网络准入控制(Network Access Control,简称 NAC)是一种网络安全技术,旨在限制未经授权的设备和用户连接到网络中。它通过对设备和用户的身份进行验证,并确保设备具有适当的安全配置,才允许连接到网络。
网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助 NAC,客户可以只允许合法的、值得信任的终端设备(例如 PC、服务器、PDA)接入网络,而不允许其它设备接入。
NAC 系统通常包括一个服务器和多个客户端软件,客户端软件安装在设备上,服务器与网络核心设备相连。当设备试图连接到网络时,NAC 系统会要求设备运行客户端软件,并进行身份验证和设备状态检查。如果身份验证和设备状态检查通过,NAC 系统会允许设备连接到网络。否则,NAC 系统会拒绝设备的连接请求,或者将设备隔离在一个安全的隔离区域中,直到设备达到要求的安全状态。
NAC 系统还可以监控网络中设备的行为,如果发现设备存在安全威胁,则可以立即将其隔离或断开连接。这样可以有效地防止病毒、恶意软件等威胁对网络造成危害。
NAC 系统可以使用多种方式进行身份验证,如用户名/密码认证、数字证书认证、令牌认证等。在进行设备状态检查时,NAC 系统可以检查设备上安装的安全软件是否已更新、防火墙是否已启用、操作系统是否已升级等。
NAC 技术的应用非常广泛,可以用于政府、企业、学校等多种场合。它不仅可以保护网络免受安全威胁,还可以帮助组织管理和控制网络访问,提高网络效率和安全性。
准入控制能够在用户访问网络之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况。因为笔记本电脑等移动计算设备在工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC 能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
NAC 的作用是检查设备的“状态”。终端 NAC 代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。
相关文章
