Skip to main content
简体中文

NAC(网络访问控制)详解

为IT领导者提供的关于网络访问控制(NAC)的权威技术参考,解释其架构、部署模型以及在企业WiFi安全中的关键作用。本指南为在酒店、零售和企业环境中保护网络访问提供了可操作的见解,详细说明了像Purple这样的平台如何集成以执行强大的访问策略。

📖 7 min read📝 1,579 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
[Intro Music - Bright, professional, tech-focused tune, fades down after 5 seconds] **主持人(自信、权威、英式英语口音):** 您好,欢迎来到Purple技术简报。我是主持人,在接下来的十分钟里,我们将提供关于一个关键安全主题的高层概述:网络访问控制,即NAC。如果您是负责组织网络的IT经理、架构师或CTO,那么这个话题正适合您。我们将跳过术语,专注于NAC是什么、为什么它对您的WiFi策略很重要以及如何考虑实施它。 **(1分钟标记 - 引言与背景)** 那么,NAC真正解决的问题是什么?多年来,我们用一个简单的密码来保护我们的网络。但如今,随着员工、访客、承包商以及大量物联网设备都希望访问网络,那个单点故障已难以防御。NAC将我们从基于密码的模式转变为基于身份的模式。它不再问“密码是什么?”,而是开始问“你是谁?你使用什么设备?让你进来安全吗?”它就像是您数字场所门口的保镖,在允许进入前检查身份证并确保合规性。 **(6分钟标记 - 技术深入剖析)** 让我们深入了解其架构。现代NAC的核心是一个名为IEEE 802.1X的标准。这并不像听起来那么复杂。可以将其视为三方对话。首先,有“恳求者”——即想要连接的笔记本电脑或手机。其次,“认证者”——您的WiFi接入点或交换机。第三,“认证服务器”,几乎总是一个RADIUS服务器。 当您的笔记本电脑连接时,接入点在门口拦住它说:“等等。让我跟我的上级确认一下。”它会获取您的凭证——理想情况下是数字证书,而不是密码——并将其传递给RADIUS服务器。RADIUS服务器会根据目录(如Active Directory)检查您的身份。但关键部分来了。一个合适的NAC解决方案不仅仅说“是”或“否”。它还会执行态势检查。它会问:您的防病毒软件是最新的吗?您的操作系统打了补丁吗?您的磁盘加密了吗? 如果您同时通过了身份检查和健康检查,RADIUS服务器会告诉接入点:“这是受信任的企业设备。将其放入员工VLAN。”如果您是访客,它可能会说:“我不认识这个人。将他们重定向到Purple Captive Portal进行注册。”如果您的设备不合规,它可以说:“此设备不健康。将其放入隔离VLAN,仅可访问修复服务器。”这种基于策略的动态分配是NAC的超能力。正是它使您能够构建一个真正分段、零信任的网络。 **(8分钟标记 - 实施建议与陷阱)** 那么,如何在不引起混乱的情况下部署它呢?首先,不要试图一次做完所有事情。从仅监控模式开始。让NAC解决方案监听几周,以发现和分析您网络上的每一台设备。您会对发现的结果感到惊讶。其次,从低风险部分开始执行,例如您自己IT团队的WiFi。测试您的策略,进行完善。对于企业设备,推动基于证书的认证。它更安全,一旦设置好,对用户完全无缝。对于访客,Captive Portal是不错的选择。这就是像Purple这样的平台适合的地方。我们处理访客旅程、法律合规、分析,而您的核心NAC基础设施处理企业资产的深度安全。我们看到的最大陷阱是缺乏证书管理的规划,以及处理那些不支持802.1X的棘手无头物联网设备。对于这些设备,您需要一种结合MAC认证和设备特征分析的策略。 **(9分钟标记 - 快速问答)** 让我们快速问答一下。 *问题一:NAC只适用于WiFi吗?* 不,它既适用于有线网络也适用于无线网络。任何设备可以插入的端口都应得到保护。 *问题二:这对小企业来说太复杂了吗?* 现在已经不是了。基于云的NAC解决方案使其易于使用,无需一机架本地服务器。 *问题三:这会取代我的防火墙吗?* 绝对不会。它与您的防火墙协同工作。NAC控制谁可以进入网络,防火墙控制他们进入后可以做什么。 **(10分钟标记 - 总结与后续步骤)** 总结一下:网络访问控制是从过时的密码模型向现代的、基于身份的安全框架转变。它允许您对网络上的每台设备进行认证、授权和审计。通过使用像802.1X这样的标准以及态势评估和动态VLAN等工具,您可以构建一个更安全、更智能的网络。下一步是什么?从发现开始。您无法保护看不到的东西。识别网络上的所有内容,定义您的角色,并开始构建您的访问策略。 感谢您参加Purple技术简报。要了解更多信息,请访问purple.ai。 [Outro Music - Bright, professional, tech-focused tune, fades up and plays for 5 seconds before ending]

header_image.png

执行摘要

网络访问控制(NAC)已从一种小众安全措施演变为现代企业网络策略的基础组成部分。对于IT经理、网络架构师和CTO来说,实施强大的NAC解决方案不再是“是否”的问题,而是“何时”和“如何”的问题。本指南是一份实用的、供应商中立的参考,用于理解和部署NAC,特别是在酒店、零售连锁店和大型场馆等复杂WiFi环境中的背景下。我们将剖析NAC的核心组件,将其与基本认证方法进行对比,明确其在降低安全风险方面的价值。重点放在切实的成果上:实现端点合规性、执行细粒度的访问策略,以及保护网络边界免受日益增多的受管理和非受管理设备的威胁。通过超越理论概念来处理现实世界的部署场景,本文档为做出明智决策、计算投资回报率以及将网络安全与更广泛的业务目标对齐提供了必要的框架。它还阐明了像Purple平台这样的解决方案在全面的NAC架构中的定位,弥合了访客访问、员工安全和集中式策略执行之间的差距。

技术深入剖析

从核心来看,网络访问控制是一种安全范式,旨在统一端点安全技术(如防病毒和主机入侵预防)、用户或系统认证以及网络安全执行。传统密码保护WiFi网络只问“密码是什么?”,而支持NAC的网络会问一系列更智能的问题:“你是谁?”,“你使用什么设备?”,“该设备是否符合我们的安全策略?”以及“你被授权访问哪些资源?”

核心组件:802.1X和RADIUS

大多数现代NAC实现的基石是IEEE 802.1X标准。这不是单一技术,而是一个基于端口的网络访问控制框架。它涉及三个关键的参与者:

  1. 恳求者:请求网络访问的客户端设备(例如,笔记本电脑、智能手机)。
  2. 认证者:保护网络的网络硬件,通常是WiFi接入点或交换机。它充当守门人,允许或阻止流量。
  3. 认证服务器:操作的中枢大脑,几乎总是一个**RADIUS(远程认证拨入用户服务)**服务器。它验证恳求者的凭证,并指示认证者授予何种级别的访问权限。

该过程通过可扩展认证协议(EAP)进行,该协议允许各种认证方法,从简单的用户名/密码(EAP-PEAP)到高度安全的数字证书(EAP-TLS)。当设备连接时,认证者会阻止除802.1X通信之外的所有流量。它将恳求者的凭证中继到RADIUS服务器,RADIUS服务器会根据目录(如Active Directory)进行检查。如果认证成功,RADIUS服务器会向认证者发送“Access-Accept”消息,通常包含特定的策略指令,例如将该设备分配到特定的VLAN。

architecture_overview.png

NAC与基本WiFi认证:关键区别

决策者必须理解,NAC不仅仅是增强的密码。这一差异对网络安全态势至关重要。

comparison_chart.png

正如对比所示,NAC提供了共享凭证无法实现的基于身份的控制。它将安全边界从网络边缘移至单个设备,实现零信任方法,在该方法中,访问从未被假定,始终需要验证。

端点合规性的作用

成熟的NAC解决方案超出了认证范围。它在授予访问权限之前对连接设备执行态势评估,以确保它们满足预定义的安全策略。这可以包括对以下内容的检查:

  • 操作系统补丁级别:设备是否运行最新的安全更新?
  • 防病毒软件:是否安装、运行并保持最新的经批准的防病毒客户端?
  • 磁盘加密:设备的硬盘是否加密?
  • 主机防火墙:本地防火墙是否启用?

如果设备未通过这些检查,则可以将其置于隔离的VLAN中,仅具有有限的访问权限——可能只能访问用户可以下载所需更新的修复服务器。这种主动执行是防止恶意软件从受感染端点传播的强大工具。

实施指南

部署NAC是一个战略性项目,而不是简单的软件安装。建议采用分阶段方法,以最大限度地减少中断并确保成功。

阶段1:发现和策略定义

在执行任何操作之前,您必须了解网络上有什么。初始阶段应为被动、仅发现模式。NAC解决方案将监控网络流量,以对每个连接的设备进行特征分析——从企业笔记本电脑和员工智能手机到访客设备和物联网硬件,如智能电视、POS终端和HVAC系统。这种可见性对于构建全面的访问策略至关重要。在此阶段,您将定义角色(例如,企业用户、访客、承包商、物联网设备)并规划每个角色的访问权限。

阶段2:分阶段执行

在网络的有限、低风险部分开始执行,例如IT部门的员工WiFi。这使团队可以在受控环境中完善策略并解决问题。对于企业设备,部署带有基于证书认证的802.1X(EAP-TLS)是黄金标准,可提供最安全、无缝的用户体验。对于访客和BYOD访问,Captive Portal方法更为实用。

阶段3:使用Purple集成访客和员工访问

在具有不同用户群体的场所中,隔离访客和员工流量至关重要。这就是像Purple这样的平台集成到NAC架构中的地方。认证者(AP/交换机)上的NAC策略可以识别访客流量,并将其重定向到Purple Captive Portal进行认证和策略接受。同时,员工设备可以通过802.1X对RADIUS服务器进行静默认证。

purple_nac_deployment.png

这种混合模式提供了两全其美的优势:

  • 访客网络:由Purple管理,提供品牌化的用户旅程、社交登录选项、数据分析以及符合如GDPR等数据隐私法规的合规性。底层网络隔离在访客VLAN中。
  • 员工网络:通过802.1X进行安全的基于证书的认证,设备被放入具有内部资源访问权限的企业VLAN。
  • 物联网/运营网络:像POS终端或楼宇管理系统这样的设备被置于自己的高度受限的VLAN中,通常使用基于MAC的认证作为基线控制。

阶段4:全面部署和监控

一旦策略得到验证且集成经过测试,就可以在整个组织中推广执行。持续监控至关重要。NAC仪表板成为安全运营的主要工具,提供对网络访问事件、合规状态和潜在威胁的实时可见性。

最佳实践

  • 优先考虑基于证书的认证(EAP-TLS):对于企业管理的设备,避免使用密码。证书更安全,并提供无摩擦的用户体验。
  • 实施动态VLAN导向:使用RADIUS属性根据设备的角色和姿态自动将其分配到正确的网络段。这是策略执行的本质。
  • 为故障设计:如果RADIUS服务器不可达会发生什么?根据特定网络段的风险评估,将认证者配置为故障开放(允许访问,安全性较低)或故障关闭(拒绝访问,更安全)。
  • 不要试图一蹴而就:从简单的策略开始并迭代。一个常见的起点是对企业设备执行态势检查,并为访客提供仅限互联网的基本访问。
  • 与您的安全生态系统集成:现代NAC解决方案应与防火墙、SIEM和端点管理工具集成,以实现自动威胁响应。例如,如果防火墙检测到来自端点的恶意流量,它可以通知NAC解决方案自动隔离该设备。

故障排除与风险缓解

  • 802.1X恳求者问题:最令人头疼的是不同操作系统和设备驱动程序对802.1X的支持不一致。确保通过MDM或GPO正确配置设备。
  • 证书管理:EAP-TLS需要公钥基础设施(PKI)。管理证书生命周期(颁发、续订、吊销)可能很复杂。需为此运营开销做好规划。
  • MAC地址随机化:现代移动设备(iOS、Android)使用随机MAC地址来防止跟踪,这可能会破坏基于MAC的认证规则。对于访客网络,这强化了对基于门户登录的需求。对于企业BYOD,它需要基于用户的认证流程。
  • 物联网入网:许多物联网设备不支持802.1X。通常需要结合基于MAC的认证和特征分析。NAC解决方案应能够识别设备,例如,三星智能电视,并自动将其分配到适当的物联网VLAN。

投资回报率与业务影响

投资NAC不仅仅是安全支出;它带来切实的业务价值。

业务影响领域 衡量指标 预期成果
风险缓解 源自受感染端点的安全事件减少。 降低违规修复和数据恢复的成本。
合规性 成功通过PCI DSS、GDPR、HIPAA审计。 避免监管罚款和声誉损害。
运营效率 与网络访问问题相关的IT帮助台工单减少。 入网和策略执行的自动化使IT人员能够专注于战略项目。
用户体验 员工连接体验更快、更无缝。 提高生产力,减少用户挫败感。
商业智能 (借助Purple)关于访客行为和人口统计的丰富分析。 为营销、运营和场馆布局提供数据驱动的决策。

通过量化这些优势,IT领导者可以为部署NAC构建令人信服的业务案例,将其定位为安全高效数字工作场所的战略推动者。

参考文献

[1] IBM, "Cost of a Data Breach Report 2023." [2] PCI Security Standards Council, "Guidance for PCI DSS Scoping and Network Segmentation." [3] IEEE, "IEEE 802.1X-2020 - IEEE Standard for Port-Based Network Access Control."

Key Definitions

网络访问控制(NAC)

一种网络安全解决方案,它使用一组协议来定义和实施一项策略,描述在设备最初尝试访问网络时如何保护对网络节点的访问。

IT团队部署NAC以防止未经授权的用户和不合规的设备访问企业或专用网络,从而减少攻击面。

IEEE 802.1X

用于基于端口的网络访问控制(PNAC)的IEEE标准。它是IEEE 802.1网络协议组的一部分,为希望连接到LAN或WLAN的设备提供认证机制。

这是有线和无线网络上企业级认证的基础标准,支持基于用户和设备的身份验证。

RADIUS

远程认证拨入用户服务。一种网络协议,为连接和使用网络服务的用户和设备提供集中式的认证、授权和计费(AAA)管理。

在NAC架构中,RADIUS服务器是大脑。它接收来自交换机和AP的认证请求,根据用户目录验证凭证,并发回策略决策。

端点合规性(态势评估)

在认证过程中检查设备以确保其符合预定义的安全策略集的过程,例如具有最新的操作系统、有效的防病毒和启用的防火墙。

这是高级NAC解决方案的关键功能。它确保设备不仅获得授权,而且在允许其进入网络之前是健康的,从而防止恶意软件的传播。

VLAN(虚拟局域网)

同一广播域中设备的逻辑分组。VLAN通常在交换机上通过将某些接口放入一个广播域而将其他接口放入另一个广播域来配置。

NAC将VLAN用作主要的执行工具。基于设备的身份和态势,NAC解决方案指示交换机将其放入特定的VLAN(例如,“Guest”、“Corporate”),从而有效地对网络进行分段。

Captive Portal

公共访问网络的用户在获得访问权限之前必须查看并与之交互的网页。Captive Portal通常用于商务中心、机场、酒店大堂以及其他提供免费Wi-Fi的场所。

虽然不如802.1X安全,但Captive Portal是访客认证的标准。像Purple这样的平台使用它们来管理服务条款、收集营销数据并为非企业用户执行访问策略。

EAP(可扩展认证协议)

一种经常用于网络和互联网连接的认证框架。它在RFC 3748中定义,并为在802.1X框架内使用不同的认证方法提供了标准方式。

IT架构师根据安全需求选择不同的EAP类型。EAP-TLS(使用证书)高度安全,而PEAP(使用密码)更易于部署但安全性较低。

PCI DSS

支付卡行业数据安全标准。一套安全标准,旨在确保所有接受、处理、存储或传输信用卡信息的公司保持安全的环境。

零售和酒店业部署NAC的一个主要驱动因素是PCI DSS要求1.2.1,该要求强制将存储持卡人数据的网络与访客或其他网络进行分割。

Worked Examples

一家拥有500间客房的豪华酒店需要为客人、员工以及越来越多的物联网设备(智能电视、恒温器、迷你吧传感器)提供安全的WiFi,同时确保其支付系统的PCI DSS合规性。

  1. 网络分段:部署NAC解决方案以创建不同的SSID和VLAN:“HotelGuest”、“HotelStaff”和“HotelIoT”。为符合PCI标准的支付终端创建第四个仅有线VLAN。
  2. 访客访问:“HotelGuest”SSID将用户重定向到Purple Captive Portal。访客通过社交登录或电子邮件表单进行认证,接受服务条款。Purple管理GDPR同意并为酒店提供访客分析。NAC策略将所有访客设备置于访客VLAN中,该VLAN仅可访问互联网,并与所有内部酒店系统隔离。
  3. 员工访问:“HotelStaff”SSID配置为WPA3-Enterprise与802.1X EAP-TLS。通过MDM解决方案为企业配发的设备(笔记本电脑、平板电脑)配置客户端证书。当员工连接时,其设备由RADIUS服务器认证,并放入员工VLAN,授予对内部资源(如物业管理系统PMS)的访问权限。
  4. 物联网访问:“HotelIoT”SSID使用MAC认证。所有已部署的物联网设备的MAC地址都在NAC系统中预先注册。当智能电视连接时,其MAC被验证,并被放入物联网VLAN,该VLAN仅可访问其特定的管理服务器,并被阻止访问访客和员工网络。
Examiner's Commentary: 这种分层方法正确应用了最小权限原则。它针对每种用户和设备类型使用最合适的认证方法,平衡了安全性和可用性。将Purple集成到访客体验中,减轻了同意管理的复杂性,提供了宝贵的营销数据,而强大的802.1X框架则保护了敏感的企业流量。这种分段对于通过将支付系统与所有其他网络隔离开来实现PCI DSS合规性至关重要。

一家拥有150家门店的多地点零售连锁店想要替换其不安全的共享WPA2-PSK网络。他们需要保护企业设备,提供访客WiFi,并确保店内POS终端被隔离。

  1. 集中式RADIUS:部署云托管的RADIUS服务器来管理所有150家门店的认证,确保一致的策略应用。
  2. 企业设备:通过MDM配置门店经理平板电脑和员工手持扫描仪,以使用基于802.1X证书的认证连接到“Corporate”SSID。NAC策略还执行态势检查,以确保设备运行公司批准的软件版本。
  3. 访客WiFi:公共“RetailGuest”SSID使用Captive Portal(如Purple)提供互联网访问。这隔离了访客流量,并允许连锁店根据位置分析运行有针对性的营销活动。
  4. POS终端隔离:POS终端通过有线端口连接。交换机端口配置基于MAC的认证,将其锁定到终端的特定MAC地址。这些端口被分配给一个专用的、高度受限的PCI VLAN,该VLAN只能与支付处理器通信。
  5. 分阶段推广:该解决方案首先部署到单个试点门店。验证后,利用集中式的NAC和MDM平台,将配置远程推送到其他149家门店。
Examiner's Commentary: 这种多站点场景成功的关键是集中化。基于云的NAC和RADIUS解决方案避免了在每个门店需要专用服务器,大大降低了成本和管理开销。对静态POS终端使用有线连接和MAC认证是实现PCI合规性的稳健且实用的解决方案。分阶段推广是这种规模项目的关键风险缓解策略。

Practice Questions

Q1. 一个体育场正在举办大型体育赛事,需要为球迷、媒体和运营人员提供WiFi。媒体需要更高的带宽和对特定媒体服务器的访问权限。您将如何设计网络访问策略?

Hint: 考虑使用不同的SSID和基于RADIUS的VLAN导向。

View model answer
  1. 球迷WiFi:一个开放的SSID“StadiumFanWiFi”将所有用户重定向到Captive Portal进行认证。该门户可以处理高密度连接并应用带宽限制以确保公平使用。所有球迷都被放入一个通用的仅限互联网访问的VLAN。
  2. 媒体WiFi:一个隐藏的SSID“StadiumPress”受WPA2/3-Enterprise (802.1X)保护。预先注册的媒体成员获得凭证。认证后,RADIUS服务器将其识别为“Press”组成员,并将其分配给专用的媒体VLAN。该VLAN具有更高的QoS配置文件和对内部媒体服务器的访问权限。
  3. 员工WiFi:第三个隐藏的SSID“StadiumOps”也为运营人员使用802.1X。他们被分配到一个安全的运营VLAN,可访问票务、安全和楼宇管理系统。

Q2. 您的公司正在实施BYOD(自带设备)政策。一位员工想将其个人笔记本电脑连接到企业网络。您的NAC解决方案在授予访问权限之前应执行哪些最低限度的态势检查?

Hint: 考虑恶意软件和数据泄露的最常见途径。

View model answer

BYOD设备的最低态势评估应包括:

  1. 功能性防火墙:必须启用设备的主机防火墙,以防止未经请求的入站连接。
  2. 更新的防病毒:必须安装经批准的防病毒解决方案,正在运行,并且在过去24-48小时内已收到签名更新。
  3. 操作系统更新:操作系统必须安装所有关键安全补丁。该策略可能规定操作系统不得落后于最新补丁版本超过一个月。
  4. 无不批准软件:检查特定的禁止应用程序,例如可能引入风险的点对点文件共享客户端。如果设备未通过任何这些检查,则应拒绝访问或将其放入修复VLAN。

Q3. 一家医院想要部署新的WiFi连接输液泵。这些设备不支持802.1X。如何使用NAC解决方案安全地加入并管理它们?

Hint: 对于不支持高级认证的无头设备,考虑多因素方法。

View model answer

由于输液泵不支持802.1X,需要分层方法:

  1. MAC认证:在NAC系统中注册每台输液泵的MAC地址。这提供了基本的身份标识。
  2. 设备特征分析:应将NAC解决方案配置为根据其网络流量(例如,DHCP指纹、使用的协议)对设备进行特征分析。它应将设备识别为“Infusion Pump Model X”。
  3. 组合策略:创建一项策略,要求MAC地址在允许列表中并且设备特征与预期指纹匹配。这可以防止MAC欺骗,因为攻击者的笔记本电脑可能具有有效的MAC,但在网络中不会像输液泵那样运行。
  4. 严格的VLAN和ACL:一旦认证,输液泵将被放入高度受限的“Medical_IoT”VLAN。对其流量应用访问控制列表(ACL),仅允许其与输液泵管理服务器的特定IP地址通信,其他一切均被明确拒绝。
NAC(网络访问控制)详解 | Technical Guides | Purple