您的网络上拥有的身份可能已经超出了团队可以轻松追踪的范围。员工笔记本电脑、个人手机、打印机、智能电视、POS 终端、扫描仪、平板电脑、医疗套件、访客设备、承包商、居民、自助终端。问题不仅仅在于它们是否可以连接,而在于每一个设备是否应该连接、连接到什么,以及在什么条件下连接。
这就是人们开始提出一个非常实际的问题的地方:到底什么是网络访问控制?不是厂商幻灯片上的版本,而是实际运行的版本。
简而言之,网络访问控制 (NAC) 是一个策略层,它决定谁和什么可以进入您的网络,然后实施正确的访问级别。一个好的 NAC 部署不仅仅是检查用户名并放行流量。它还会识别设备,检查其是否符合策略,并将其放置在网络的正确部分,或者根本不允许其进入。
这在现在尤为重要,因为英国的企业和组织正在应对高密度、高速、混合使用的环境。英国政府的 2024 年网络安全漏洞调查发现,50% 的英国企业在过去 12 个月内报告了网络安全漏洞或攻击,大型企业的这一比例更是高达 74%( 此处引用的英国漏洞数据 )。在这种背景下,默认允许任何带有 WiFi 信号或以太网端口的设备进入网络无异于自找麻烦。
数字保安 - 为什么每个网络都需要访问控制
想象一下一座管理良好的大楼,里面有接待处、旋转门、员工通行证、访客证和受限楼层。保安不仅会询问是否有人来过,他们还会检查身份、目的以及该人应该被允许去哪里。
NAC 在网络中扮演着同样的角色。
防火墙仍然重要,但仅凭它还不够。防火墙主要管理流量。而 NAC 管理的是准入。它存在于设备尝试加入网络的那个点,并提出一组不同的问题:这是谁,这是什么设备,它是否合规,以及它应该被允许接触什么?
为什么旧模式会失效
许多网络的构建都基于一个简单的假设:如果一个设备进入了内部,它就大致是可信的。在现代环境中,这种模式已经瓦解,因为“内部”包括未管理的手机、物联网设备、访客流量和临时用户。
一些常见的例子:
- 承包商的笔记本电脑连接到财务人员使用的同一个无线网络。
- 访客设备落在一个未能与内部服务进行干净隔离的网络上。
- 共享平板电脑使用有效的凭据进行身份验证,但它缺少您的策略所要求的控制措施。
- 受损的终端获得了普通访问权限,并开始在横向进行探测。
这些都不是罕见的场景。它们是正常的运营现实。
实用规则: 如果您无法在边缘决定访问权限,您最终将不得不在网络更深处清理信任问题,而那里的问题更难遏制。
在英国的语境中,这就是为什么 NAC 能自然融入 Zero Trust 网络访问方法 。您不再假设位置等于信任。身处场所内、在 SSID 上或在有线网络上,并不意味着用户或设备应该获得广泛的访问权限。
NAC 在实践中改变了什么
NAC 带来的最大转变是:连接不等于信任。
NAC 不再给予设备广泛的访问权限并依赖下游控制来解决问题,而是可以:
- 在授予普通访问权限之前验证用户和设备
- 对终端进行画像,使未知或未托管的设备无法混入
- 应用基于角色的访问,使员工、访客和设备不会共享相同的网络体验
- 隔离不合规的系统,而不是让它们与生产资产混合在一起
这使得 NAC 成为前线控制,而不是清理层。在许多人和设备共享相同物理基础设施,但绝不应共享相同信任级别的场所,它特别有用。
了解 NAC 的核心组件
NAC 看起来可能很复杂,因为有多个系统协同工作。一个有用的心理模型是城市的自动化交通系统。一个系统决定规则,一个系统验证谁被允许通过,另一个系统控制地面上的屏障和车道变化。
这些部分就是策略引擎、认证服务器和执行点。
策略引擎
这是决策者。它接收关于用户、设备、位置、连接类型和状态的输入,然后将它们映射到访问结果。
简单来说,策略引擎回答以下问题:
- 这是员工笔记本电脑、访客手机还是打印机?
- 该用户是否在正确的组中?
- 该设备是否已知且合规?
- 此会话应该获得完全访问权限、仅限互联网访问权限还是修复访问权限?
策略引擎之所以重要,是因为 NAC 不仅仅是身份验证检查。它是一个策略执行系统。两个人可以提供有效的身份,但仍会获得不同的网络路径,因为策略引擎对上下文的处理方式不同。
身份验证服务器
这是身份验证器。在许多环境中,这意味着 RADIUS,通常与目录和身份系统绑定。
当设备尝试连接时,身份验证服务器会检查提供的凭据或证书,并返回批准、拒绝或网络可使用的其他属性。这些属性可能包括角色、VLAN 分配或访问条件。
非专业人士的一个常见误解是,NAC 和 RADIUS 是一回事。其实不然。RADIUS 通常是工作流的一部分。NAC 使用该工作流,然后在之上分层实施策略和执行。
健康的 NAC 设计应将身份证明与访问意图分离。身份验证指明了是谁。NAC 则决定了该身份在此网络、此会话上可以执行什么操作。
执行点
网络执行其执行功能。执行点通常是授予、限制或拒绝连接的交换机、无线控制器或接入点。
如果策略规定“仅限互联网”,则执行点可以将终端引导至访客 VLAN 或受限角色。如果策略规定“隔离”,则终端将被隔离。如果策略规定“拒绝”,则无法访问任何地方。
一个简单的示意如下:
| 组件 | 主要工作 | 典型示例 |
|---|---|---|
| 策略引擎 | 应用访问逻辑 | NAC 平台 |
| 身份验证服务器 | 验证身份 | RADIUS 服务 |
| 执行点 | 更改网络访问 | 交换机、AP、控制器 |
在运营中,最重要的是这些组件之间的对接。如果身份数据不准确,策略就会变成凭空猜测。如果执行力度不够,策略就会变成花架子。
探索 NAC 类型和执行机制
并非每个 NAC 部署的行为都相同。某些控制发生在设备获得有意义的访问之前。其他控制则在连接后继续进行,并随着条件的变化调整访问权限。最佳的实施通常会结合这两者。
在英国企业网络中,NAC 最常作为围绕 IEEE 802.1X 和 RADIUS 的策略执行层来实现,其中交换机或无线控制器在数字大门处拦截设备,并使用 RADIUS 检查凭据和健康状况,然后 NAC 再决定是否将该设备放入特定的 VLAN、受限网络中,还是完全拒绝访问(请参阅 带有 802.1X 和 RADIUS 的 NAC 技术概述 )。
准入前与准入后
准入前控制是更干净的模型。设备在获得实际访问权限之前证明身份并满足策略。如果验证失败,网络可以阻止它或将其放入严格受限的网络段中。
准入后控制则假设初始连接并不是全部。登录后,设备可能会偏离合规要求,账户可能会发生变化,且行为可能会变得可疑。准入后控制允许 NAC 在会话期间重新评估并收紧访问权限。
实际对比:
| 方法 | 优势 | 挑战 |
|---|---|---|
| 准入前 | 及早阻止不良访问 | 对老旧和非托管设备的支持难度较大 |
| 准入后 | 响应不断变化的情况 | 需要良好的可见性和清晰的触发机制 |
团队往往过度关注第一道关口,而忽略了会话控制。这是一个错误。上午 9 点时符合要求的设备,在稍后其安全状态发生变化或风险环境转移时,可能就不再符合要求。
基于代理与无代理
某些 NAC 平台在终端上使用代理(agent)来更可靠地报告安全状态。这对于托管的员工笔记本电脑和其他公司设备非常有用。
其他场景则需要无代理(agentless)技术。访客手机、消费级设备和许多物联网终端不会携带您的代理,强行安装通常会带来更多的摩擦而非价值。在这些情况下,画像分析、证书检查、门户流程或网络元数据往往更具可行性。
这两种模型没有绝对的优劣之分。正确的问题是您拥有哪些类型的设备,以及其中哪些是您可以控制的。
重要的执行工具
当人们问什么是网络准入控制时,他们通常期待一个单一的机制。实际上,NAC 是多种执行方法的集合。
以下是一些最常见的方法:
802.1X
基于端口的访问控制标准。在设备能够正确支持的情况下,这是首选方案,因为它可以让您在有线和无线网络上获得更强、基于身份的准入机制。动态 VLAN 分配
NAC 可以根据策略将用户和设备放入不同的 VLAN。相同的交换机端口或 SSID,不同的网络结果。基于角色的访问控制
财务笔记本电脑、访客手机和打印机不应继承相同的信任度。RBAC 让策略能够反映工作职能和设备类型,而不仅仅是连接位置。隔离网络
当设备已知但不合规时非常有用。NAC 可以将其放置在可以修复但无法访问敏感系统的地方,而不是非全即无的决策。MAC 认证旁路
这通常用于无法运行 802.1X 的设备,例如某些打印机、扫描仪或专业设备。它虽然有效,但比证书或基于用户的方案要弱,因此需要围绕它制定更严格的策略。Captive Portal 和 Web 认证
在访客访问环境中很常见。对于临时访问没问题,但对于重复用户来说很繁琐,并不是员工或受信任设备的长期理想解决方案。
对于正在评估平台选择的组织,根据这些执行模式的支持情况,而不是仅凭宣传的功能列表来对比 网络访问控制解决方案 会更有帮助。
NAC 如何与您现有的 IT 架构集成
NAC 在协同工作时才能发挥最大作用。在单打独斗时,它只能检查连接请求并应用本地规则。在正确集成后,它就会变成一个由身份、设备信任和运行上下文数据支持的访问决策点。
这改变了决策的质量。
身份平台和目录
大多数组织不希望 NAC 维护一套独立的用户和角色系统。他们希望它与已经定义了员工身份的系统绑定。在实际操作中,这通常意味着与 Microsoft Entra ID、Google Workspace、Okta 或现有的目录服务集成。
这让 NAC 能够提出更有用的问题:
- 该用户当前是否活跃?
- 他们属于哪个组或角色?
- 访问权限是否已被集中吊销?
- 该人员应该被视为员工、承包商、访客还是常驻人员?
当访问策略遵循目录真实源时,入职和离职流程会变得更加干净利落。如果由人力资源驱动 depletion 的身份变化能直接同步到访问决策中,网络就不会落后于控制平面的其他部分。
证书、姿态与无密码访问
最强大的 NAC 环境并不依赖于在 SSID 之间流传的共享密码,或生存期过长的静态凭据。它们使用 证书 和设备信任信号来识别终端本身。
这很重要,因为用户账户只代表了部分情况。未知设备上的有效用户仍然存在安全风险。
实战建议: 如果您的员工访问仍然依赖于共享的 WiFi 密码,那么您并没有真正意义上的准入控制。您只有一个便利性设置。
这也是 NAC 与现代无密码网络开始重叠的地方。以身份为导向的访问可以延伸到旧的 Captive Portal 体验之外。对于访客和场馆环境,OpenRoaming 和 Passpoint 等技术正朝着更安全、自动连接且摩擦更小的方向发展。这种访问仍然需要策略,只是不再需要过去那种繁琐的用户旅程。
NAC 实践 - 常见使用场景
当您审视 NAC 所解决的运营问题时,它的意义会更加清晰。策略引擎和 RADIUS 流程固然重要,但大多数买家只关心一件事:它是否能在不破坏用户体验的前提下提高控制力?
酒店业
酒店充满了相互重叠的信任区域。访客的手机和笔记本电脑需要互联网接入。员工设备需要访问运营系统。电视、门禁系统、自助服务机和后勤办公室设备都需要连接,但在默认情况下不能互相访问。
一个合理的 NAC 设计可以将这些类别清晰地隔离开来,即使它们共享相同的物理基础设施。访客可以获得简单的入网和互联网访问。员工设备通过组织的身份栈进行身份验证。运营设备则落入严格限制范围的分段中。
偷懒的做法是行不通的 - 即一个宽泛的 SSID,一个密码,以及“我们会把敏感部分留在其他地方”。在酒店业,这通常会演变成排障难题和权责不明。
零售业
零售环境通常混合了公共 WiFi、员工平板电脑、POS 系统、扫描枪、数字标牌和供应商维护的设备。如果没有部署 NAC,商店最终可能会出现仅因物理位置接近而相互信任的系统。
这里更高价值的控制是 分段准入。POS 系统应该只与它们需要的东西进行通信。访客流量永远不应该成为具有隐含信任的邻居。供应商设备应该是可识别且受限的。
良好的零售 NAC 设置还可以减少运营中的不确定性。当网络上出现异常情况时,团队可以更快地对其进行分类并应用已知策略,而无需在营业时间内临时应付。
医疗行业
在医疗行业中,NAC 能迅速体现其价值。其环境包含临床医生、行政人员、访客、承包商、未管理的医疗设备以及无法完全支持现代身份验证的老旧专业设备。
英国国家网络安全中心(NCSC)针对公共部门的指南与 NAC 原则高度契合,建议组织采用零信任思维,在授予访问权限之前对每个用户和设备进行验证,并使用分段技术来限制安全受损造成的影响( 英国公共部门指南中的零信任与 NAC 协同 )。
在医院和诊所,难点不在于理论,而是在于如何处理混合设备类别,同时不降低整个环境的信任安全标准。
多租户住宅和学生公寓
住宅运营商需要一种网络模型,让住户感到简单,但在后台保持隔离。不能因为住户处于同一栋楼的基础设施中,就能发现其他住户的设备。
NAC 策略、私有网络分配以及 iPSK 等方法在这些场景中非常实用。住户可以获得如同在家一般的体验。老旧设备依然可以连接。运营商则保留了隔离和控制能力。
这与企业办公室 NAC 的问题截然不同,但其准入逻辑是一致的。身份、设备类型和策略决定了该网络对该用户呈现的形态。
部署最佳实践和 ROI 考量
大多数 NAC 的失败并不是由于技术不给力,而是由于过于激进的策略、混乱的环境以及团队试图过早执行过多的控制。
更好的方法是循序渐进且稳扎稳打 - 这在网络安全领域通常是一种褒奖。
行之有效的方法
首先进行观察,然后再进行阻断。尽可能在监控或低影响模式下运行 NAC,构建设备类型的真实视图,然后分阶段收紧策略。
一个实用的步骤如下:
盘点资产先行
了解正在连接的对象。组织通常会发现比预期更多的未管理或错误分类的设备。从简单策略开始
企业托管设备、访客、打印机和未知设备足以构成初始模型。您稍后可以添加细微的调整。针对异常制定明确计划
遗留设备、临床设备、专业物联网和设施系统都需要一条通路。假装它们会符合干净的模型只会浪费时间。将有线和无线结合处理
如果策略在 WiFi 上很强,而在交换机端口上很弱,人们就会找到这个薄弱环节。
英国隐私与合规是设计的一部分
这部分在 NAC 文章中经常被跳过,但在英国很重要。NAC 收集并评估设备和用户属性,这会产生治理问题。根据 UK GDPR 围绕数据最小化和存储限制的原则,组织应该为了明确的目的收集所需的内容,并且仅保存必要的时间。这意味着 NAC 设计应定义哪些属性对访问决策至关重要、记录哪些内容、日志保留多长时间以及安全数据如何与营销或分析用途区分开来( 面向英国的 NAC 和隐私源于设计考虑的讨论 )。
这并不会使 NAC 产生问题。它只是意味着数据模型需要严谨。
不要将 NAC 构建为吸纳每个可用身份和设备属性的吸尘器。将其构建为一个拥有合理证据集的决策系统。
投资回报率不仅限于减少漏洞
安全买家经常要求投资回报率,但其框架过于狭隘。价值不仅在于 "NAC 是否阻止了事件"。它还体现在日常运营中。
常见的投资回报领域包括:
- 更低的运营摩擦,因为员工和访客能更一致地进入正确的访问状态
- 更快的故障排除,因为网络拥有更清晰的身份和策略上下文
- 更干净的离职处理,当访问依赖于中央身份和证书状态时
- 减少手动异常处理,一旦可重复的角色和设备类别被正确映射
这也是云端管理和身份优先选择发挥作用的地方。一些组织仍然希望将本地 NAC 与本地 RADIUS 和交换关联。其他组织则更喜欢减少基础设施开销。诸如 Purple 提供的网络和无线安全服务 等平台通过结合身份驱动的访问、无密码工作流和厂商集成,符合后者的模式,而无需承担以往共享密码和重度手动访客流的运营负担。
访问的未来:从 NAC 到身份网络
传统的 NAC 依然至关重要。它仍然是告诉网络应该信任谁、信任什么、在什么条件下以及拥有什么访问级别准入层。
但是围绕 NAC 的用户体验正在发生变化。
截至 2024 年 1 月,96% 的英国场所已接入千兆宽带( 此处指出的英国连接更新 )。这种级别的连接意味着更多的设备、更多的会话以及对立即访问的更高期望。共享密码、繁琐的 Captive Portal 和手动例外的旧模式在这样的环境中无法很好地扩展。
发展方向是身份网络。访问决策仍然遵循 NAC 原则,但实施变得更加无缝。员工通过基于身份的证书级信任进行身份验证。访客通过减少摩擦并从第一个数据包开始提高加密性能的标准进行连接。多租户和混合用途场所获得隔离,而无需每个用户都费力应对登录步骤。
这就是当今网络准入控制的最新答案。它不再只是一个传统的守门人。它是无密码、身份驱动访问的基础,可以同时实现安全、细分和可用性。
Purple 帮助组织从基本的 WiFi 访问过渡到基于身份的网络,通过为访客、员工和多租户环境提供安全的无密码访问来取代共享密码和 Captive Portal。如果您正在评估 NAC 原则如何支持 OpenRoaming、Passpoint、基于证书的员工访问或隔离的居民连接, Purple 是一个值得评估的平台。
