新型的网络安全解决方案-NAC简介

　　众所周知，已有的防病毒措施检测病毒的标准主要是基于攻击签名，对于“零窗口”(day-zero)病毒显得无能为力，而且也不能防护由此引起的拒绝服务（DoS）攻击。大多数服务器和桌面系统，往往无法按照已有的安全措施执行，定位和隔离这些设备往往需要浪费企业大量的时间和资源，尤其当它们位于网络深层时，企业更显得无能为力。这个问题在网络环境越来越复杂的今天，尤其严重，因为企业拥有如此多的“多种多样”：多种多样的最终用户，包括雇员、卖主和销售商；多种多样的终端，包括公司的桌面系统、家里的设备和服务器；多种多样的接入方式，包括有线、无线、VPN和拨号网络等。我们对思科的安全蓝图SDN（自防御网络）的一个子项目NAC进行概要介绍，希望使您对未来网络安全体系的发展带来一些有益的启示。下面是思科系统NAC计划示意图：

　　什么是NAC

　　NAC可以提供一个针对主机的跨点安全技术。NAC由下列部分组成：

　　可信代理（Trust Agent）

　　它存在于终端系统中，负责收集不同客户的安全软件的安全状态信息。在这部分中，整合了防病毒软件产品。TA被整合在思科系统安全代理中，使用它可以评估操作系统的版本、补丁程度和Hot Fix 信息， 并且把这些信息传递到CTA。届时，没有进行适当升级的主机将被限制或者拒绝接入整个网络。

　　网络访问设备

　　它可以强迫性地控制那些请求接入的设备执行安全性的措施，包括路由器、交换机、无线接入终端和安全性设备。这些接入装置需要主机安全要求的“Credentials”，并且根据这些信息制定具体的服务器接入政策。根据客户要求制定的政策，网络将执行适当的允许接入的控制措施。

　　策略服务器

　　用来评估来自终端的安全性执行信息，以便决定对于来自他们那里的接入请求采取适当的措施。具体产品就是思科系统安全接入控制服务器（ACS），它是一种鉴定、授权和记录的RADIUS服务器，组成了政策服务器系统。它基于思科系统NAC工作，同应用服务器协同运行，提供更深层次的信任确认，例如反病毒政策服务器。

　　管理系统

　　具体产品即思科系统VPN/安全管理解决方案（VMS）。同时，思科系统工作安全信息管理解决方案可提供显示和报告工具。NAC同时为终端安全软件提供协同管理解决方案。

　　NAC将主机的安全与网络基础合二为一，提供了一个网络允许接入的设施。例如，企业可以通过思科的网络体系——路由器、交换机、无线和安全装备，来加强他们的防病毒软件的使用。不过，思科强调说它推出NAC的目的是对于现有的广泛应用的安全技术做一个有效的补充，而绝非替代。

　　NAC的应用

　　思科NAC可以操作所有的网络接入主机方式，包括校园交换、无线和有线的路由、WAN和LAN的连接、IPSec连接、远程连接和拨号接入等。例如在分支部门的应用：思科系统NAC可以帮助确定，试图接入中心计算机数据的远程或者家居办公室的连接是否符合安全主机的要求，这可通过思科系统分支或者主要办公室的路由器强迫性检查来完成。远程接入安全，NAC在允许远程接入公司资源之前，帮助确信那些远程接入和移动设备是否具有最新的防病毒升级和操作系统补丁的升级。

　　NAC的发展分四步

　　思科系统NAC计划，首次将防病毒与网络接入有机地结合在一起。该计划已在今年上半年投入实施，思科系统路由器将通过联合思科系统信任代理提供网络许可控制路由器接入控制列表(ACLs)将在网络中限制“不听话”的主机和其他系统的通信，例如，只允许同一个防病毒服务器通信，以便下载新的模式文件。在实施之初，思科系统NAC将支持在微软 Windows NT、XP和2000操作系统。

　　思科系统NAC计划预计分四步走。第一步，第一版将主要包括两项迫切需要的强迫性检查内容：防病毒软件状态和操作系统信息。这些包括防病毒厂商的软件版本、引擎水平、签名文件水平以及操作系统的种类、修补水平和Hot Fix等。

　　第二步，思科NAC随后版本中，思科系统交换机和无线接入终端将能使没达标的主机分配到隔离的VLAN中，在那里只有补正的服务器存在。

　　第三步，思科系统NAC将扩展，以支持思科系统安全应用，例如VPN和防火墙。

　　第四步，思科系统NAC将提供动态的防范围堵政策。这样可以在受到攻击时，使其统管的节点或者其他系统报告出错信息。其智能系统可以动态地把受感染的系统隔离，从而降低病毒、蠕虫的威胁。