什么是网络访问控制？

网络访问控制（NAC）通过确保只有经过身份验证且符合要求的用户和设备才能接入网络，从而保护网络安全。它通过执行安全策略、控制设备的访问权限，以及防止未经授权或存在安全隐患的系统进入网络，来进一步加强网络的防护能力。

• 阻止未经授权的用户以及不符合要求的设备。
• 根据设备的健康状况和用户的身份，授予有限的访问权限。
• 确保能够在有线和无线网络环境中实施相关政策。
• 通过控制横向移动，从而限制威胁的扩散。

NAC的工作原理是什么？

• 识别试图连接的设备。
• 评估设备是否符合安全政策的要求。
• 对用户和设备进行认证/验证
• 根据身份、角色以及设备的状态来授权访问权限。
• 根据合规情况，可能会获得全额资助、有限资助，或者无法获得任何资助。

网络访问控制的类型

不同类型的网络访问控制包括：

入组前的NAC评估

• 在设备加入网络之前发生这种情况。
• 在连接请求过程中，会评估用户的合规性和身份真实性。
• 只有符合所需安全标准的设备才能访问该资源。
• 防止未经授权或存在安全风险的设备进入网络。

2. 验收后的NAC处理

• 在设备连接到网络之后才生效。
• 通过要求对敏感区域进行重新认证，从而限制了横向移动。
• 监控设备的行为，并强制执行跨段的访问规则。
• 非常适合用于防止被感染的设备内部传播。

实施 NAC 解决方案的步骤

以下是实施NAC解决方案的步骤：

收集数据

• 识别所有与网络资源进行交互的设备、用户以及系统。
• 记录设备类型、操作系统版本、所有权以及使用情况。

2. 管理身份信息

• 对每一个用户或设备进行身份验证和授权。
• 与目录服务集成（如 Active Directory、LDAP 等）

3. 确定权限设置

• 为不同的用户/设备组定义访问权限级别。
• 遵循最小权限原则

4. 应用权限设置

• 对每个组实施访问控制策略。
• 在NAC系统中注册用户/设备，以便进行跟踪管理。

5. 更新与监控

• 持续监控网络活动
• 随着组织的需求发生变化，应相应地调整访问规则。
• 定期审查日志、合规性状态以及设备的状态。

网络访问控制的重要性

以下是网络访问控制的重要性：

• 移动设备和个人设备的数量不断增加，这加剧了安全风险。
• 现代网络需要那些能够提供可见性、控制能力以及确保合规性的工具。
• NAC通过确保只有可信的设备才能连接，从而增强企业的安全性。

NAC系统可以：

• 拒绝未经授权或不符合要求的设备访问权限。
• 只允许那些部分符合要求的设备访问该资源。
• 防止易受攻击的设备感染网络。
• 能够在各种不同类型的企业网络中广泛应用，适用于各种规模的网络环境。
• 现代网络需要那些能够提供可见性、控制能力以及确保合规性的工具。
• NAC通过确保只有可信的设备才能连接，从而增强了企业的安全性。

NAC的主要要素

NAC主要包含三个要素：

1. 访问请求者/用户

• 任何需要网络访问的设备、用户或程序
• 包括笔记本电脑、服务器、网络摄像头、打印机以及物联网设备。
• 必须遵守组织的安保政策。

2. 策略服务器

• 根据身份、权限、设备状态以及请求类型来确定访问级别。
• 与后端系统无缝集成，例如防病毒工具、补丁管理以及目录服务。
• 相应地，授权、限制或拒绝网络访问。

3. 网络访问服务器（NAS）

• 用于远程连接用户的访问控制点
• 通常与 VPN 网关集成在一起使用
• 为远程员工提供安全进入内部网络的方式。

网络访问控制的关键职责

以下是网络访问控制系统的关键职责，这些内容被清晰地整理出来，以便理解：

• 它只允许经过认证且符合要求的设备访问网络资源与基础设施。
• 它负责控制和监控网络中连接设备的活动情况。
• 它限制了私人组织的网络资源对那些遵循其安全策略的设备的可用性。
• 它负责调节网络资源对用户的访问权限。
• 它通过执行安全策略来减轻网络威胁，这些策略能够阻止、隔离那些不符合要求的机器，同时还能自动修复这些问题，而无需管理员进行干预。

现实世界/实际情况NAC示例

以下是一些实际中的网络访问控制示例，这些示例可以帮助您了解网络访问控制在企业环境中的实际应用方式。

• 公司办公室NAC系统确保只有公司许可、经过安全处理的笔记本电脑才能访问内部系统。未经授权的或不符合要求的设备会被阻止访问，或者被送到受限网络区域。
• 医院/医疗保健机构NAC会在访问患者数据之前，先验证医疗器械以及医护人员使用的计算机是否符合安全标准。那些不符合标准的设备将会被拒绝访问，或者其访问权限会被限制。
• 零售店这种限制措施使得只有经过授权的销售点系统才能接入网络。客户和员工的设备则被置于独立的宾客无线网络中。
• 智能家居在允许智能设备连接之前，它会对其进行安全检查。客人只能访问互联网，从而确保家庭自动化系统的安全性。

网络访问控制（NAC）的局限性

以下是关于NAC系统的局限性，这些局限性在现实环境中的部署过程中非常重要，需要予以重视：

• 物联网设备的可见性有限NAC的可见性和控制能力非常有限，尤其是在无法获取特定用户身份的情况下，对于物联网设备或终端来说，NAC的控制能力几乎为零。
• 没有内部威胁防护机制NAC无法有效防范源自网络内部的威胁，比如内部人员发起的攻击或被攻破的内部设备所引发的威胁。
• 兼容性问题如果NAC解决方案无法有效运作的话，那么它们就可能无法发挥应有的作用了。i与组织内部现有的安全工具或基础设施不兼容。