网络准入控制(NAC)部署经验

 

网络准入控制 (NAC) 其宗旨是防止病毒和蠕虫等新兴***技术对企业安全造成危害。准入控制能够在用户访问网络之前确保用户的身份是信任关系，只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。也可以阻止感染了病毒或未升级系统补丁的电脑接入网络。

在2007年曾经研究过《802.1X+IAS+AAA+DVLAN实现用户身份认证和IP地址动态管理》并应用于企业环境。但由于802.1x的特点，部署后压力非常大，一方面802.1x客户端的配置工作量大，另一方面服务器端的维护压力也大，没实施多久就被迫停止了。

您是否也部署过基于802.1x架构的准入控制系统？在部署后是否经常接到过让人头疼而又倍感压力的电话？

 

但准入技术发展的日新月异，加上无客户端化浪潮的不断演进，原有技术细则中过多偏向于802.1x技术实现的弊病也显露无疑。早在2010年左右，NAC产品已有了翻天覆地的变化。在Forrester对NAC厂商的排名中，我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准：

• Unified management （整合管理）

• Integration （集成度，或兼容性）

• Clientless (agentless) mode （无客户端模式）

• Hardware (appliance) （硬件应用）

• Heavy focus on IT consumerization, mobiledevice control and data center virtualization （关注前端、移动端和虚拟化）

准入产品中的无客户端化已经成为了最基本的要求。

 

目前市面上的NAC产品也比较多，经过一番对比，我们最终选择了ForeScout设备，采用旁路方式连接。

本文主要分享控制策略，并不介绍ForeScout设备的配置，配置也非常简单，参考相关的资料很快就能上手。

实施过程我们分为两个阶段：

第一阶段：PC合法性检查，即只允许受信任的PC能够接入公司网络。

第二阶段：PC合规性检查，即检查是否安装防病毒软件，是否升级到最新的系统补丁等。

目前我们只完成第一阶段的部署，第二阶段正在收集数据并分析中。

 

企业环境介绍：

公司有无线网络和有线网络两种接入方式，无线网络采用的是LEAP协议，通过域帐号和密码来做身份认证，访问Internet通过HTTP代理方式。公司在全球有不同的分支机构，也有不同的域名称，其中总部出差用户较多，需要能够访问服务器和Internet，因此要做单独的控制策略。

新增了一个GuestWLAN的SSID来应对客户的网络接入，无需输入密码，接入后分配至独立的VLAN，可以直接访问Internet，不能访问公司的网络资源。

详细地终端分类和控制要求、方法如下表所示。

 

问题1：发现偶尔无法阻止部分移动终端连接。

原因：我们是通过无线控制器WLC来做MAC地址过滤，经检查，WLC最大能支持2048个MAC地址，超过容量之后将无法再添加，ForeScout也就无法实现阻止。

解决方案：用Cisco ACS来做第三方AAA服务器。

 

问题2：ForeScout无法阻止UDP连接。

原因：ForeScout只能阻止TCP连接，无法阻止UDP连接，如果能够连接上，像QQ，微信是可以使用的，但打不开网页。

解决方案：无。没有了解过其它的NAC产品是否也有该问题？

 

问题3：我只有1000台电脑，但系统中会显示1500，甚至更多。

原因：ForeScout只认IP地址，如果一台网络设备有多个IP地址，将会识别为多台设备。一台笔记本电脑同时连接有线网络和无线网络，也会识别为两台设备。

解决方案：针对网络设备，修改网段配置，将网关等网络设备的IP地址排除；针对笔记本电脑，可以安装Lenovo access connection，这只针对Intel芯片的网卡，当连接有线网络后，无线网络自动中断，当断开有线网络后，自动连接无线网络，同时，在ForeScout系统中将Offline过期时间设置为1小时。

 

其它功能：

在“Inventory”下有很多其它的统计功能，比如，可以看到一个域帐号是否在多台电脑上登陆，以及登陆电脑名；可以看到交换机端口下是否连接了HUB等设备。这些都是在期望之外的，算是一点小惊喜吧。估计其它的NAC产品也会有这些功能。