网络访问控制（NAC）.docxVIP

　　1. 网络准入控制(NAC)的需求和挑战　　思科网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的端点设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。　　IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。但是，识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略，用户有权进入网络，但是他们所使用的计算机可能不适合接入网络，为什么会出现这种情况？因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率，但是，这也会产生一定的问题：这些计算设备很容易在外部感染病毒或者蠕虫，当它们重新接入企业网络的时候，就会将病毒等恶意代码在不经意之间带入企业环境。　　瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作，造成停机，业务中断和不断地打补丁。利用思科网络准入控制，企业能够减少病毒和蠕虫对企业运作的干扰，因为它能够防止易损主机接入正常网络。在主机接入正常网络之前，NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。　　IBNS 的作用是验证用户的身份，而 NAC 的作用是检查设备的“状态”。交换平台上的 NAC 可以和思科信任代理 (CTA) 共同构成一个系统。思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息，并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和 NAC 合作伙伴将会把思科信任代理和它们的安全软件客户端集成到一起。思科正在和 McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作，将它们的防病毒软件集成到思科信任代理(CTA)中。　　NAC的主要优点包括：　　1. 控制范围大——它能够检测主机用于和网络连接的所有接入方法，包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入；　　2. 多厂商解决方案 —— NAC 是一项由思科发起、多家防病毒厂商参加的项目，包括Network Associates、Symantec和Trend Micro；　　3. 现有技术和标准的扩展 ——NAC扩展了现有通信协议和安全技术的用途，例如可扩展认证协议 (EAP) 、 802.1X和RADIUS服务；　　4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资和防病毒技术结合在一起，提供了准入控制设施。　　2. 网络准入控制(NAC)技术介绍　　a. NAC系统组件　　如下图所示，NAC系统共包括四个组件：　　NAC系统组件　　网络准入控制主要组件：　　端点安全软件（Cisco Security Agent/防病毒软件）　　Cisco Trust Agent　　网络接入设备（接入交换机和无线访问点）　　策略/AAA服务器　　防病毒服务器　　管理系统　　端点安全软件——包括AntiVirus防病毒软件，个人防火墙软件或Cisco Security Agent-思科安全代理，这些软件负责端点安全，并和 Cisco Trust Agent （思科信任代理）通讯，共同决定对终端的信任关系。　　Cisco Trust Agent——Cisco Trust Agent 负责收集多个安全软件客户端的安全状态信息，例如Anti-Virus 和Cisco Security Agent软件客户端，然后将信息传送到思科网络，在那里实施准入控制决策。对于未运行防病毒软件，或者没有适当版本的主机，按照预定策略，可以限制它对网络的接入范围，也可以其拒绝接入网络。　　网络接入设备 ——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。　　策略服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或打补丁）。Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器，它构成了策略服务器系统的基础。它可以和NAC合作商的应用服务器配合使用，提供更强的委托审核功能，例如防病毒策略服务器。　　防病毒服务器——防病毒服务器对防病毒软件客户端发送的状态报告进行检查，并将检查的结果返回策略服务器