4.4.4网络访问控制(Network Access Control,NAC)
网络访问控制,是网络安全领域的一个重要分支,根据著名研究机构Forrester Research给出的定义,“NAC是一种软件技术和硬件技术的混合体,可根据客户系统符合策略的情况对其访问网络能力进行动态控制”。这些客户系统需要符合的“策略”,包括用户的身份、用户主机的软硬件情况、用户的行为等多个方面,只有这些被列入检查范围内的内容全都符合策略的要求,用户才能正常上网;否则,用户将会收到警告,或者被隔离到某个“安全区域”进行修复,更严重的,用户可能会被完全阻断网络,这些都是在“策略”中预先定义好的。
随着网络基础设施建设的逐渐完善,为了保证越来越多的在网络上运行的系统和数据的安全,NAC的重要性逐步得到了认可。现在基于NAC的技术大致可分为两种,一种是基于Webportal网关设备的身份准入和终端检查,另一种是采用基于IEEE 802.1x协议的交换设备实现的身份准入和检查,而后者正是NAC领域中成长最为迅速的一个分支。
比如锐捷安全管理平台(简称“RG-ESS”),为网络中的主机设备定义一个统一的网络安全接入标准,只有满足这个接入标准的主机才能接入并使用网络。同时,网络管理员可以在RG-ESS上生成并执行访问控制策略,对网络攻击行为进行预防、检测和处理,对合法网络用户进行保护,从而有效阻止恶意用户对网络进行攻击,并防止网络病毒在网络中进行传播和破坏。
从网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络,主要应具备以下功能:
(1)终端用户通过身份认证连接网络时,通过严格的IP、MAC、交换机IP、交换机端口、用户名、密码绑定措施,确保接入用户身份的合法性。
(2)认证方式灵活多样,允许账号在网内漫游,用户可在多台终端上重复登录。可指定终端不用账号连接网络(如监控摄像头、门禁设备、电子屏幕等),但可限定其联网目标IP。
(3)认证后对终端自动进行安全性检查,包括操作系统补丁检查、防病毒软件版本、病毒特征库版本检查,应用软件黑、白名单检查;共享目录检查;分区表检查等。
(4)引导用户完善自身终端网络安全,当上网终端不满足安全策略时,系统将其上网地址强制指向特定网站引导用户进行完善,待完善后才能上网。
(5)可按照用户划分不同的访问权限,根据用户身份的不同,限制不同的访问资源权限,让用户在接入网络后,只能访问自己权限之内的服务器和网络区域。
(6)可按照策略进行管理,包括资产安全策略、补丁安装策略、访问策略、应用程序策略、外设策略和远程维护等策略管理。根据安全策略,将不满足安全策略的终端进行网络隔离。
(7)具有绿色访问通道,用户在没有认证前可访问特定的网络资源。
(8)有详细的综合报表,管理员可以对当前和历史事件进行逻辑筛选和查找,并按照要求生成详细的报表,帮助管理者监察和控制网络终端。
(9)行为审计,记录上网用户的登录IP、上线时间、下线时间、目的IP、用户名及访问行为。
(10)系统要具有广泛的兼容性。终端接入控制系统要对网络中使用的交换机品牌、版本兼容,对网络终端的操作系统、系统软件、杀毒软件有良好的兼容性。