网络准入控制的技术介绍

a. NAC系统组件
网络准入控制主要组件有：
。终端安全检查软件
。网络接入设备（接入交换机和无线访问点）
。 策略/AAA服务器
终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。当前更倾向于采用轻量级或可溶解的客户端。以降低终端的部署和使用压力。
网络接入设备 — 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。
策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或打补丁）。
b. NAC系统基本工作原理
当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后， 策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。

金盾软件，NACP网络准入控制系统 为网络运维人员和管理人员提供接入认证、安全评测、违规报警、通信规范等符合等/分保要求的产品方案，能够为管理员提供终端安全风险分析、入网风险分析、违规事件分析等数据分析功能。

安秉网络准入控制设备功能介绍
杜绝非法入网

高效的准入机制 规范化入网流程 5种身份认证机制 可以对网络的入网权限进行接管，终端入网强制身份认证，未经授权禁止接入网络，确保只有合法终端才能入网

802.1X技术准入
支持终端使用操作系统自带的802.1x supplicant ，包括IP phone等 支持哑终端设备，支持MAB认证

非法入侵列表
安装后客户端免设置，开机后自动接入网络，支持AD域 网络配置标准化：提供数十种类型网络设备的标准配置参数

网络安全测评
IPMAC绑定 TELNET检测 AD域环境 检测终端计算机端口，IP 和MAC 地址是否登录 AD 域等评测内容，根据测评结果判断终端是否具有入网权限

终端主机安全测评
远程桌面 恶意代码防范 操作系统补丁 测评终端是否安装恶意代码软件，windows 防火墙，操作系统漏洞等安全检测，判断是否具有入网权限

终端口令安全测评
黑名单口令 口令安全检测 来宾用户 检测终端计算机是否启用来宾用户，是否启用账户安全策略，用户口令是否过于简单，判断终端是否具有入网权限
终端应用安全测评
入网权限判断 安全测评 自动修复 检测终端计算机安装的软件是否符合管理要求，计算机运行的程序等是否符合要求，判断是否有入网权限
非法外联控制
杜绝使用外接类设备连接到互联网 进行网络访问权限的控制，标明是否允许访问 对异常路由的审计，提供可能存在的非法外联的信息。

入网管理
管理员可以对计算机接入网络进行管理,标记，授权或拒绝、删除管理等功能
接入报警
对于未被允许及不合规的非法计算机接入网络系统会自动报警并提示客户端和管理端
内置服务别
网络拓扑发现与设备类型识别，Radius服务器、HA热备、DHCP服务等
终端认证方式支持
MAC地址\IP地址\用户名和密码\机器指纹\U-KEY\智能卡\数字证书认证\LDAP及无缝结合域AD管理认证\手机短信\实名认证等。
级联支持
对于大型用户，支持vlan，准入服务器支持分布式级联部署
安全检测
自带默认终端入网安全合规检测库、支持自定义合规检测条件、支持漏洞自动修复、杀毒软件检测等
终端补丁检测
评估客户端的补丁安装是否合格，包括：操作系统(Windows 98/me/2000/XP/2003/Vista/win7/win10/win2008 )。
智能终端设备接入
支持手持\移动等智能终端的接入管理
终端运行状态实时检测
可以对上线用户终端的系统信息进行实时检测，发现异常客户端或被卸载时自动阻断网络，强制安装。

网络隔离区
对于安全状态评估不合格的用户，可以限制其访问权限，被隔离到网络隔离区，待危险终端到达安全级别后方可入网。