Network Access Control系统指南

您的网络可能已经处于这种状态。员工使用受管笔记本电脑进行连接。访客带着您可能再也见不到的手机和平板电脑前来。打印机放在柜子里，运行着旧固件。电视、扫描仪、支付设备、传感器和门禁控制器都想要一个 IP 地址和一条通往有用资源的路径。

网络管理团队之所以挣扎，并不是因为他们缺少 WiFi 信号，而是因为他们无法足够快地回答三个简单的问题：这是谁？这是什么设备？现在应该允许它访问什么？

这就是现代网络准入控制系统的价值所在。它不是边缘处的笨重网关，而是将网络访问转变为身份决策的控制层。如果实施得当，它既能提高安全性，又能让员工、访客、承包商以及无法应对传统登录流程的设备更轻松地进行访问。

什么是网络准入控制系统

网络准入控制系统是一个策略引擎，用于决定用户或设备是否应进入您的网络、应获得何种级别的访问权限，以及在会话处于活动状态时是否应更改该访问权限。

这个定义是准确的，但对于 NAC 在实际企业环境中的工作方式来说，它过于狭窄了。

在实践中，NAC 成为访问的身份和体验层。它识别设备，尽可能将它们与用户或角色进行关联，检查它们是否符合策略，然后将它们置于适当的连接级别中。这可能意味着为受管笔记本电脑提供完整的企业访问权限、为访客手机提供仅限互联网的访问权限、为打印机提供严格限制的 VLAN，或者对不符合策略的设备进行隔离。

为什么 NAC 在当下至关重要

传统的网络访问假设，一旦设备进入内部，它大概就是安全的。这种模式在混合办公、BYOD、访客访问、分支机构以及重度依赖 IoT 的场所中已无法生存。

现代 NAC 建立在不同的假设之上。信任必须在准入时获得，并随着条件的变化进行重新评估。这与更广泛的零信任（Zero Trust）理念相契合，也有助于解释为什么其采用率正在上升。根据 Market Data Forecast 的 NAC 市场报告中引用的市场预测，NAC 市场预计将从 2024 年的 11.8 亿美元增长到 2033 年的 101.4 亿美元，年复合增长率 (CAGR) 为 26.97%。

这种增长并不是因为团队想要另一个仪表盘，而是因为现在的网络承载了太多的用户和设备类型，以至于无法手动管理访问权限。

一个好的 NAC 平台究竟能做什么

一个能力出众的 NAC 部署通常能很好地处理以下四项工作：

发现与识别：它在设备连接时发现它们，并尽可能准确地对它们进行分类。
身份验证与授权。在授予访问权限之前检查身份、角色和设备状态。
细分与控制。它将设备置于正确的网络区域中，并限制东西向移动。
持续执行。如果状态发生变化、凭据被撤销或风险增加，它会更改访问权限。

实用规则：如果您的访问策略无法区分员工、访客、承包商、打印机和物联网设备，那么您就没有访问控制。您只有带着美好愿望的共享连接。

将 NAC 视为痛苦的准入控制项目的旧观念已经过时了。更好的思考方式是：一个现代网络访问控制系统允许 IT 部门用基于身份的访问来取代共享密码、通用 SSID 和手动例外，而用户几乎察觉不到这种变化。

了解 NAC 系统的核心组件

虽然每个 NAC 平台在产品目录中看起来都不同，但其工作原理通常是相同的。不妨比作一栋安全的办公大楼。您需要一个中央安全台、观察正在发生的事情的摄像头和读卡器，以及可以锁定或打开的门。

An infographic showing the three core components of a Network Access Control system: policy server, enforcement points, and endpoints.

策略服务器

策略服务器是大脑。它保存着回答以下问题的规则：

该用户是否在员工名录中？
此设备是托管设备还是非托管设备？
它是通过有线、WiFi 还是远程访问连接的？
它应该获得完全访问权限、受限访问权限、访客互联网还是隔离？

这也是集成至关重要的地方。在大多数企业环境中，策略层与目录和身份验证服务紧密合作。如果您需要温习后端身份验证的工作原理，这篇关于 RADIUS 服务器及其在访问控制中的作用的概述会是有用的背景信息。

执行点

执行点是应用访问权限的地方。在活动网络中，这通常意味着交换机、无线接入点、控制器、防火墙或分段网关。

这些设备不制定策略。它们接收决定并执行它。这可能涉及分配 VLAN、应用防火墙规则、限制可达性或将设备移动到受限段中。

在架构上，重要的是 NAC 不仅仅是建议性的。它需要一个能够改变设备行为的控制点。

端点与传感器

第三部分是终端本身，以及让 NAC 了解该终端的遥测技术。终端包括托管笔记本电脑、个人手机、手持扫描仪、打印机、摄像头、医疗设备，以及所有没人想碰的尴尬老旧设备。

传感器和分析逻辑为 NAC 平台提供了耳目。它们有助于回答该设备是否已知、是否符合合规要求以及其行为是否符合其被赋予的角色。

如果 NAC 部署仅对用户进行身份验证而忽略设备上下文，那么它很快就会失败。没有设备感知能力的身份只是半个控制措施。

为什么这些组件支持零信任

现代 NAC 系统之所以契合零信任，是因为访问权限在一次成功检查后并不是固定不变的。正如 Illumio 的 NAC 概述所指出的，策略在准入前执行，授权可以基于角色、设备姿态、位置和时间，并且如果合规性发生变化，可以实时撤销访问权限。

这种持续循环比初始登录更重要。这就是“你进来过一次”与“你现在仍符合规则”之间的区别。

NAC 系统如何执行访问策略

一旦团队不再问“我们应该购买哪个平台？”，而是开始问“哪个执行模型适合每个设备类别？”，大多数 NAC 项目就会变得简单得多。

没有一种方法适用于所有情况。企业笔记本电脑、访客手机、打印机、扫描仪和物联网终端的行为并不相同。优秀的 NAC 设计接受这一点，并为每个类别使用正确的机制，而不是强行采用统一的工作流。

四种常见的执行模型

802.1X 是托管企业设备的标准选择。它是控制终端并可以推送配置文件、证书或企业凭据的最强选择。它在连接点提供可靠的身份，并支持动态策略分配。

MAC 地址绕过认证 (MAB) 是无法进行 802.1X 的设备的备选方案。例如打印机、旧扫描仪、徽章系统、某些物联网和专业设备。它很有用，但安全性较弱，因为 MAC 地址并不等同于强身份。

无代理姿态评估在您需要检查设备特征而无需安装持久客户端时非常有用。这通常对无法实现完全设备管理的 BYOD 和承包商场景很有帮助。

个人预共享密钥 ( iPSK ) 是现代 WiFi 访问中较实用的改进之一。每个用户、租户或设备都可以获得与策略绑定的唯一密钥，而不是整个 SSID 共享一个密码。这使得入网更轻松、撤销更干净，尤其是对于混合资产。

若要了解更广泛的安全背景，这篇关于零信任网络准入与准入决策的指南在您将 NAC 强制执行映射到身份策略时是一个非常有用的参考。

NAC 强制执行模式对比

模式	最适用场景	安全级别	核心优势
802.1X	受管笔记本电脑、企业移动设备、员工设备	高	基于强身份的准入和动态策略控制
MAB	打印机、老旧设备、基础物联网设备	较低	允许非 802.1X 设备在受控的例外情况下加入
免客户端状态评估	BYOD、外包人员、临时用户	中	无需繁重的终端部署即可检查设备状态
iPSK	老旧 WiFi 设备、多租户、零售、酒店、物联网	中到高，取决于设计	独特的凭据，避免共享密码泛滥

哪些方法有效，哪些无效

团队往往会高估仅靠 802.1X 所能达到的效果。如果您的资产包括酒店、商店、诊所或综合用途建筑，它将无法覆盖所有内容。总会有某些设备类型需要不同的接入路径。

一个实用的设计通常如下所示：

对于您拥有操作系统和配置控制权的受管终端，优先使用 802.1X。
将 MAB 仅用于真正的例外情况，而不是让其成为默认选项。
在用户便利性比深度终端控制更重要的场景下，有选择地使用免客户端状态检查。
对于需要简单入网但又不应共享同一个静态密钥的尴尬 WiFi 用户群体，采用 iPSK。

常见的设计失误

失误不在于使用多种模式，而是在使用它们时缺乏策略约束。

如果每台未知设备都能回退到 MAB，您就会创建一条绕过审查的绿色通道。如果每个访客都获得相同的预共享密钥，您就重新制造了共享密码问题。如果状态评估检查过于严格，支持队列中就会塞满无法上线的合法设备。

我们的目标不是意识形态上的绝对纯洁，而是受控的灵活性。一个运行良好的网络准入控制系统会选择每台设备在现实中能够支持的最强方法，然后通过更严格的隔离和更短的信任周期来限制较弱的方法。

架构与集成您的 NAC 解决方案

NAC 平台本身可以进行身份验证和隔离。而将 NAC 平台集成到您的其余技术栈中，则可以结合更好的上下文来自动做出决策。

这就是许多团队忽视的架构转变。NAC 不应该作为一个独立的产品孤岛，存在于身份、MDM、SIEM 和网络策略之外。它应该吸收来自这些系统的信号，并将结果推送回网络中。

A diagram illustrating the architecture and integration of a Network Access Control system with security tools.

最重要的集成

目录和身份平台排在首位。如果 Entra ID、Okta 或您现有的目录已经定义了用户状态和角色，NAC 应该将其用作单一事实来源，而不是强行使用重复的身份模型。

接下来是 MDM 和端点管理。它们会告诉 NAC 设备是否已注册、是否合规、是否加密或是否超出策略范围。SIEM 和监控工具通过收集访问决策、失败记录、策略变更以及可疑的连接尝试，来完成闭环。

正如 Procern's enterprise NAC overview 所指出的，NAC 通常通过 API 与目录系统集成，以便访问决策可以同时利用硬编码属性和动态上下文。如果您需要在有线、WiFi 和远程访问中采用相同的最小特权逻辑，这一点尤为重要。

一个可行的集成模式

对于大多数企业资产，清晰的模式如下：

身份系统提供用户事实来源。雇佣状态、组群成员身份和角色。
MDM 提供设备事实来源。托管状态、姿态、合规性标记。
NAC 将两者结合。用户、设备、位置、网络类型和策略。
交换机和 AP 执行结果。VLAN、ACL、受限网段、访客区域。
SIEM 记录过程。对于运维、审计和事件响应非常有用。

选择部署模型

NAC 系统底层的架构会影响弹性、故障排除和运维摩擦。

带内（Inline）部署

带内 NAC 直接处于流量路径中。它提供了强大的控制力，因为它可以进行集中检查和执行，但它引入了依赖关系和潜在的瓶颈。我通常会看到在团队需要严格把关且能容忍设计复杂性的地方使用带内部署。

带外（Out-of-band）部署

带外 NAC 在做出决策时不会成为所有流量的路径。它依靠交换机、控制器和 AP 来执行策略。这通常是成熟企业网络中更干净的选择，因为它降低了性能风险并保持了弹性。

基于控制器或云管理的模型

基于控制器和云管理的 NAC 通常是分布式资产最切合实际的选择。它们简化了跨站点的策略一致性，并减少了在各地管理本地控制基础设施的开销。

最强大的架构通常是您的运营团队在凌晨 2 点可以提供支持的架构，而不是拥有最令人印象深刻的策略图表的架构。

如何进行优化

在选择架构时，请优先考虑这些权衡：

运营简便性胜于理论上的优雅
跨接入方法的一致策略，而不是一次性的本地例外
当策略阻止了错误的设备时，快速回滚路径
与您的交换机和无线资产的供应商互操作性

如果您的网络跨越分支机构、酒店场所、零售站点或混合有线和无线位置，那么基于控制器或云管理的模型通常可以减少保持策略一致的痛苦。

按行业划分的实用 NAC 使用案例

NAC 的有趣之处不在于这个缩写。而在于当您将其应用于用户期望立即且无形地获得访问权限的场所时会发生什么。

最困难的环境通常不是无菌的普通办公室。而是酒店、商店、医院和共享建筑，在这些环境中，托管和非托管设备共存于同一个基础设施中。

一个现代化的酒店大堂，客人在其中使用移动设备和笔记本电脑，并带有可见的 WiFi 连接图标。

酒店业

酒店网络必须为员工平板电脑、前台终端、IPTV、支付系统、客人手机和承包商设备提供服务，同时不能让办理入住变得更加困难。

在那种环境中，NAC 不再是安全附加组件，而是成为了客人体验的一部分。员工需要顺畅的基于角色的访问。客人需要快速、低摩擦的引导。共享密码和笨拙的引导页面通常产生的支持请求多于其创造的价值，这就是为什么许多团队现在将它们与 Captive Portal 以及更新的基于身份的客人访问模型等替代方案进行比较的原因。

零售业

零售资产面临着不同的压力点。商店需要公共连接，但销售点、后台系统、手持扫描枪、数字标牌和第三方支持设备不能都处于同一个信任区。

NAC 通过对每个连接路径进行分类并将其引导至正确的策略来提供帮助。其业务结果很简单。客户可以轻松访问，员工可以工作，而敏感设备则与开放的公共流量保持隔离。

医疗保健业

Hospitals and clinics rarely have the luxury of a clean endpoint estate. Clinical devices, shared workstations, specialist equipment, printers, and temporary contractor devices all appear on the same network at different times.

That's where exception handling becomes the primary design challenge. The issue isn't whether NAC can authenticate a laptop. It's whether the platform can safely place a fragile or legacy device into the right boundary without making frontline staff wait for manual approval.

Multi-tenant residential and office buildings

Shared buildings need something that feels simple to the occupant and controlled to the operator. Tenants want a home-like experience. Operators need separation between flats, suites, or businesses, plus a way to handle installers, visitors, facilities devices, and communal systems.

A modern NAC design can give each tenant a private-feeling access experience while still enforcing enterprise isolation in the background. That's one of the clearest examples of NAC acting as an experience platform, not just a security checkpoint.

UK operators often discover that the real work isn't defining policy. It's handling unmanaged BYOD, guest boundaries, and the constant flow of unusual devices without turning support teams into approval clerks.

That matters because, as noted by StateTech's guidance on NAC operational practices , NAC is especially useful for guest boundaries, baselining devices, phased rollout, and alert monitoring. The same source highlights the practical reality of unmanaged BYOD, which lines up with the broader concern that device compromise remains a major incident type for UK organisations.

How to Implement and Choose a NAC System

A rollout usually goes wrong in a very ordinary way. A user arrives at a hotel, store, clinic, or office, joins WiFi, and gets blocked. A payment terminal drops into the wrong VLAN. A contractor needs access now, but the process still depends on a shared password and a ticket queue. At that point, NAC stops being a policy project and becomes an operations problem.

Good implementation starts with that reality. The goal is not to write the most detailed rule set. The goal is to give staff, guests, and devices the right access with the least friction, while keeping risky or unknown endpoints contained. In UK organisations, that also connects to governance. As WWT's explanation of NAC and compliance explains, the Data Protection Act 2018 embedded the GDPR framework into domestic law, and NAC supports that model by enforcing identity-based access and isolating non-compliant devices instead of trusting a one-time login.

展示实施和选择强大网络准入控制系统的六个基本步骤的信息图。

适用于生产环境的实施清单

从服务映射开始，而非编写策略

在选择平台或草拟访问规则之前，先映射谁需要访问、他们使用什么进行连接，以及如果该访问失败会发生什么。

这意味着不仅要列出笔记本电脑和手机，还要识别业务赖以生存的系统。零售业拥有 POS 设备、扫描枪、自助服务终端、数字标牌和第三方支持设备。酒店业则有访客访问、员工设备、门禁系统、电视、平板电脑和后勤办公服务。医疗保健和教育行业也有各自混合的共享端点、非托管设备和专业设备。

这一步揭示了一个基本事实：NAC 现在与身份和用户体验的关系，就如同与设备准入的关系一样密切。

按身份、所有权和风险进行分类

强大的 NAC 设计根据用户和设备的应处理方式对其进行区分，而不仅仅是硬件类型。

托管的员工设备应使用强身份验证，并从用户身份、设备状态和角色中继承访问权限。
访客和个人设备应获得快速的引导流程和严格限制的访问权限，通常仅限互联网或特定应用程序。
共享业务设备（如自助服务终端、打印机和支付终端）应具有可预测的、受限制的访问权限，且仅能访问其所需的系统服务。
传统和 IoT 端点需要受控的异常路径，并进行清晰的细分和监控。
未知设备在被识别之前，应默认限制其访问。

旧版 NAC 系统通常会变得笨重，因为它们将企业笔记本电脑模式之外的任何事物都视为异常。而现代基于身份的平台则将这些群体视为标准的操作案例。

在体验至关重要的场景中进行试点

试点不应仅测试策略执行，还应该测试引导速度、支持工单量、异常处理，以及本地团队对系统的适应程度。

与其在核心网络中开始，不如从酒店集团的访客 WiFi、零售分支机构的员工访问或单个办公室楼层开始。这些环境能快速暴露复杂的边缘案例，同时也能使业务影响变得显而易见。如果访客无需共享密码即可上网、员工不再因密码重置致电服务台，且 IoT 设备自动进入正确的细分网络，那么该平台就在安全之外证明了其价值。

在完全强制执行前运行观察模式

这一步是拯救项目的关键。

使用分析、身份验证日志和策略模拟，在系统开始阻止流量之前了解其行为。团队通常会在此阶段发现陈旧的假设。设备出现在无人记录的地方。打印机与本不需要的系统服务进行通信。承包商使用绕过正常配置的业务流程。在监控模式下修复这些问题，其成本远低于在实时断网期间进行修复。

现代平台中需要寻找的关键要素

许多团队在购买网络准入控制（NAC）时，仍将其视为解决十年前校园端口控制问题。这通常会导致庞大的基础设施、繁琐的访客流程，以及对 BYOD 和 IoT 设备产生过多的例外处理。

更优的采购模型应该从身份和体验开始。

干净且成熟的身份集成。 Microsoft Entra ID、Okta 或您现有的目录服务应该来驱动策略，而不是与其并存。
针对托管用户和设备的无密码或基于证书的访问。 共享凭据会增加技术支持负担并扩大安全风险。
既让用户感到简便、又能让企业保持控制的访客访问。 这在酒店、零售、医疗和共享空间中至关重要。
对 IoT、传统和第三方设备的一流处理。 如果忽略了这些设备，日常运维将会受到严重影响。
针对分布式资产的云端管理。 分支机构众多的组织很少希望维护更多的本地部署（on-prem）系统。
清晰的策略逻辑。 如果您的团队无法解释为什么某个设备被划分到特定角色或分段中，排障过程就会变得缓慢且推诿。

对于正在权衡各种选项的组织，阅读第三方厂商的研究大有裨益。 Throughwire 的中国网络安全洞察非常有用，因为它们将访问控制置于更广泛的网络安全运营中，这正是其在生产环境中的实际运行方式。

为什么基于身份的 NAC 是更好的演进方向

最强大的平台现在正在取代旧的习惯，而不仅仅是将其自动化。

旧的 NAC 架构通常依赖于密码、静态 VLAN 逻辑和手动审批路径。这种模式在包含访客、漫游员工、承包商和混合设备类型的环境中会失效，还会导致糟糕的用户体验。员工忘记凭据，访客需要协助，共享密钥传播到预期范围之外。技术支持团队变成了常规访问的守门人。

基于身份的 NAC 改善了这一状况。员工可以使用现有的身份系统进行身份验证。访客可以通过品牌化、受控的准入流程接入网络。IoT 和遗留设备可以使用 iPSK 或其他受限的准入模式等方法，而不会继承广泛的网络信任。在酒店和零售等行业，这改变了商业逻辑。NAC 不再仅仅是一个控制点。它成为了客户和员工体验的一部分。

Purple 契合了这种更新的模式。它专注于无密码接入、身份集成，并支持访客、员工和混合设备环境，包括针对遗留终端的 iPSK 工作流。

选择一个能够减少手动异常、缩短准入时间并在托管设备、访客接入和 IoT 之间提供清晰策略结果的系统。这通常是在部署走出实验室并投入实际业务后，仍能保持稳健运行的平台。

关于网络准入控制的常见问题

NAC 是否取代了防火墙

不。它们解决的是不同的问题。

NAC 决定谁或什么设备可以进入网络，以及它们开始时拥有的接入级别。此后，防火墙控制网络、分段和服务之间的流量。在优秀的设计中，NAC 和防火墙相辅相成。NAC 处理准入和基于角色的定位。防火墙和分段策略则控制区域之间的流量。

如何处理无法使用现代身份验证的遗留设备或 IoT 设备

不要强迫所有设备都使用同一种方法。这就是许多部署项目变得脆弱的原因。

对托管终端使用更强大的方法，然后为不支持这些方法的设备创建受控的异常路径。MAB 在遗留设备中很常见。当您需要独特凭据而不需要共享密码时，iPSK 通常是 WiFi 上更干净的选择。重要的不是回退方案本身，而是围绕该回退方案的分段和限制性策略。

NAC 是否仅适用于大型企业

不。其应用场景在“大型企业”阶段之前就已经存在。

单个餐厅、诊所、酒店或零售分店仍需要将员工、访客、支付设备、打印机和未托管终端进行隔离。随着规模变化，改变的主要是架构和管理。云管理 NAC 让小型团队的部署变得更加现实，因为他们不需要像旧平台那样需要相同的本地部署占用空间或手动配置负担。

NAC 是否会产生更多支持工单

如果部署过程不够谨慎，确实会如此。

大多数工单激增源于三个问题：设备发现不力、初期策略过于严苛，以及针对非标准设备的异常设计薄弱。团队可以通过分阶段试点、妥善验证设备类别，以及为访客和员工提供便捷的准入路径来避免这些问题。

NAC 项目运转良好的最清晰标志是什么

您可以快速且一致地回答接入问题。

您的团队可以识别连接的用户、连接的设备、应用了什么策略，以及在接入权限被降低或撤销时发生了什么变化。当这些过程变得可见且可执行时，NAC 就不再只是一个安全产品，而是成为了一个运营控制层。

如果您正在重新思考访客、员工、承包商和 IoT 设备如何连接， Purple 值得您关注。它专注于基于身份的网络接入、无密码入网，并为酒店、零售、医疗和多租户环境提供实用支持 - 在这些环境中，共享密码和传统的 Captive Portal 流程已不再适用。