局域网攻击与网络设备安全配置

构建零信任网络，自然离不开网络准入(NAC)。

一、网络接入控制（NAC）

NAC网络安全解决方案从用户角度考虑内部网络安全，通过对接入用户进行安全控制，提供“端到端”的安全保证。借助于NAC方案，实现“只有合法的用户、安全的终端才可以接入网络”，隔离非法、不安全的用户和终端，或者仅允许他们访问受限的资源。以此来提升整个网络的安全防护能力。

为什么需要网络接入控制？

在传统的园区网络建设思路中，一般认为园区内部网络是安全的，安全威胁主要来自外界。因此各种安全措施基本上都围绕着如何抵御外部的攻击来部署，如部署防火墙等。但是，许多重大的安全漏洞往往出现在网络内部，例如园区内部员工在浏览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中，并在内网传播，产生严重的安全隐患。因此，在园区网络中，任何一台终端的安全状态（主要是指终端的防病毒能力、补丁级别和系统安全设置）都将直接影响到整个网络的安全。另外，园区网络出现大量非法接入和非授权访问用户时，也会导致业务系统遭受破坏、关键信息资产泄漏的风险。

NAC方案能够有效的管理网络访问权限、及时的更新系统补丁、升级病毒库，让管理员更快捷的查找、隔离及修复不安全的终端，满足园区网络内部的安全需求。

网络接入控制具备哪些能力？

NAC具备以下能力：

1. 身份认证

对接入网络的用户身份进行合法性认证，只有合法用户才允许接入是园区网络安全的基本需求。园区网络中终端（例如PC等）用户的身份认证应满足如下需求：
符合安全要求的终端提供正确的用户名和密码后，可以正常接入网络。
不符合安全的终端，只能接入到网络隔离区，待终端安全修复后才能接入网络。
不合法的用户不允许接入网络。

2. 访问控制

根据用户身份、接入时间、接入地点、终端类型、终端来源、接入方式（简称5W1H）精细匹配用户，控制用户能够访问的资源。5W1H即：

who-谁接入了网络（员工、访客）；

whose-谁的设备（公司标配、BYOD设备）；

what-什么设备（PC、手机）；

when-什么时间接入（上班、下班）；

where-什么地点接入（研发区、非研发区、家里）；

how-如何接入（有线、无线）。

3. 终端安全检查和控制

对用户终端的安全性进行检查，只有“健康的、安全的”用户终端才可以接入网络。安全性检查应满足如下需求：
对终端的安全性（杀毒软件安装、补丁更新、密码强度等）进行扫描，在接入网络前完成终端安全状态的检查。
对终端不安全状态能够与网络准入设备进行联动，当发现不安全终端接入网络的时候，能够对这些终端实现一定程度的阻断，防止这些终端对业务系统造成危害，并能够主动帮助这些终端完成安全状态的自修复。
对于未能及时修复的不安全终端，能够对其进行权限限制，避免接入网络，引发网络安全问题。

4. 系统修复和升级

如果系统存在安全隐患，NAC方案提供了系统自动和手动修复升级功能。可自动下载和升级系统补丁、触发病毒库的更新、自动杀死非法/违规进程等强制安全措施。

网络接入控制是如何实现的？

NAC方案包括三个关键组件：安全终端、网络准入设备、服务器系统。

​NAC方案的组成：

安全终端：安全终端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。

网络准入设备：网络准入设备是网络中安全策略的实施点，负责按照客户网络制定的安全策略，实施相应的准入控制（允许、拒绝、隔离或限制）。

服务器系统：服务器系统包括准入控制服务器、病毒/补丁/软件服务器和业务服务器。

以企业网络为例，网络中的用户通常可以分为员工、合作伙伴和访客，针对不同的用户角色，NAC方案可实现为其定制不同的网络接入和权限控制规则。

• 员工：主要指具有固定办公地点以及长期工作合同的用户。员工通常使用公司设备作为办公设备，公司设备一般在员工领取时已预安装了安全终端，员工认证通过后一般具有公司网络充分的访问权限。
• 合作伙伴：主要指流动性较大，企业约束力较低的合作伙伴等。这些人员会在一定时期内接入企业网络，并访问网络内的部分服务器。这类人员通常也使用安装了安全终端的公司设备，但是，由于此类人员安全性较低，权限应当严格受控。
• 访客：主要指一次性接入企业网络的访客人员。通常通过无线方式接入，权限仅限于借助企业网络访问Internet，与员工、合作伙伴之间要进行严格隔离，以防止企业信息资产泄露。