网络准入控制系统核心工作原理

网络准入控制系统核心工作原理：三部曲

当一个设备（终端）试图连接到网络时（比如插上网线或连接Wi-Fi），NAC设备首先要搞清楚：“你是谁？”

设备一接入网络，NAC就会通过多种技术发现它，例如：

802.1X协议：这是最严格和常见的方式。交换机会在设备认证通过前，只开放一个极小的通信通道，只允许设备与NAC服务器通信。

DHCP/ARP探针：NAC监听网络中的DHCP请求，当有新设备获取IP时，就会对其进行拦截和重定向。

网关重定向：设备尝试访问互联网时，网关会将其HTTP请求重定向到NAC的认证门户页面。

用户或设备需要提供身份凭据，例如：

用户名和密码

数字证书（更安全）

MAC地址（适用于打印机、IoT设备等）

知道“你是谁”之后，NAC要判断你“是否健康”。这是决定是否阻断的关键环节。NAC会要求设备上安装的代理程序（Agent）或通过无代理扫描（Agentless Scanning）来收集设备的“健康信息”，并与管理员预设的安全策略进行比对。

防病毒软件：是否安装、是否启用、病毒库是否最新。

操作系统补丁：关键的安全补丁是否已安装。

防火墙：是否开启并配置正确。

已安装的软件：是否安装了不允许的软件（如P2P下载工具），或缺少必要的软件。

系统配置：密码策略、注册表设置等是否符合规范。

设备类型：是公司电脑、个人手机，还是一台打印机？

根据安全评估的结果，NAC设备会向网络基础设施（如交换机、路由器、防火墙）下达指令，对设备进行相应的控制。

允许其正常访问网络，并通常会被划分到正常业务VLAN中，获得访问内部服务器和互联网的权限。

这正是“阻断”发生的地方。NAC会采取以下一种或多种方式进行阻断：

最直接的方式。NAC直接通知交换机断开该端口的连接，或者拒绝其DHCP请求，使其无法获得IP地址。设备将完全无法与网络内任何资源通信。

这是更常见和智能的方式。NAC不会完全拒绝，而是将设备放入一个受限制的隔离VLAN或补救VLAN中。

在这个隔离区里，设备的访问受到严格限制，通常只能访问有限的几个资源，例如：

补丁服务器：用于下载和安装缺失的系统补丁。

杀毒软件服务器：用于更新病毒库。

NAC策略服务器：重新进行健康检查。

设备的所有其他访问请求（如访问内部文件服务器、上互联网）都会被防火墙或交换机ACL（访问控制列表）阻断。

对于一些风险较低的不合规项（如个人手机），NAC可能只允许其访问互联网，但阻断其访问内部敏感网络资源。

即使设备合规，NAC也可以根据其身份（如访客、财务部员工、IT管理员）授予不同的访问权限，实现 “最小权限原则” 。例如，访客只能上网，财务员工可以访问财务服务器，但无法访问研发网络。

你可以把NAC想象成一个高科技公司的门禁系统：

刷卡（认证）：你刷工牌，系统知道你是张三。

健康检查（评估）：门口的安检门和体温检测仪会检查你是否携带违禁品、体温是否正常。这就像NAC检查你的电脑是否有病毒。

放行或处理（执行）：

合规：检查通过，闸机打开，你可以进入办公室（正常业务VLAN）。

不合规：安检门响了（没装杀毒软件）。保安会把你请到旁边的“接待室”（隔离VLAN），让你把违禁品存起来。你只能在这个接待室活动，直到问题解决（安装杀毒软件并通过检查），才能被允许进入主办公区。