网络的时候,能够对这些终端实现一定程度的阻断,防止这些终端对业务系统造成危害,并能够主动帮助这些终端完成安全状态的自修复。
- 对于未能及时修复的不安全终端,能够对其进行权限限制,避免接入网络,引发网络安全问题。
系统修复和升级
如果系统存在安全隐患