NAC (Network Access Control) 詳解

執行摘要

網路存取控制（Network Access Control, NAC）已從一項小眾的安全措施，演變成現代企業網路策略的基石。對於 IT 經理、網路架構師和 CTO 而言，部署強大的 NAC 解決方案不再是「是否」需要的問題，而是「何時」以及「如何」實施的問題。本指南旨在提供一個實用且不綁定特定廠商的參考，以協助理解與部署 NAC，特別是在飯店、零售連鎖店和大型場館等複雜的 WiFi 環境中。我們將剖析 NAC 的核心元件，並將其與基本驗證方法進行對比，以闡明其在降低安全風險方面的價值。重點在於具體成效：實現端點合規性、執行細粒度的存取策略，以及保護網路邊界免受日益增加的託管與非託管裝置的威脅。透過超越理論概念並解決實際部署情境，本文件提供了做出明智決策、計算投資報酬率（ROI）以及將網路安全與更廣泛的業務目標相結合所需的架構。它還闡明了像 Purple 平台這樣的解決方案在完整的 NAC 架構中所扮演的角色，彌合了訪客存取、員工安全與集中式策略執行之間的差距。

技術深度解析

從本質上講，網路存取控制是一種安全範式，旨在統一端點安全技術（如防毒軟體和主機入侵防禦）、使用者或系統驗證以及網路安全執行。傳統受密碼保護的 WiFi 網路只會問「密碼是什麼？」，而啟用 NAC 的網路則會提出一系列更智慧的問題：「你是誰？」、「你使用的是什麼裝置？」、「此裝置是否符合我們的安全策略？」以及「你有權存取哪些資源？」

核心元件：802.1X 與 RADIUS

大多數現代 NAC 部署的基石是 IEEE 802.1X 標準。這不是單一技術，而是一個基於連接埠的網路存取控制架構。它涉及三個關鍵參與者：

1. 用戶端（Supplicant）：請求網路存取的用戶端裝置（例如筆記型電腦、智慧型手機）。
2. 驗證器（Authenticator）：保護網路的網路硬體，通常是 WiFi 存取點（AP）或交換器。它扮演守門人的角色，允許或阻擋流量。
3. 驗證伺服器（Authentication Server）：運作的集中式大腦，幾乎總是 RADIUS (Remote Authentication Dial-In User Service) 伺服器。它負責驗證用戶端的憑證，並指示驗證器授予何種級別的存取權限。 此流程透過可延伸驗證協定 (EAP) 運作，該協定支援多種驗證方式，從簡單的用戶名稱/密碼 (EAP-PEAP) 到高度安全的數位憑證 (EAP-TLS)。當裝置連線時，驗證器會阻擋除 802.1X 通訊以外的所有流量。它會將 supplicant (用戶端) 的憑證轉發給 RADIUS 伺服器，該伺服器會比對目錄 (例如 Active Directory) 進行檢查。如果驗證成功，RADIUS 伺服器會向驗證器回傳 "Access-Accept" 訊息，通常還會包含特定的原則指令，例如將裝置分配到特定的 VLAN。

NAC 與基本 WiFi 驗證：關鍵區別

決策者必須了解，NAC 不僅僅是強化版的密碼。兩者的差異對於網路安全態勢至關重要。

如比較圖所示，NAC 提供了共用憑證無法實現的「身分驅動控制」。它將安全邊界從網路邊緣移至個別裝置，進而實現「零信任」(Zero Trust) 方法，即絕不預設信任且始終進行驗證。

端點合規性的角色

成熟的 NAC 解決方案不僅止於驗證。它還會對連線裝置進行態勢評估 (posture assessment)，以確保裝置在獲得存取權限之前符合預先定義的安全原則。這可能包括檢查：

• 作業系統修補程式版本：裝置是否執行最新的安全性更新？
• 防毒軟體：是否安裝、執行並更新了經核准的防毒軟體用戶端？
• 磁碟加密：裝置的硬碟是否已加密？
• 主機防火牆：本機防火牆是否已啟用？

如果裝置未通過這些檢查，則可以將其置於存取權限受限的隔離 VLAN 中，例如可能僅允許存取修復伺服器，以便使用者下載所需的更新。這種主動強制執行是防止惡意軟體從受感染端點擴散的強大工具。

導入指南

部署 NAC 是一項策略性專案，而非簡單的軟體安裝。建議採用分階段方法，以減少干擾並確保成功。

第一階段：探索與原則定義

在實施任何管制之前，您必須先瞭解網路中存在哪些裝置。初始階段應為被動的「僅限探索」模式。NAC 解決方案將監控網路流量，以分析每個已連線裝置的特徵——從企業筆記型電腦和員工智慧型手機，到訪客裝置以及智慧電視、POS 終端機和 HVAC 系統等 IoT 硬體。這種可視性對於建立完善的存取原則至關重要。在此階段，您將定義角色（例如：企業使用者、訪客、承包商、IoT 裝置）並規劃每個角色的存取權限。

第二階段：分階段實施

先在有限且低風險的網路區段（例如 IT 部門的員工 WiFi）開始實施。這能讓團隊在受控的環境中調整原則並排除故障。對於企業裝置，部署採用憑證式驗證 (EAP-TLS) 的 802.1X 是黃金標準，能提供最安全且無縫的使用者體驗。對於訪客和 BYOD 存取，採用 Captive Portal 方法則更為實用。

第三階段：使用 Purple 整合訪客與員工存取

在具有不同使用者群體的場所中，隔離訪客與員工的流量至關重要。這正是 Purple 等平台融入 NAC 架構之處。驗證器（AP/交換器）上的 NAC 原則可以識別訪客流量，並將其重新導向至 Purple Captive Portal 以進行驗證和接受原則。同時，員工裝置可以透過 802.1X 對 RADIUS 伺服器進行無感驗證。

這種混合模式結合了兩者的優勢：

• 訪客網路：由 Purple 管理，提供品牌專屬的使用者體驗流程、社群登入選項、數據分析，並符合 GDPR 等數據隱私法規。底層網路隔離在訪客 VLAN 中。
• 員工網路：透過 802.1X 進行安全防護，以實現強大的憑證式驗證，並將裝置置於可存取內部資源的企業 VLAN 中。
• IoT/營運網路：POS 終端機或大樓管理系統等裝置會被置於其專屬且受到嚴格限制的 VLAN 中，通常使用基於 MAC 的驗證作為基準控制。

第四階段：全面部署與監控

一旦原則通過驗證且整合測試完成，即可在整個組織中推廣實施。持續監控至關重要。NAC 儀表板將成為安全性維運的主要工具，提供網路存取事件、合規狀態和潛在威脅的即時可視性。

最佳實踐

• 優先採用憑證式驗證 (EAP-TLS)：對於企業管理的裝置，請避免使用密碼。憑證更為安全，且能提供無摩擦的使用者體驗。
• 實施動態 VLAN 導向：使用 RADIUS 屬性，根據裝置的角色和安全狀態自動將其分配到正確的網路區段。這是原則執行的核心本質。
• 容錯設計：如果 RADIUS 伺服器無法連線會發生什麼事？根據特定網路區段的風險評估，將驗證器設定為「故障開啟」（允許存取，安全性較低）或「故障關閉」（拒絕存取，安全性較高）。
• 切忌好高騖遠：從簡單的原則開始並逐步迭代。常見的起步點是針對企業裝置強制執行安全狀態檢查，並為訪客提供僅限網際網路的基本存取權限。
• 與您的安全生態系統整合：現代 NAC 解決方案應與防火牆、SIEM 和端點管理工具整合，以實現自動化的威脅回應。例如，如果防火牆偵測到來自端點的惡意流量，它可以向 NAC 解決方案發出訊號，以自動隔離該裝置。

疑難排解與風險緩釋

• 802.1X 用戶端（Supplicant）問題：最常見的頭痛問題是不同作業系統和裝置驅動程式對 802.1X 的支援不一致。請確保透過 MDM 或 GPO 正確設定裝置。
• 憑證管理：EAP-TLS 需要公開金鑰基礎建設 (PKI)。管理憑證生命週期（核發、更新、撤銷）可能非常複雜。請為此營運開銷做好規劃。
• MAC 位址隨機化：現代行動裝置（iOS、Android）使用隨機 MAC 位址來防止追蹤，這可能會破壞基於 MAC 的驗證規則。對於訪客網路，這強化了對基於 Captive Portal 登入的需求。對於企業 BYOD，這則需要基於使用者的驗證流程。
• IoT 裝置上網引導：許多 IoT 裝置不支援 802.1X。通常需要結合基於 MAC 的驗證和特徵分析。NAC 解決方案應能夠將裝置識別為（例如）Samsung 智慧電視，並自動將其分配到適當的 IoT VLAN。

ROI 與商業影響

投資 NAC 不僅僅是一項安全支出，它還能帶來有形的商業價值。

藉由量化這些效益，IT 主管可以為部署 NAC 建立具說服力的商業案例，將其定位為安全且高效數位工作場所的策略推動因素。

參考資料

[1] IBM, "Cost of a Data Breach Report 2023." [2] PCI Security Standards Council, "Guidance for PCI DSS Scoping and Network Segmentation." [3] IEEE, "IEEE 802.1X-2020 - IEEE Standard for Port-Based Network Access Control."