解惑:解析网络访问控制NAC本质

　　对于NAC，至今都众说纷纭。《网络准入和访问控制产品选择指南》一书的作者Dana Hendrickson曾经对NAC做了如下解释：“在从大的角度来说，NAC主要是处理和控制一个身份被验证了的用户的权限，即限定他可以访问什么网络和应用，以及用户在设备中的身份和安全状态。它对用户如何连接到一个网络，该分派给该用户怎样的安全规则，以及用户被允许进入网络后，设备该如何运作等一系列内容进行定义和管理。”

　　同样，网络处理专家Joel Connover也对NAC做出了一个更加简单明了的定义：“NAC描述了一种具备广义特点的网络访问体系，这些特点集中包括了确定用户身份、主机状态评估、威胁补正及规则等内容，并以对企业网络的访问控制为基础。”

　　从目前市场上看，NAC领域的供应商主要包括了Array Networks、思科、McAfee、ProCurve等20多家厂商，但是由于NAC从本质上而言是一个较大的概念，因此这些厂商通常都专注在各自不同的领域。这些领域主要包括VPN、交换机、防火墙、Wireless AP、防病毒、入侵检测、桌面管理、网络操作系统、访问控制系统等不同的部分。主要厂商及关注核心领域的示意图如下：

　　而在这其中，Array Networks则在VSSL VPN领域拥有明显的优势，并已经成为NAC该部分市场的领导者。

　　从目前实际的NAC解决策略中，主要包含了以下几种思路和技术方向：

　　1. 通过客户端的方式来实现，即主要采用一个可“溶解”的，或者预安装的客户端插件，判断访问用户的身份和安全状态;

　　2. 通过交换机来实现，访问用户必须提供正确的用户名/密码，否则交换机将把该用户阻隔在接入端口级上;

　　3. 通过进线设备实现，即在网络的连接点串行部署的设备，在完成需要的所有身份和安全状态检查前，可以阻止所有访问用户的流量;

　　4. 通过DHCP代理的方式，即通过DHCP分配一个不可路由的IP地址给访问用户，要求该用户在预定的Web页面上提交用户名/密码，并完成安全状态检查;

　　5. 流量监测模式，即持续监听网络流量，并判断新的访问用户的身份和安全状态，与访问控制策略相匹配。

　　然而从实际应用中看，以上模式都存在着这样那样的缺点，并不能从根本上使NAC解决策略达到一个理想的状态。

　　首先对于客户端模式，这要求首先必须非常了解企业的所有终端设备信息，时间和成本消耗巨大;而对于交换机方式而言，面对的问题则是需要更新或替换网络中的所有交换机，成本巨大，而即便如此也可能遭受MAC spoofing攻击;对于引入进线设备模式来说，同样存在问题，即需要部署在网络中的多个地点，导致成本的增加，并且该模式只能处理L3的用户访问流量，不能处理L2的访问;而DHCP代理模式则是最容易被绕过的方法，只需要配置一个可路由的静态IP地址可能侵入网络;流量监测模式则不能检测到不产生流量的终端设备。显然，以上这些通常的NAC策略，并不能从根本上解决客户对于网络访问控制的需要，并可能存在风险。

　　以下为几种解决策略的特征比较：

　　实际上，NAC并非一个单一的概念，它其实应该包含用户身份认证(Who)、用户终端环境检测(Where, by What)、访问控制(Can to do What)、网络访问状态监控(Know Who/Where/What…)等一系列内容。对于客户而言，要建立一个健全的NAC解决方案，这些缺一不可。

　　然而也正是因为如此，在NAC的实践过程中，企业也面临着巨大的挑战。对于那些希望通过实践NAC来解决自身问题的企业而言，找到一个真正适合自己的方案并非易事。NAC的概念如此广泛，而界限却模糊模糊不清;NAC的厂商如此众多，而分布在不同的产品领域;NAC的实践方法如此丰富，而特点不同。所有这一切，令众多企业无所侍从。

　　但唯一不变的是：你需要解决什么问题?什么是您现在必须要做的?什么对您并不是最重要的?

　　弄明白了这些，也许一切便迎刃而解。