网络接入控制或称网络访问控制,它是一套可用于定义在节点访问网络之前如何保障网络及节点安全的协议集合。NAC还集成了自动化的救治过程,准许网络设备(如路由器、交换机、防火墙等)密切协作,以支持服务器和终端用户的计算机,保障在进行交互之前信息系统可以进行安全的操作。
NAC已成为阻止潜在的窥探和攻击者的一种重要工具,也可用于管理更复杂的web许可和授权,这些许可和授权可适应于不同的用户组访问不同的网络部分。这项技术有助于企业增强其关于任何寻求网络访问的个人或设备的安全策略。NAC还有助于企业与外部的规章和内部的策略保持一致性,并可以保护网络资源免受不断发展的网络威胁的危害。
NAC的目标
NAC代表着一种安全产品,其目标可分为以下三个部分:
1.减少零日攻击风险。NAC方案的关键价值取向在于防止缺乏反病毒、补丁、主机入侵防御软件的终端访问网络资源,并可阻止这种设备将其它计算机置于风险之中。
2.增强策略。NAC方案允许网络操作员定义策略,如允许访问网络的用户角色或计算机类型是怎样的,并在交换机、路由器等网络设备中强化这些策略。
3.身份和访问管理。传统的IP网络根据IP地址增强访问策略,而NAC环境根据用户身份来增强安全。
NAC的救治策略
NAC是为了治病救人。NAC的操作人员部署NAC 产品的目的是为了禁止一些没有采取健全安全措施的客户端访问网络。如果用户会都拥有最新的补丁,并且都安装了防火墙和可升级的反病毒程序,还要NAC干什么呢?正因为如此,NAC要求采取一种机制来救治客户端的问题。
NAC有两种救治策略,一是是网络隔离,二是限制网络入口。
一个隔离网络是一个受限的IP网络,它可以向用户提供某些主机和应用程序的选择性访问。隔离通常是根据VLAN分配来实施的。当NAC产品认为某一个终端用户“过期”时,其交换机端口就分配给一个VLAN,此VLAN连接到补丁和更新服务器,而不能连接到网络的其余部分。除了VLAN方案之外,还可以采用地址管理技术(如地址解析协议和NDP协议)实现隔离,可以避免管理VLAN的高昂成本。
限制网络入口能截获到达网页的HTTP请求,将用户指引到一个能够提供计算机更新的指令和工具的web应用程序。直至其计算机通过了自动化的检查,除此网络入口之外的网络应用程序都不被许可。