为什么需要网络接入控制?
在传统的园区网络建设思路中,一般认为园区内部网络是安全的,安全威胁主要来自外界。因此各种安全措施基本上都围绕着如何抵御外部的攻击来部署,如部署防火墙等。但是,许多重大的安全漏洞往往出现在网络内部,例如园区内部员工在浏览某些网站时,一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中,并在内网传播,产生严重的安全隐患。因此,在园区网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。另外,园区网络出现大量非法接入和非授权访问用户时,也会导致业务系统遭受破坏、关键信息资产泄漏的风险。
NAC方案能够有效的管理网络访问权限、及时的更新系统补丁、升级病毒库,让管理员更快捷的查找、隔离及修复不安全的终端,满足园区网络内部的安全需求。
网络接入控制NAC具备以下能力:
身份认证
对接入网络的用户身份进行合法性认证,只有合法用户才允许接入是园区网络安全的基本需求。园区网络中终端(例如PC等)用户的身份认证应满足如下需求:
符合安全要求的终端提供正确的用户名和密码后,可以正常接入网络。
不符合安全的终端,只能接入到网络隔离区,待终端安全修复后才能接入网络。
不合法的用户不允许接入网络。
访问控制
根据用户身份、接入时间、接入地点、终端类型、终端来源、接入方式(简称5W1H)精细匹配用户,控制用户能够访问的资源。5W1H即:
who-谁接入了网络(员工、访客);
whose-谁的设备(公司标配、BYOD设备);
what-什么设备(PC、手机);
when-什么时间接入(上班、下班);
where-什么地点接入(研发区、非研发区、家里);
how-如何接入(有线、无线)。
终端安全检查和控制
对用户终端的安全性进行检查,只有“健康的、安全的”用户终端才可以接入网络。安全性检查应满足如下需求:
对终端的安全性(杀毒软件安装、补丁更新、密码强度等)进行扫描,在接入网络前完成终端安全状态的检查。
对终端不安全状态能够与网络准入设备进行联动,当发现不安全终端接入网络的时候,能够对这些终端实现一定程度的阻断,防止这些终端对业务系统造成危害,并能够主动帮助这些终端完成安全状态的自修复。
对于未能及时修复的不安全终端,能够对其进行权限限制,避免接入网络,引发网络安全问题。
系统修复和升级
如果系统存在安全隐患,NAC方案提供了系统自动和手动修复升级功能。可自动下载和升级系统补丁、触发病毒库的更新、自动杀死非法/违规进程等强制安全措施。