由网友(别再奢求)分享简介：收集准进节制 (NAC) 是1项由思科倡议、多野厂商到场的规划，其宗旨是防止病毒以及蠕虫等新兴白客技能对于企业安齐形成风险。借帮NAC，客户可以只许可正当的、值患上信托的末端设备（例如PC、办事器、PDA）交进收集，而没有许可其它设备交进。中文名收集准进节制宗旨是防止白客技能对于企业安齐形成风险外文名NAC做用是查抄设备的“状况...

网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

中文名

网络准入控制

宗旨是

防止黑客技术对企业安全造成危害

外文名

NAC

作用

是检查设备的“状态

需求与挑战

准入控制能够在用户访问网络之前确保用户的身份是信任关系。但是，识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略，用户有权进入网络，但是他们所使用的计算机可能不适合接入网络，为什么会出现这种情况？因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率，但是，这也会产生一定的问题：这些计算设备很容易在外部感染病毒或者蠕虫，当它们重新接入企业网络的时候，就会将病毒等恶意代码在不经意之间带入企业环境。

瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作，造成停机，业务中断和不断地打补丁。利用网络准入控制，企业能够减少病毒和蠕虫对企业运作的干扰，因为它能够防止易损主机接入正常网络。在主机接入正常网络之前，NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

NAC的作用

NAC 的作用是检查设备的“状态”。终端NAC代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息，并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。

NAC的主要优点

NAC的主要优点包括：

a. 控制范围大——它能够检测主机用于与网络连接的所有接入方法，包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入；

b. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起，对终端准入进行主机健康检查。

c.控制力度强——通常采用在网络层面上的隔离、修复区方法。在终端接入网络访问业务数据之前就可以进行相应的控制。

技术介绍

a. NAC系统组件

网络准入控制主要组件有：

。终端安全检查软件

。网络接入设备（接入交换机和无线访问点）

。 策略/AAA服务器

终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。当前更倾向于采用轻量级或可溶解的客户端。以降低终端的部署和使用压力。

网络接入设备 — 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。

策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或打补丁）。

b. NAC系统基本工作原理

当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后， 策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。

部署方案

要部署NAC方案，需要安装上面提到的所有NAC系统组件。在企业中，通常网络已拥有终端和网络接入设备。只需要再部署策略/AAA服务器。

常见方法

通常有4种准入控制：

a.802.1x准入控制

802.1x的准入控制的优点是在交换机支持802.1x协议的时候，802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机，必须重新更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法对终端进行准入控制。

b.DHCP准入控制

DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。

c.网关型准入控制

网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制，而只是对终端出外网进行了控制。同时，网关型准入控制会造成出口宕掉的瓶颈效应。

d.MVG准入控制

其前身是思科公司的VG（虚拟网关）技术。但是该技术仅能支持思科公司相关设备。受该技术的启发，国内某些公司开发了MVG（多厂商虚拟网关）技术。该技术可以支持目前市场上几乎所有的交换机设备。

e.ARP型准入控制

ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙，ARP准入控制在遇到这种情况下，则不能起作用。

展望

随着网络应用的普及和云计算的兴起，网络准入控制会变得越来越重要。网络准入控制对保证网络边界完整，进行访问控制会起到重要的作用。