企业无线网络触发NAC需求

　　对大学校园的网管而言，无线网络部署带来的风险超过了想象。前不久上海一个大学校园网，因为一台携带蠕虫病毒的笔记本接入而几乎陷入了瘫痪状态。对多数部署企业无线网络的用户而言，无线网络移动方便性和网络的可控性之间现在还缺乏平衡的有效办法。

　　在这种情况下，NAC（网络访问控制）的解决方案应运而生。

　　虽然目前业界还缺乏对NAC的准确定义，NAC功能执行点也根据各加网络设备公司的技术优势而大相径庭。例如Juniper执行点放在了防火墙上，而思科华为这样提倡智能网络的厂商则号召用户选择昂贵的智能网络整体解决方案，而以SSL VPN起家的Array则把执行点放在了VPN设备上。

　　Array Networks的SSL VPN设备

　　NAC的想法很好，就是通过各种智能网络设备对用户的网络行为进行审核。例如企业内网用户上网的行为控制，比如限制P2P,限制下载，现在访问部分带来法律风险的网站等等。不过这并不是NAC的最主要需求。

　　企业信息系统越来越多，员工对企业信息系统的依赖越来越大，更重要的是企业信息现在已经不只是局限于企业内部员工的使用。比如典型的分销系统，就必须给分销商借口，使分销商能及时将市场需求反馈给企业。在Array提供给福田汽车的解决方案中，就是要解决福田汽车4S店对福田分销系统的访问。除了用户名口令外，为了避免员工变动带来的潜在失密风险，就必须加入对IP地址、机器硬件特征例如MAC地址、硬盘、等序列号的识别。同时还要考虑客户机的健康状态，避免客户机对VPN的访问而带来病毒侵蚀的安全风险。

　　最近需求表现最突出的要算WLAN市场，对与学校这种半公共的场所，网络使用环境及其复杂。学生的机器千差万别，如果统一拒绝或者接受都存在弊端。

　　企业无线交换机虽然有一定鉴权认证功能，但是主要局限在网络层。一台工作正常的学生机在外面感染上病毒，回到校园后WLAN交换机是无法鉴别其健康状态的。如果校园网的设计不好，各区域之间缺乏适当隔离，就会造成整个校园网的灾难。最典型的就是广播风波。

　　Array Networks无线NAC拓扑图

　　解决这个问题最经济的办法就是识别并隔离。例如Array的无线NAC解决方案。

　　不过Array的方案并不是没有缺陷，以负载均衡和SSL VPN起家的Array公司长项在网络协议的4——7层，正是因为有负载均衡和SSL VPN的丰富经验和知识积累，Array对客户应用的识别并判断相对容易。但是Array并没有办法通过智能交换机等智能设备从网络层将非授权客户机彻底屏蔽在企业无线网络之外。

　　尽管如此，Array的无线NAC（WLAN-NAC）方案因为只需要在原有网络中增加一个VPN设备而不是改造整个网络，在经济性和可行性方面有巨大的优势。 Array WLAN-NAC解决方案的部署方式如上图。在WLAN的环境中，将Array SPX UAC网关部署在AP ( Access Point)与企业的路由器之间，对接入WLAN的用户作端点安全状态检测和身份鉴权，用户身份认证可以采用企业已有的认证服务器，如AD、LDAP、Radius，甚至是RSA SecurID动态密码服务器等双因素认证方式。允许接入的用户在数据加密、访问控制、日志审计等安全措施的保护下访问企业网络和应用，并随时监控终端的行为和安全状态。

　　Array 的NAC解决方案包含了网络准入控制和资源访问控制功能。具体的功能有：
用户身份鉴权
接入设备鉴权
全面的客户端安全状态检测
安全隔离和纠正
严密的认证和授权提供访问控制；
高强度不可逆的数据加密；
基于网络和资源的细粒度访问控制；
和计费系统/日志系统的集成
 

　　Array WLAN-NAC解决方案是以SSL协议为基础的NAC技术，最大的好处就是不需要安装客户端程序，远程和本地用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端访问企业网络，进而安全地访问内网的各种应用，从而最大限度的减少了分发和管理客户端软件的麻烦。

　　在一个典型的WLAN-NAC环境中，访问权限和控制可以设计成：
    对于来宾和访问者，只允许通过企业网络访问Internet，不允许访问企业内网资源；
    对于合作伙伴用户，允许访问Internet，同时也允许访问企业开放给合作伙伴的应用；
    对于内部员工则赋予所有的访问权限，既可以访问Internet，也可以访问企业内网，当然可以对内部用户分组，基于组赋予更细致的访问权限。
 
    无论是那种类别的用户，使用WLAN访问内外系统，都会采用如下几个流程：
    首先要使用标准浏览器访问NAC网关SPX UAC提供的门户站点，这个站点的访问必须使用HTTPS协议，经过SSL 的握手、证书验证、加密参数协商等步骤，成功后，NAC网关会提供给客户端一个企业门户站点界面；
    企业门户站点通过ActiveX或者Java技术，进行客户端状态检测：包括MAC地址，硬盘ID，防火墙/防病毒软件，病毒定义文件，操作系统，补丁等等；如果客户端的安全状态符合企业的要求，则进一步推送登录认证界面，否则会提示用户如何进行修补矫正的操作；

　　用户输入用户名和口令申请登陆企业网络，NAC网关要进行用户的认证和鉴权，查看此用户有那些访问权限，作相应访问控制；每个用户只能访问允许访问的应用；同时也支持单点登陆；

　　登陆成功后，在WLAN的客户端和NAC网关之间自动建立一条SSL加密隧道，用户通过WLAN访问的所有流量都是通过这条隧道传输到企业网络中；

　　访问过程中，NAC网关会吀期性的进行WLAN客户端状态检测，如果发现客户端安全状态不符合企业的要求，则会中止WLAN客户的访问，并提示用户如何进行修补矫正的操作；访问过程中，NAC网关还会详细的把WLAN用户的访问行为记录在日志中；

　　在用户退出企业网络后，NAC网关会进行一系列防止企业数据泄漏的操作，包括清楚客户端Cache等工作。

　　NAC市场和技术支持总监陈凯介绍，今年八月份左右，Array开始向市场传递一个信息：Array准备在NAC方面做一些工作。因为NAC市场增长非常快，有研究机构预测，到2010年左右全球NAC的市场份额将达到数十亿美元，几乎是现在的十倍，市场容量非常大，前景广阔；另外，从微观的角度，有很多的客户也非常明确的提出了在NAC方面的一些要求。