為什么需要網絡接入控制？

在傳統的園區網絡建設思路中，一般認為園區內部網絡是安全的，安全威脅主要來自外界。因此各種安全措施基本上都圍繞著如何抵御外部的攻擊來部署，如部署防火墻等。但是，許多重大的安全漏洞往往出現在網絡內部，例如園區內部員工在瀏覽某些網站時，一些間諜軟件、木馬程序等惡意軟件也會不知不覺地被下載到電腦中，并在內網傳播，產生嚴重的安全隱患。因此，在園區網絡中，任何一臺終端的安全狀態（主要是指終端的防病毒能力、補丁級別和系統安全設置）都將直接影響到整個網絡的安全。另外，園區網絡出現大量非法接入和非授權訪問用戶時，也會導致業務系統遭受破壞、關鍵信息資產泄漏的風險。

NAC方案能夠有效的管理網絡訪問權限、及時的更新系統補丁、升級病毒庫，讓管理員更快捷的查找、隔離及修復不安全的終端，滿足園區網絡內部的安全需求。

網絡接入控制NAC具備以下能力：

• 身份認證

  對接入網絡的用戶身份進行合法性認證，只有合法用戶才允許接入是園區網絡安全的基本需求。園區網絡中終端（例如PC等）用戶的身份認證應滿足如下需求：

  符合安全要求的終端提供正確的用戶名和密碼后，可以正常接入網絡。

  不符合安全的終端，只能接入到網絡隔離區，待終端安全修復后才能接入網絡。

  不合法的用戶不允許接入網絡。

• 訪問控制

  根據用戶身份、接入時間、接入地點、終端類型、終端來源、接入方式（簡稱5W1H）精細匹配用戶，控制用戶能夠訪問的資源。5W1H即：

  who-誰接入了網絡（員工、訪客）；

  whose-誰的設備（公司標配、BYOD設備）；

  what-什么設備（PC、手機）；

  when-什么時間接入（上班、下班）；

  where-什么地點接入（研發區、非研發區、家里）；

  how-如何接入（有線、無線）。

• 終端安全檢查和控制

  對用戶終端的安全性進行檢查，只有“健康的、安全的”用戶終端才可以接入網絡。安全性檢查應滿足如下需求：

  對終端的安全性（殺毒軟件安裝、補丁更新、密碼強度等）進行掃描，在接入網絡前完成終端安全狀態的檢查。

  對終端不安全狀態能夠與網絡準入設備進行聯動，當發現不安全終端接入網絡的時候，能夠對這些終端實現一定程度的阻斷，防止這些終端對業務系統造成危害，并能夠主動幫助這些終端完成安全狀態的自修復。

  對于未能及時修復的不安全終端，能夠對其進行權限限制，避免接入網絡，引發網絡安全問題。

• 系統修復和升級

  如果系統存在安全隱患，NAC方案提供了系統自動和手動修復升級功能。可自動下載和升級系統補丁、觸發病毒庫的更新、自動殺死非法/違規進程等強制安全措施。