网络访问控制的分布式部署与应用

       网络访问控制（Network Access Control以下简称NAC），是网络安全领域的一个重要分支，根据著名研究机构Forrester Research给出的定义，“NAC是一种软件技术和硬件技术的混合体，可根据客户系统符合策略的情况对其访问网络能力进行动态控制。”这些客户系统需要符合的“策略”，包括用户的身份、用户主机的软硬件情况、用户的行为等多个方面，只有这些被列入检查范围内的内容全都符合策略的要求，用户才能正常的上网，否则，用户将会收到警告，或者被隔离到某个“安全区域”进行修复，更严重的，用户可能会被完全阻断网络，这些都是在“策略”中预先定义好。

　　随着网络基础设施建设的逐渐完善，为了保证越来越多的在网络上运行的系统和数据的安全，NAC的重要性逐步得到了认可，这也来自一个朴素的理念，那就是“寻找问题的根源”。在NAC领域中颇有影响力的可信计算组织（Trusted Computing Group以下简称TCG）指出，“网络安全就像一棵大树，如果要保证大树结出健康的果实，就需要生长果实的枝叶的健康，而要保证枝叶的健康，就要保证躯干的健康，而要保证躯干的健康，则必须要大树的树根健康”，也就是说，对于一个网络，其安全性要从最边缘，即接入网络的终端开始控制，要找出问题的根源。如果说防火墙、入侵检测设备是喷洒农药保障果实健康的话，那么NAC则是从树根开始，逐级保障树的健康。

　　根据Forrester Research的定义，NAC是软硬件技术的混合体，而现在基于硬件的NAC技术大致可分为两种，一种是基于Webportal网关设备的身份准入和终端检查，另一种是采用基于IEEE 802.1X协议的交换设备实现的身份准入和检查，而后者，也正是NAC领域中成长最为迅速的一个分支，由于其控制粒度细、性能消耗少，给客户带来了更好的体验。但是，基于802.1X协议的NAC方案，由于其协议的原理限制（认证设备与客户端之间必须纯二层连接），使其只能用于局域网中，无法跨广域网部署，这使得一些大型企业、政府单位以及普教城域网等拥有众多分布在不同地理位置的分支机构的单位，无法通过部署基于802.1X协议的NAC来实现网络安全的控制，只能去部署基于Webportal的网关式认证，忍受着低性能和较差的管理性。

　　难道真的没有结合802.1X的高控制粒度和Webportal的广域网部署模式的两全其美的方案吗？当然有了本文就是要向大家介绍一种基于802.1X的分布式部署NAC的解决方案。

　　NAC分布式部署的客户需求，简单的说就是实现跨地理位置的集团统一策略，不论分支机构在什么地方，都能够有效的执行总部制定的安全策略，并能够向总部汇报安全策略的执行情况。具体来说，NAC的分布式部署应实现以下功能：

1 、 策略的统一制定。在总部即可制定好集团的统一安全策略，以及各分支机构的特定策略，例如，总部统一规定，只有本集团用户才能接入网络，非本集团用户禁止入网，又如，总部统一规定，整个集团员工上班时禁止炒股等等。同时又可以根据分支机构的不同，而进行个性化的策略制定，例如北京研发中心的用户不能够使用U盘，而上海销售部则可以使用U盘等。

2 、 数据的汇总。在总部即可看到本集团所有用户的信息，如用户的身份信息，该用户或用户组对应的安全策略，用户的上网日志等信息。

3 、 管理权限的下发。对于有些单位，人数众多，而分支机构也有专门的网络管理人员，那么NAC系统应可以将对应的管理权限下发给分支机构，由分支机构根据自身情况进行安全策略的制定，同时总部可以知晓分支机构制定的安全策略及其执行情况。

　　可以说，上述需求是对基本的NAC系统的一种扩充，让NAC的部署可以跨越广域网，实现整个集团的统一管理。

　　基于802.1X的分布式部署，即能满足上述客户的需求。在各分支机构部署基于802.1X的NAC体系的基础上，通过在总部部署统一管理端，来实现对各分支机构NAC系统的管理，这样既体现了基于802.1X的NAC性能高、控制力强的特点，又实现了跨广域网的部署，而且通过分布式部署，还降低了整套NAC系统的风险，提升了性能，一举满足了客户统一管理的需求。

　　下面以锐捷网络GSN全局安全网络解决方案为例，介绍NAC分布式部署的解决方案。

　　GSN全局安全网络解决方案，通过后台系统、网络设备、安全设备与客户端的联动，实现了对于用户身份、主机和网络行为的管理，是标准的NAC系统，而其分布式部署模式，成功的解决了802.1X协议的跨广域网部署，其部署拓扑如下图所示：

　　GSN全局安全网络解决方案，通过在总部部署IPC身份策略管理中心，在分支机构部署SMP安全管理平台，实现了整个集团统一策略，统一身份，统一管理，而认证服务器位于分支机构，使得整套系统的压力得以分散，不会因为某个服务器宕机而带来整个集团网络的瘫痪。

　　GSN解决方案分布式部署的工作过程如下：

　　通过这种分布式的部署模式，网络管理人员在总部即可将整个集团的用户情况尽收眼底，并可方便的对发生的违规事件进行处理，同时根据分支机构的技术实力，还可将权限下发，减轻总部的工作量。

　　由于采用了分布式部署的方式，用户的认证、处理等基本NAC操作，都是在分支机构的SMP安全管理平台服务器上完成，通过“执行点”的下放，增强了策略执行的力度，分散了风险，提高了性能。而通过总部的IPC身份策略中心，可以及时的看到整个集团人员、策略、日志信息汇总，为管理带来了方便。而基于专门设计的算法的信息同步技术，使得信息同步数据流非常小，对分支机构到总部之间的线路没有特殊要求，也不会占用大量的带宽，使得分布式部署NAC不会对整个网络的性能带来影响。

　　GSN解决方案的分布式部署模式，有效的提升了传统基于802.1X协议的NAC方案的部署能力，是对传统802.1X协议部署方式的一种创新的改良和升级，是大型企业、政府机构等单位安全管理的福音。