NAC网络访问控制，你需要知道的！

定义：根据著名研究机构Forrester Research给出的定义，“NAC是一种软件技术和硬件技术的混合体，可根据客户系统符合策略的情况对其访问网络能力进行动态控制。网络访问控制是一个愿景，它利用现有的解决方案和新技术，来保证接入网络策略域的任何设备是通过认证的，并且遵从网络安全策略。不符合要求的设备将被隔离，直到其回到符合要求的状态。

?NAC的三个阶段，目前处于第二阶段

–意识

–标准（私有和非私有）

–合作

?微软和思科采用的是私有标准，TNC提供了开放的标准，而Juniper的UAC依据了TNC的一部分的开放标准

NAC的功能模块：

?节点检测，检测终端接入网络的动作，如ARP、802.1X等

?身份认证，如1X，IPSEC，PPPoE等

?端点安全检测，如杀软、补丁检测

?授权

?策略执行，即隔离等行为的执行，如ACL、VLAN等

?隔离，如部署VLAN，分配临时IP等

?修复，如打补丁等

?接入后的控制，如IDS、IPS等

NAC的组件

?客户端

–客户端软件：检测、上报、执行策略、接入后控制

–无客户端软件：自动下载客户端；基于Java或ActiveX

?策略执行点（PEP）：交换机、路由器、防火墙等

?策略服务器

?隔离区

?修复服务器

NAC的工作流程：

1.用户试图连接网络

2.NAC检测到用户的接入，检测客户端

3.用户向PEP设备提供准入数据

4.网络设备将准入信息传递给策略服务器

5.策略服务器完成对用户身份的验证，然后将端点信息发送给策略厂商服务器

6.策略厂商服务器针对某一方面的安全情况进行检查，例如针对补丁、针对杀毒软件，然后返回其意见

7.策略服务器根据反馈，决定客户端的访问权限，并将策略下发给策略执行设备

8.PEP设备执行策略，并将执行结果反馈给客户端

9.基于策略的执行结果，客户端将会接入网络或者进入隔离区