网络访问控制实施攻略

共享网络就意味着风险：病毒侵入、数据被盗和网络瘫痪等，利用网络访问控制技术可以有效防范，确保网络安全。

如今数据被盗肆虐，蠕虫和病毒横行，为了适应网络安全，选择网络访问控制（NAC)技术构建网络成为必然。然而，网络访问控制并不简单，它含义深奥并包含一整套的方法。

对网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系，顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子，这些餐馆提供最简单的增值服务――上网。然而对其他环境如医院，这样的协议就过于简单了。

要为你的网络选择正确的网络访问控制类型，要知道两个前提条件。第一，要清楚网络访问控制所提供的服务，怎样提供这些服务，以及如何把这些服务纳入网络。第二点就是要有明确的、可执行的安全访问策略。网络访问控制不是创造策略，而是执行策略。没有这两点，公司网络安全问题仍旧会被认为仅仅是IT部门的职责（而这永远不是一件好事）。

对接入是开还是关？

在网络访问授权之前的有限接入，通常被称做“锁住状态”。它并不是说所有的关口都被阻止了，例如它允许你下载新的杀毒软件以升级。所以，在计划引进网络访问控制设置前，要理解并匹配准入的锁机方法。

早期的共享网络采用人为的方法，通过接入的路线和关口来限制共享，其中包括起始和终端IP地址、TCP协议、用户数据端口、IP端口以及MAC地址等。从网络建设的角度说，这需要一整套执行方法，网络访问控制方法将会自动完成一系列准入程序。另一种方法则是以分配实际LAN/VLAN来分离整个网络中被锁定的电脑，相对简单的就是用DHCP（即动态主机配置协议）来分配。这种方法不仅可以限制性设置机器到3 VLAN中，还能设置其他客户的信息如DNS。例如，所有网页都可以通过网络服务器的一个“接受”按钮全部放行。

在一些更为高级的开关设置中，网络访问控制系统可以同那些开关一起动态控制VLAN。默认条件下，所有受网络访问控制的网站端口都自动锁住，存在有限的接入权限。只有当系统检测到机器符合网络访问控制要求的时候，才会传输指令给这些端口解除锁定。网络访问控制设备安装在一个开关点（类似SPAN端口），向ARP传输信号要求通过网关。网络访问控制把MAC地址注入用户的ARP注册表作为网关，因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数，就会被允许通过正确的网关。

每种方法的保护都不一样。在DHCP方法中，明智的用户都会被分配一个有效的静态IP地址，也顺带通过VLAN验证。如果知道网关的正确MAC地址，就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。不过，大部分网络访问控制系统都有针对这些行为的专门措施。

接入网络的间隔距离也应该重点考虑。与端口控制的网络访问控制方法不同，在线网络访问控制对公司广域网线路和网络严格控制，但是相同方向通关则不受限制。简单说，如果A和B都在网络访问控制网关的同侧，它们就可以互相进入。

评估终端的安全

验证用户ID是网络访问控制系统中很严格的步骤。最简单的例子，就像在咖啡馆无线上网，只当用户遵守相关协时，才能被授权上网。

在一个简单的验证环境下，网络访问控制质询RADIUS服务器决定用户是否有权进入公司内部网和无线网。如果用户密码正确，那么就可以完全通关，反之默认状态下仅仅开放普通端口（如http、https等等，根据内部网安全政策认可。）对那些复杂的验证环境，如高级经理进入ERP系统，网站管理员进入服务器，保险调解员进入数据库，会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。

三种评估方法

公司使用安全性差的电脑上网不再是权宜之计。大部分网络访问控制操作都会对客户机评估风险，根据公司安全策略加强对危害点的控制。

通常有三种基本的安全状态评估：外部、内部以及交互评估。外部评估包括中央服务器对客户机的扫描，有些网络访问控制系统使用许多Nessus扫描有问题的机器及恶意软件。但是用户若使用防火墙就会使得这种扫描的有效性减弱。

内部评估是使用服务器处理网关验证，检测用户分配的IP，并把这些结果反馈给网络访问控制系统。例如，在Windows界面，杀毒软件生成的注册key就可以被检测到。当然，可以想象的到，这种注册key可以人工嵌入。不管是哪种操作界面，都可以检测到本地机器中详细文件的存在。

分析交互数据则是一直比较反作用的方法。就像那些入侵―抵御工具，网络访问控制系统用这种方法扫描网站通信，盘查恶意信号。如果被网关通过的机器后来被检测到有恶意活动，就会立即关闭网关。IPS和网络访问控制的不同在于给客户自我纠正的机会。

比较高级的网络访问控制依靠操作系统鉴定使用哪种网关措施。一般来说，针对Windows的监测比其他浏览器要多一些，这是因为Windows的开发目标比其他操作系统都多一些。显而易见，不可能对Linux机器进行注册检验。

对把操作系统的检测，蒙混过关也是有可能的，这取决于使用的是哪种类型的检测方法。例如，如果检测是根据用户浏览器报告，终端用户可以轻易地改装机器，使之使用不同的操作系统。幸运的是，检测操作系统的方法论（例如检测TCP指纹）已经越来越精湛，大大降低了上述蠕虫嵌入的可能性。

不妨选择开放源代码

当然，许多网络访问控制能够上溯到最初的开放源代码的控制。当网络访问控制技术在主流商业市场上开始成型的时候，根据自己所需可以选择理想的开放源代码，并据此执行网络访问控制系统。

一般说来，商业系统与开放源代码副本相比有更多的特点，包括与它们相匹配的支持系统。当然，这并不意味着提供开放源代码可以被忽视，许多开放源代码系统都有高级的检测方法、验证以及保障能力。

执行开放源代码网络访问控制系统需要耐心，至少拥有Linux网络管理员的全部技能。这种操作通常建立在其他开放源代码包上，能够被安装在许多Linux机器上，并且文件数量比较少。也许用户在第一次尝试运行开放源代码失败，原因就在于错误地配置了附件包，而不是开放源代码网络访问控制软件本身。

最后的忠告是，问题不在于你的网络是否需要网络访问控制技术，而在于你在特殊情况下，哪种类型的网络才是最适合你的。无疑，网络访问控制还没有成为网站所注意的焦点。当考虑安全和隐私被放在最高的位置上时，网络访问控制才会被重视。（小丁编译）

链接

在用户接入网络之前要通过一些验证，要了解终端的状态与计算机接入状态，确保网络安全。

第一种验证就是类似餐馆的无线网络，如果顾客同意这种接入策略，他们的上网需求便可以得到满足。用户ID以及机器状态与此无关，这里只有一个状态，开或者是关。第二种验证要求检测用户ID。第三种验证是要求检测机器状态。这两种验证仅存在完全准许或者完全拒绝两种可能，绝无中间状态。当验证安全后，不同水平的用户被授予不同的准入权限。