HCIE-datacom | 网络准入控制

一、前言

         之前提供网络技术咨询服务时，有一位实习生同学向我咨询了有关网络准入的相关情景，在这里我结合华为HCIE-datacom中“网络准入控制”这一节等相关资料，对网络准入技术进行一下简单的理论性说明，与资料的讲解思路相同，本篇文章也会按照网络准入控制概述、用户认证技术、 用户授权与下线、NAC配置实现、策略联动部五分讲述，当然，最后会给一个简单的总结。

 二、网络准入控制概述

        网络准入控制以“只有合法的用户、安全的终端才可以接入网络”为主导思想，通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力。

——华为HCIE-datacom 官方文档

        网络准入控制是一种旨在确保只有合法用户和安全终端可接入网络的防护机制。其主要目标是通过多种手段，包括用户认证、权限管理、安全检查和修复升级等措施，提升企业网络的整体终端安全防护能力。

        首先，网络准入控制依赖于用户认证。通过用户认证技术，例如用户名和密码、双因素认证或证书认证，只有经过身份验证的合法用户才能成功接入网络。这种认证过程确保了用户的身份合法性，防止未经授权的访问和潜在的安全威胁。

        其次，权限管理是网络准入控制的关键组成部分。通过为不同用户或用户群体分配适当的权限和访问级别，可以确保用户只能访问其所需的网络资源和功能，并限制对敏感数据和系统设置的访问。权限管理的细致配置可以提高网络的保密性和数据安全性。

        此外，网络准入控制还涉及对终端设备的安全检查。这包括对终端设备进行安全性评估、漏洞扫描和安全策略合规性检查等，以确保终端设备的安全状态和合规性。对存在安全风险的设备进行修复和升级，可以防止安全漏洞被利用，提升整体网络的安全性。

        网络准入控制的综合实施可以有效降低组织面临的网络风险，并提升企业网络整体终端安全防护能力。通过验证用户身份、管理访问权限、进行安全检查和修复升级等关键措施，组织可以建立一种安全可靠的网络环境，保护敏感数据、预防未经授权的访问和减少网络威胁的风险。

三、用户认证技术

        用户认证技术是网络准入控制的核心组成部分，它用于验证和确认用户的身份，并授予其相应的访问权限。用户认证技术涵盖了多种方式和方法，以下是一些常见的用户认证技术：

        ① 用户名和密码

        这是最常见和基本的用户认证方式。用户提供一个唯一的用户名和与之对应的密码，系统通过验证这些凭证来确认用户的身份。然而，这种方式并不是最安全的，因为密码可能被猜测、盗取或破解。为了增强安全性，用户可以使用复杂的密码，并定期更改密码。

        ② 双因素认证

        双因素认证要求用户同时提供两种不同的凭证进行身份验证。通常结合密码和另一种因素，例如短信验证码、指纹识别、硬件令牌或生物特征识别（如面部识别或指纹识别）。通过引入第二种因素，双因素认证提供了更高级别的安全性，即使密码被泄露，仍然需要额外的认证途径才能访问网络资源。

        ③ 证书认证

        证书认证是一种使用数字证书进行身份验证的方法。数字证书由可信的证书颁发机构（CA）签发，包含了用户的公钥和身份信息。用户在向系统进行认证时，系统会验证证书的有效性和完整性，以确认用户的身份。这种方式通常用于安全敏感性较高的环境，如电子商务和金融领域。

        ④ 单点登录（SSO）

        SSO技术允许用户使用一组凭证（例如用户名和密码）来访问多个应用或系统，而无需为每个应用单独进行认证。用户只需登录一次，系统会自动将其认证信息传递给其他相关应用。SSO提高了用户体验的同时，也简化了认证管理。该技术通常与标准协议（如SAML或OAuth）结合使用。

        ⑤ 多因素认证

        多因素认证是进一步加强用户身份验证的方法，它要求用户提供多个独立的认证因素。除了密码之外，还可以结合生物特征、位置信息、时间戳或安全问题等多种因素进行认证。这种方式提供了极高的安全性，但可能增加了用户的认证复杂性和成本。

        需要注意的是，用户认证技术应根据组织的安全需求和资源可用性进行选择和实施。根据不同的应用场景和用户需求，可以结合多种认证技术来提供更综合和灵活的认证解决方案。同时，认证技术也应定期审查和更新，以适应新的威胁和安全标准，确保网络的可靠性和安全性。

三、用户授权与下线

        在华为的官方文档中，对于用户授权和用户下线的描述如下：        

        ① 用户授权

        认证用于确认尝试接入网络的用户身份是否合法，而授权则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。 以RADIUS服务器授权为例，常见的授权信息有：

        VLAN：为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后，认证服务器将指定VLAN授权给用户。

        ACL：用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。

         UCL组：UCL（User Control List，用户控制列表）组是网络成员的集合。UCL组里面的成员，可以是PC、手机等网络终端设备。借助UCL组，管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署一组网络访问策略，满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于UCL组的网络控制方案能够极大的减少管理员的工作量。

——华为HCIE-datacom 官方文档

        ② 用户下线

        当用户已下线，而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时，会产生以下问题： RADIUS服务器仍会对该用户进行计费，造成误计费。 存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险。 已下线用户数量过多的情况下，还会占用设备用户规格，可能会导致其他用户无法接入网络。 因此，接入设备要能够及时感知到用户已下线，删除该用户表项，并通知RADIUS服务器停止对该用户进行计费。 用户下线方式分为客户端主动下线，接入设备控制用户下线和服务器控制用户下线。

——华为HCIE-datacom 官方文档

        用户授权与下线是网络准入控制的两个重要方面，它们确保只有被授权的用户可以访问组织的网络资源，并在不再需要访问时及时断开与网络的连接，从而增强网络的安全性。

        授权是基于用户的身份、角色和权限确定用户可以访问的资源和进行的操作。通过授权策略，组织可以精确地定义用户能够访问的敏感数据、关键系统和网络资源的范围。通过分配角色和权限，组织可以按照不同的需求和职责限制用户的访问权限。例如，高级管理人员可以被授予更高级别的权限，而普通员工则只能访问特定的资源。授权策略应该根据组织的安全策略和业务需求而定，并定期进行评估和更新，以确保只有合法的用户能够访问网络资源。

        用户下线是另一个关键方面，它确保在用户不再需要访问网络资源时能够及时断开与网络的连接。用户下线可以通过自动注销或定时退出系统来实现。这样做的目的是防止未经授权的长时间访问，减少安全风险。例如，当员工离开工作区域或超出特定时间范围时，系统可以自动将其下线，以保护组织的敏感数据和资源。对于特殊情况下的紧急下线，例如丢失或泄露了用户凭证，组织应当及时采取措施来中止用户的访问权限，以防止未经授权的访问和数据泄露。

        用户授权与下线需要与其他安全控制措施相结合，以提供更强大的网络安全保护。例如，当一个用户成功通过认证后，他们的访问权限应该与防火墙策略相匹配，只能访问与其角色和权限相符的资源。当用户下线时，系统应及时通知其他安全设备和系统，以确保用户的访问权限得到全面终止。

        需要指出的是，用户授权需要与隐私保护原则相协调。组织应该遵守相关法律和法规，在授权过程中妥善处理用户的个人信息，并确保用户的隐私得到保护。

        综上所述，用户授权与下线是网络准入控制的关键步骤。通过确保用户只能访问其授权的资源，并在不再需要访问时及时终止用户的访问权限，组织可以降低未经授权访问和数据泄露的风险，增强网络的安全性和可靠性。用户授权策略应根据组织的安全需求和业务流程进行制定，并与其他安全措施相协调，以提供全面的网络安全保护。

四、NAC配置实现

        在华为官方的文档中，对于该部分主要是配置流程，在用户接入认证配置时，其配置思路如下图：

        经过对于网络资料的查找等，归纳的理论如下：

        NAC配置实现是网络准入控制的核心组成部分，它通过定义和管理网络准入策略，确保只有合法和授权的用户可以访问组织的网络资源。NAC配置包括多个方面的设置和配置，旨在提供高效的网络准入控制和安全性保障，其中NAC存在如下几种形式：

        ① 认证服务器

        在NAC配置实现中，认证服务器的设置是非常重要的。认证服务器负责管理和验证用户的身份凭证，确保用户提供的用户名和密码是有效的。认证服务器还可以支持其他认证方式，例如双因素认证或生物特征识别。通过合理配置认证服务器，组织可以实现强大的用户认证，增强网络的安全性。

        ② 访问控制列表（ACL）

        访问控制列表（ACL）的配置也是NAC配置实现的关键部分。ACL是一种设置和管理网络流量的方式，用于限制特定用户或设备对网络资源的访问。通过合理配置ACL，可以根据用户的身份、角色和权限，控制用户能够访问的网络资源和操作。ACL可以设置在网络设备、防火墙或路由器上，以确保只有经过授权的用户可以访问特定的网络资源。

        ③ 入侵检测和防御系统（IDS/IPS）

        入侵检测和防御系统（IDS/IPS）的配置也是NAC配置实现的一部分。IDS/IPS可以监控网络流量，并检测和阻止潜在的入侵行为。通过与NAC系统的集成，IDS/IPS可以根据用户的身份和权限，自动调整其行为和规则，以提供更高级别的入侵检测和防御。合理配置IDS/IPS可以提供实时的威胁感知和响应，增强网络准入控制的能力。

        ④ 其他安全措施

        NAC配置实现还可以包括其他安全措施的设置和配置。例如，组织可以配置日志管理系统来监控和记录网络访问事件，以便进行审计和调查。还可以使用网络流量分析工具来识别和隔离异常网络流量，以提供额外的安全保护。

        需要注意的是，NAC配置的实施和管理需要一定的专业知识和技能。组织应该依赖专业的网络安全人员或合作伙伴来确保NAC配置的正确性和有效性。此外，NAC配置应定期进行审查和更新，以适应不断变化的网络威胁和业务需求。

        综上所述，NAC配置实现是网络准入控制的关键环节。通过配置认证服务器、ACL、IDS/IPS等安全措施，组织可以定义和管理网络准入策略，并确保只有经过认证和授权的用户可以访问网络资源。NAC配置的实施需要专业的知识和技能，并应与其他安全措施相协调，以提供全面的网络安全保护。

五、策略联动 

        策略联动是通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。

——华为HCIE-datacom 官方文档

        在华为的官方文档中，对于策略联动的整体概述如下： 

         策略联动是网络准入控制的重要方面，它通过与其他安全策略和技术的协同工作，提供全面的网络安全防护和响应能力。策略联动确保网络准入控制与其他安全措施相一致，以提供更高级别的安全性，策略联动主要可以与其他几个方面的策略相联动。

        ① 与防火墙联动

        首先，策略联动可以与防火墙策略相结合。防火墙作为网络安全的第一道防线，可以限制网络流量和阻止异常的连接。当一个用户成功通过认证后，其访问权限应与防火墙策略相匹配，只能访问与其角色和权限相符的资源。这样可以减少未经授权的访问和潜在的网络威胁，提高整体的网络安全性。

        ② 与IDS及IPS联动

        策略联动可以与入侵检测系统（IDS）和入侵防御系统（IPS）相结合。IDS/IPS可以监测和检测网络流量中的入侵行为，并采取相应的防御措施。与NAC系统的联动可以根据用户的身份和权限，自动调整IDS/IPS的行为和规则，以提供更高级别的入侵检测和防御。例如，当一个用户的行为异常或涉及到敏感数据时，NAC系统可以立即通知IDS/IPS系统，以触发相应的防御措施。

        ③ 与SIEM联动        

        策略联动还可以与安全信息和事件管理系统（SIEM）相结合。SIEM系统用于集中管理和分析网络的安全事件和日志信息。通过与NAC系统的集成，SIEM系统可以获取用户认证和访问的相关信息，进行实时的威胁分析和事件响应。这样可以加强对网络准入控制的监管。

六、总结

        总结起来，网络准入控制是一种通过用户认证、权限管理、安全检查和修复升级等手段，确保只有合法用户和安全终端可接入网络的防护机制。其核心目标是提升企业网络的终端安全防护能力，防止未经授权的访问和潜在的安全威胁。通过验证用户身份、管理访问权限、进行安全检查和修复升级，组织可以建立一个安全可靠的网络环境，保护敏感数据、预防安全漏洞利用，并降低组织面临的网络风险。网络准入控制是保障网络安全的重要措施，应该根据组织的安全需求和资源可用性进行综合实施。        

        最后，引用华为官方文档中的一段话：

        用户的准入控制是网络的第一道“大门”。为了把守好这扇大门，可以在网络中部署802.1X认证、MAC认证与Portal认证等用户认证协议。这些技术的实现方式与应用场景不尽相同，需要根据网络的特点及需求进行选择与部署。