摘要:NAC 网络准入控制的概念。NAC,即 Network Access Control,是用来管理和控制网络用户访问的系统,主要目的是确保网络的安全性以及资源的合理使用。在 NAC 网络准入机制里,最常见的就是
因密码策略导致802.1X重认证频繁锁账号,微软NPS替代方案在企业身份认证场景中,办公网络的接入认证至关重要,这便引出了
NAC 网络准入控制的概念。NAC,即 Network Access Control,是用来管理和控制网络用户访问的系统,主要目的是确保网络的安全性以及资源的合理使用。在 NAC 网络准入机制里,最常见的就是 Portal 认证和 802.1X 协议。Portal认证与802.1X认证的区别
一个经典问题:Portal 认证和 802.1X 认证有何区别?
首先,它俩都是用来验证入网用户的身份的,防止像黑客电脑、未授权终端此类非法设备随意接入企业网络,进而降低数据泄露、病毒传播等风险。
其次,Portal 认证是应用层的认证,在 7 层,是基于 web 页面的便捷认证机制。它依赖 web 页面重定向,本质是 “应用层拦截 + 认证”,用户一般看到的是 web 界面。而 802.1X 认证是数据链路层,在 2 层,是基于端口的严格身份认证,直接管控交换机、AP 等网络设备的物理或逻辑端口,属于 “链路层准入”,用户感知到的通常是客户端界面。
用户连接网络时,在 Portal 认证前,用户所持设备已有内网 IP 地址,但网络设备会拦截所有未放行的网络请求,如访问百度、邮箱等,并强制重定向到 Portal 认证页面。而 802.1X 认证前,用户所持设备仅被允许 802.1X 认证报文通行,禁止 DHCP、HTTP 等所有业务报文,也就无法获取内网 IP 地址。基于这些特性,802.1X 相比 Portal 认证的安全性更高,适合固定员工网络准入场景;Portal 便捷性优先,适合临时用户、访客等企业外部人员的网络接入身份认证。
对于打印机、IoT 这类既不支持 802.1X 客户端,又无法弹出 Portal 页面的终端设备,如何做网络准入控制?在这种场景,网络管理员一般采取 MAC Bypass 旁路认证。MAC 认证本质上可以被看做是一种简化的、无感的 Portal 认证,无需人工交互,但其实它是利用 802.1X 架构来实现的。
Portal 和 802.1X 都采用 RADIUS 作为认证服务器。所以 NAC 网络准入系统通常由 RADIUS 服务器搭配各种认证方式构成,比如 Portal 协议里的短信认证、扫码认证、临时用户授权等,802.1X 协议里的账密认证、证书认证等。
企业一般会根据不同场景分别采用 Portal、802.1X、MAC 认证,实现协同互补,构建多层次的网络接入认证体系。此外,专业的 NAC 方案,不仅能验证用户身份,还能验证设备合规性,比如检查终端设备有无安装杀毒软件、是否符合企业安全策略,以而提升企业内网终端安全基线。
常见NAC方案及特点
1. 网络设备厂商方案:如思科的 ISE 身份服务引擎、华为的 Campus 方案等。这类方案对自家网络设备兼容性好,但在定制化访客管理流程方面支持不足。
2. 上网行为设备厂商方案:这类方案以上网行为监控为主,网络认证是其中一个分支能力且作用于网络出口,属于网络准出方案,而非准入。
3. 第三方身份认证厂商方案:以宁盾为例,优势在于能同时兼容纳管异构网络设备,在认证方式、认证策略上更灵活,对复杂场景适应性强。
如今,因国产化改造和本地化服务需求,很多企业选择国内 NAC 网络准入方案替代国外方案,如微软 NPS 等。
来源:宁盾
