网络准入控制产品出现已经有近20年的历史,从最早的基于终端软件控制实现准入控制到当前基于应用设备实现准入控制,可以分为三个时代。
1、基于端点系统的架构–Software-base NAC;最早的NAC控制产品采用此类技术,主要是桌面厂商的产品,采用ARP干扰、终端代理软件的软件防火墙等技术。此阶段可以认为还没有形成完整的准入控制产品,基本上是终端安全产品的附送功能。
2、基于基础网络设备联动的架构—Infrastructure-base NAC;当前主流的准入控制产品基本上采用此类技术。主要是各个网络设备厂家和部分桌面管理厂商,采用的是802.1X、PORTAL、EOU等技术。
3、基于应用设备的架构—Appliance-base NAC;随着网络设备的发展,新出现的准入技术,主要是专业准入控制厂商引领了准入控制技术的发展,采用的是策略路由、MVG、VLAN控制等技术。
综观这三种框架的进化与发展:
1、现在完全基于Software-base的架构,范围及控制力度有限,目前已不被用户接纳;
2、而大多数网络设备厂商现在主要推崇Infrastructure-base的架构,但是对网络设备要求高。部署比较困难。
3、现在国外比较新兴的是采用Appliance-base 架构的NAC设备,这种NAC设备对网络设备的种类、型号几乎无要求。不需要安装任何客户端,大大降低部署难度的同时可以达到很好控制力度。是目前市场认可度比较好的NAC方案。
当前市场上主流的准入控制产品基本上均支持Infrastructure-base的架构和Infrastructure-base的架构。
本文章不对Software-base NAC技术做介绍,主要介绍Infrastructure-base NAC和Appliance-base NAC相关技术。
二、Infrastructure-base 准入控制技术
1、802.1x认证技术。802.1x技术是交换机专门为设备准入提供的身份认证技术,在IP设备接入交换机时,开启了802.1x认证的交换机端口会采用802.1x协议对接入终端进行身份认证,主流交换机均支持将认证请求转发至准入控制设备完成身份认证,把身份认证的工作交给认证设备,这样能够支持不同形式的身份认证,包括口令、证书等,同时还可以和windows域账号、AD域等应用结合实现身份认证。
2、EOU准入控制技术。这是思科的私有准入控制技术,Cicso EOU是一个准入控制架构平台,目的是让其它厂商在此平台上构建用户的桌面安全管理系统;Cisco EOU本身不提供准入控制以外的功能与特性,例如:补丁管理、软件分发等。Cisco EOU实现准入控制的三种方式:NAC-L2-802.1x,NAC-L2-IP,NAC-L3-IP。
Infrastructure-base 准入控制技术还有PPPOE、PORTAL等多种接入认证技术,只是采用的协议不一样,基本原理都是通过交换机本身支持的接入认证协议和流程实现对接入设备的身份鉴别,这里不详细介绍。
三、 Appliance-based架构准入控制技术
Appliance-based架构准入控制技术利用网络设备的一些安全配置实现对网络接入的控制。当前大部分的网络设备均在流量牵引、访问控制和区域逻辑隔离上做了相关的加强,如通过策略路由实现流量的牵引,实现基于应用访问的流量牵引,通过VLAN技术实现不同安全域之间的隔离,通过ACL技术实现对入网设备的访问控制。Appliance-based架构准入控制技术正是利用这些新特征实现网络准入。
1、策略路由联动技术
策略路由联动是通过网络基础设施的策略路由功能,采用网络流量引流方式,对IP设备的接入进行网络认证,并利用策略路由联动实现对设备接入的控制。
策略路由模式,要求网络基础设施的核心设备(例如核心交换机)支持策略路由功能。交换机通过策略路由的将报文定向到网络准入控制设备,经由网络接入准入控制设备针对入网设备的可信程度进行认证和授权后,采用丢弃或者正常转发到原路由下一跳的。
2、Vlan联动
Vlan准入控制基于VLAN(Virtual Local Area Network)和SNMP(Simple Network Management Protocol )两种技术,在VLAN环境中,把设备接入的VLAN分为可信VLAN和不可信VLAN,判断对应设备是否通过认证:未通过,则通过SNMP Write,将对应设备所接交换机端口所处VLAN,切为不可信VLAN,以后,该设备再访问网络,将会被重定向,直至认证通过后,虚拟网关才将其所处VLAN, 切换为可信VLAN,正常上网。随着SNMP V3协议加入安全加密功能后,SNMP的安全性有了保障,因此通过SNMP write方式实现准入控制也逐步被用户认可。
3、端口联动
基于SNMP技术获取交换机的端口列表以及端口下的mac地址列表。通过发送SNMP报文的形式,阻断某个MAC对应的交换机端口。
4、ACL联动
向交换机下发ACL规则,要求交换机支持ACL配置。
Appliance-based架构的准入控制介绍都需要能够自动进行交换机的VLAN配置、端口绑定配置和ACL联动配置,适配交换机是这类准入控制产品需要解决的问题,当然由于网络设备厂商的寡头发展趋势,适配交换机也就是华为、中兴、思科等主流型号的适配问题,这也是促使Appliance-based架构准入控制产品大规模商用的外部环境。
三、 身份认证
准入控制技术除了接入端的控制外,还要实现对接入设备的身份鉴别,通常准入控制设备支持自身的身份鉴别,也支持第三方联动的身份认证,根据身份认证的方式,一般存在Radius认证、基于PKI的证书认证、AD域认证等身份认证方式。