歷史巨輪：NAC誕生

計算機高速發(fā)展過程中，網(wǎng)絡(luò)內(nèi)出現(xiàn)越來越多的0day攻擊，此時迫切需要一種技術(shù)可以對非法的電腦做網(wǎng)絡(luò)隔離，并能在網(wǎng)絡(luò)中自動定位出有問題的電腦，進一步對這些電腦做安全修復(fù)，最早的網(wǎng)絡(luò)準入控制技術(shù)應(yīng)景而生。

在2003年，當時全世界最大的網(wǎng)絡(luò)廠商Cisco提出NAC技術(shù)與SDN(自防御網(wǎng)絡(luò))概念，并形成了網(wǎng)絡(luò)準入控制技術(shù)框架，隨后，Microsoft、Juniper等網(wǎng)絡(luò)大廠也分別發(fā)布相應(yīng)的產(chǎn)品與解決方案，到了2006年，網(wǎng)絡(luò)準入控制市場發(fā)展迅猛，當年NAC被國內(nèi)外媒體稱為繼防火墻之后最大的網(wǎng)絡(luò)安全市場熱點。

NAC首創(chuàng)者：Cisco

思科是網(wǎng)絡(luò)準入控制技術(shù)的提出者，Cisco NAC網(wǎng)絡(luò)準入控制技術(shù)的演進過程如下所示：

Cisco NAC 1.0：解決網(wǎng)絡(luò)隔離問題；

Cisco NAC 2.0：實現(xiàn)更細粒度的準入控制；

Cisco NAC 3.0：提出硬件的解決方案，主要解決部署困難的問題；

Cisco NAC 4.0：思科又放棄了網(wǎng)關(guān)的方案，重點解決集中管理的問題，在第二代技術(shù)基礎(chǔ)上增加了實名制網(wǎng)絡(luò)資源訪問控制等技術(shù)，即Role-based 802.1x技術(shù)。

經(jīng)過這么多年的發(fā)展，NAC的解決焦點從網(wǎng)絡(luò)的訪問控制演進為對資源的訪問控制。

NAC技術(shù)發(fā)展階段

NAC技術(shù)類型分析

在標準框架基礎(chǔ)上，根據(jù)不同的應(yīng)用場景發(fā)展出三類網(wǎng)絡(luò)準入控制技術(shù)，這三種類型技術(shù)，都支持有Agent和無Agent設(shè)備的接入認證，無Agent的認證，大多數(shù)廠商使用MAC地址或IP地址。

這三類技術(shù)各有特點，分別應(yīng)用于不通的網(wǎng)絡(luò)接入場景。

除了以上的技術(shù)分析，還需明確網(wǎng)絡(luò)接入最終需要承擔安全責(zé)任的是人，不是設(shè)備，所以采用Role-based（基于角色）管理方法，與HR/LDAP對接，更易落實到人，也便于策略管理、數(shù)據(jù)分析、事后追查（事件鏈）。

NAC創(chuàng)新者和領(lǐng)導(dǎo)者：聯(lián)軟科技

總括：

Leagsoft UniNAC支持幾乎所有的網(wǎng)絡(luò)準入控制技術(shù)，除了能支持802.1x 、Cicso NAC、portal等Infrastructure-based準入控制技術(shù)，串接、準旁路、端口鏡像等Appliance-based準入控制技術(shù)和ARP干擾、DHCP干擾等Software-based準入控制技術(shù)外，還支持Role-Based準入控制技術(shù)，針對不同的準入控制技術(shù)，可以應(yīng)用于不同的接入管理場景，所以UniNAC可以適應(yīng)任何復(fù)雜的網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)接入控制需求。

創(chuàng)新：資源訪問控制技術(shù)RAC

Leagsoft UniNAC系統(tǒng)在2012年發(fā)布資源訪問控制技術(shù)RAC(Resource Access Control)，支持Role-based網(wǎng)絡(luò)資源訪問控制，也支持用戶終端、啞終端的資源訪問控制。

該技術(shù)通常用ACL控制網(wǎng)絡(luò)資源訪問權(quán)限，支持在各種型號的802.1X網(wǎng)絡(luò)交換機、無線控制器、支持EoU的路由器、聯(lián)軟的NACC網(wǎng)關(guān)和客戶端上下發(fā)ACL，這樣就可以實現(xiàn)對不同的終端、不同的用戶角色、不同的應(yīng)用程序、不同的訪問時間下發(fā)指定的訪問權(quán)限，從而對網(wǎng)絡(luò)的接入實現(xiàn)細粒度的管理。

創(chuàng)新：新一代的DEVAS

網(wǎng)絡(luò)使用中新的安全性和移動性要求，讓NAC演進為全新的EVAS（Endpoint、Visibility、Access、Security）端點可視化與訪問控制安全。EVAS定義：一種網(wǎng)絡(luò)安全技術(shù)，提供基于策略的情報、 執(zhí)行、 弱化風(fēng)險，并實時監(jiān)控所有網(wǎng)絡(luò)設(shè)備訪問、配置和連接到 IP 網(wǎng)絡(luò)的任何節(jié)點的活動。

但是EVAS本身不直接實現(xiàn)數(shù)據(jù)信息的保護，而只能作為“安全基礎(chǔ)設(shè)施”為數(shù)據(jù)安全保護提供支撐基礎(chǔ)！聯(lián)軟科技率先將EVAS概念引入到終端安全管理平臺產(chǎn)品中，形成了一套以EVAS為基礎(chǔ)，集合終端數(shù)據(jù)信息安全防護的DEVAS解決方案。

在網(wǎng)絡(luò)安全方面

有EAVS，基于設(shè)備、用戶、網(wǎng)絡(luò)位置、時間、數(shù)據(jù)的敏感性等顆粒化的網(wǎng)絡(luò)訪問控制，防止問題電腦接入、問題人員對網(wǎng)絡(luò)的訪問，與安全信息和事件管理間廣泛的集成。

在應(yīng)用安全方面

有資源訪問控制RAC，防止不正確的時間、地點、接入方式的異常訪問，防范緩沖區(qū)溢出攻擊、規(guī)避審計手段等黑客工具攻擊。

在信息安全方面

有終端數(shù)據(jù)信息安全防護，防止被用黑客工具非法盜取信息，防止內(nèi)部人員將其接觸到的信息，轉(zhuǎn)給外部人員泄密。

聯(lián)軟在準入控制的演進

2004年，全球首創(chuàng)設(shè)備快速發(fā)現(xiàn)與定位技術(shù)，設(shè)備接入網(wǎng)絡(luò)，幾分鐘內(nèi)即可發(fā)現(xiàn)、定位(無需Agent)，同類產(chǎn)品需要數(shù)小時乃至數(shù)天，持續(xù)12年保持領(lǐng)先；

2005年，中國第一家基于802.1x/EoU網(wǎng)絡(luò)準入控制產(chǎn)品，EoU準入這個名詞首先在聯(lián)軟的技術(shù)文檔中被使用；

2006年，全球第一家，一個Agent支持多網(wǎng)絡(luò)設(shè)備廠商，聯(lián)軟成為首家基于Cicso NAC框架的產(chǎn)品供應(yīng)商；

2008年，中國第一家推出基于硬件網(wǎng)關(guān)的準入控制器(NACC)，解決復(fù)雜的環(huán)境的網(wǎng)絡(luò)接入管理問題，支持準旁路部署、全旁路部署；

2010年，中國第一家發(fā)布Linux客戶端的廠商，支持準入控制；

2012年，在網(wǎng)絡(luò)準入控制基礎(chǔ)上，發(fā)布新一代NAC技術(shù)RAC，引領(lǐng)第四代網(wǎng)絡(luò)準入控制技術(shù)向前發(fā)展；

2014年，系統(tǒng)支持對移動終端的接入管理；

2015年，系統(tǒng)支持對啞終端設(shè)備自動識別和接入管理；集合終端數(shù)據(jù)信息安全防護的DEVAS解決方案。

當然，還有業(yè)內(nèi)獨創(chuàng)HTTPS重定向訪問技術(shù)，獨創(chuàng)MAC地址自動獲取，接入認證故障診斷輔助工具等等。

經(jīng)過13年的發(fā)展，聯(lián)軟科技已經(jīng)成為中國網(wǎng)絡(luò)準入控制市場的技術(shù)領(lǐng)導(dǎo)者，而且還將持續(xù)創(chuàng)新，為客戶更有價值的技術(shù)及解決方案。