什么是网络准入，什么是终端准入，分析与区别

1.什么是准入控制？

准入控制是终端在向接入网络请求建立链路的时候，接入网络根据网络目前的负荷水平对是否允许其接入网络进行的判断和控制，对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。

2.常见的准入控制技术介绍：

目前的准入控制技术分为两大类：分别是基于网络的准入控制和基于主机的终端准入控制。

2.1网络准入：

网络准入控制技术通常包括：802.1x准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入。

802.1x准入控制

802.1x准入控制的设计强调对交换机端口的控制。但与网络兼容性较差。在用户使用终端接入前，会将终端隔离在隔离VLAN中。只有在进行完身份认证后，才将终端改放在应属的VLAN中。当802.1x准入技术要求交换机必须支持802.1x。当端口下挂Hub或普通交换机的情况下，则无法实现对非法人和终端的VLAN隔离。

DHCP准入控制DHCP准入控制与现有网络兼容性较好。但一般厂家的DHCP准入控制采用DHCP服务器与DHCP准入控制装置分离的控制方法，实施较难。一些厂家采用一体化DHCP准入控制，如Leagsoft，能够很好地解决802.1x和普通DHCP准入控制的问题。网关性准入控制网关型准入控制实际上不是一种真正意义上的准入控制。因为网关型准入控制只控制了网络的出口，没有控制内网的边界接入。ARP型准入控制ARP型准入控制是用ARP欺骗和ARP攻击对不合规的终端进行攻击，达到对网络边界进行保护的目的。但ARP的欺骗和攻击对装有ARP防火墙的终端没有作用。另外，ARP的攻击会造成网络堵塞，不利于大型网络。portal型准入portal型准入控制是兼容性相对比较好的一种控制手段，最利用交换机端口重定向（既：http重定向）的手段进行身份认证。这种方式不需要考虑客户网络的情况进行部署的，只要下面的终端能与设备进行通讯就没有问题。

2.2终端准入

终端准入是在服务器的操作系统上安装准入控制软件，当电脑终端访问服务器时，准入控制软件会检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。而客户端准入控制是终端相互之间进行访问时，安装在终端上的软件也会检查对方的安全状态。准入效果较好，覆盖面广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的准入控制。

3.网络准入与终端准入的对比

3.1终端准入：

基于终端的准入控制优点首先是容易部署，一般网络准入配置起来都较复杂，不同型号的设备的配置都各不相同，如果网络规模较大，配置的工作量极其巨大，而基于主机的准入控制只需要在对应的主机上安装一个软件，相对而言容易得多。第二是适应性好、覆盖面广、不依赖任何网络设备的支持，可有效保护企业已有的投资。第三是对网络性能没有影响，基于网络的准入控制在运行时会根据客户端的认证状态和安全状态改变自己的状态，比如VLAN切换和动态ACL加载，这或多或少都将影响设备或网络的性能，特别是在大规模网络环境下，这一点不能忽视。基于主机的准入控制将其控制分散到每个终端和主机上，终端的状态变化对网络没有任何影响。第四是其访问控制功能是所有方案中最强的，基于主机的准入控制能够做到基于进程的访问控制，以及基于进程的带宽管理，因此对蠕虫、木马的防治就能更加积极主动。

3.2网络准入：

在NAC准入中，有一些厂商为了解决特定问题，采用了一些技术，比如DHCP和ARP准入技术。这两种技术都有其特定的局限性，属于非主流技术。

DHCP准入控制与现有网络兼容性较好。但一般厂家的DHCP准入控制采用DHCP服务器与DHCP准入控制装置分离的控制方法，实施较难。一些厂家采用一体化DHCP准入控制，能够很好地解决802.1x和普通DHCP准入控制的问题。另外，DHCP为用户分配特定的IP，如果用户手工指定终端IP地址，即可绕过某些限制，造成泄密。

网络方面我们会考虑现有设备是否支持802.1x、现有网络使用情况是否存在hub接入、是否考虑到其它接入方式比如VPN、部署方式是串联还是并联（即旁路），如果是串联如何解决单点故障问题等。

某些厂家介绍里强调网络终端“不改变网络，不装客户端”。不安装客户端，主要是WEB重定向然后可以在页面上做身份认证，当然如果做终端检查还是需要的，只不过它不是每台机器去部署客户端，而是在重定向的web页面中直接提示安装ActiveX控件；不过策略路由方案跟所有汇聚层控制方案一样，无法对不经过汇聚层交换机的流量进行控制，比如接入终端内部的访问等。换句话说，只要拿一台笔记本电脑进入公司，用网线和内网终端对拷数据，就会早曾数据泄密！

3.3结论：

网络准入与终端准入各有优势，如果需要真正的保证企业内网安全，以客户端为主的终端准入的安全性更高，部署更方便。

4.总结

总体上讲，每个产品或方案都有自己的特点，也有自己的不足。企业需要了解自身现状与需求，合理的选择最适合自己的解决方案。当然，技术之外，还需要考虑到一些厂商能力与资质、产品价格、后续维护难易度、厂商支持力度等方面的问题，这里就不一一列举了。

作者，捍卫者软件

捍卫者软件为您的企业信息安全提供有力保障，了解捍卫者软件，请关注此公众号或登录官网