根据公安部最近公布的调查数据显示，内网安全、计算机安全仍旧是企业安全的关键。两年前，思科、微软等业界领先公司相继提出了端点安全控制的技术体系架构，多种手段相互配合，自动应对多种安全威胁。但是部署端点安全控制方案会不会带来新的问题呢?

《网络世界》评测实验室有机会对端点安全控制技术始作俑者之一的思科公司的NAC解决方案的NAC Framework部分进行了实测。NAC系统不仅很好地实现了端点安全控制的设计初衷。同时思科NAC解决方案在细微之处周到的考虑，使得系统在兼容企业已有应用、提供全面安全控制、系统可扩展性和易维护性上都有着优异的表现。(请到www.cnw.cn下载详细测试报告)

细节决定成败

细节一:多种验证手段确保NAC实施

NAC提供了NAC over 802.1x和L2-IP两种验证架构，以适应不同的企业应用环境。

NAC over 802.1x全面的安全保障

NAC over 802.1x可以提供一个全面的安全解决方案，一方面NAC借助802.1x可以根据计算机的健康状态决定是否允许其进入网络，同时还可以利用802.1x协议进行计算机和客户的身份识别、认证和授权。

NAC over 802.1x的工作原理见下图。

测试中，我们在模拟的环境中部署了ACS(ACS - Cisco Secure Access Control Server 思科安全访问控制服务器)、微软的活动目录(AD)控制器、CSA(CSA - Cisco Security Agent，思科安全代理)的MC(CSA MC - CSA Management Center CSA管理中心)、趋势科技的Office Scan杀毒软件策略服务器的服务器群，使用Catalyst 3750和6509交换机作为接入交换机，两台笔记本电脑模拟接入PC。PC机按照ACS的要求，启动了Office Scan杀毒软件，打齐了所有的操作系统补丁，并且在计算机上部署了登录域所需要的数字证书。经过认证，ACS让交换机将连接计算机的端口联入VLAN 100，可以进行正常的通信。此时CTA(CTA - Cisco Trust Agent ，思科信任代理)软件提示用户，计算机健康状况良好。当关闭了Office Scan杀毒软件客户端之后，重新接入网络，由于不符合ACS的安全策略，端口划入到隔离VLAN，计算机的通信受到了限制，CTA弹出对话框，告知计算机不健康。而此时计算机上的CSA软件也发挥了作用，一方面按照MC当初制定的策略限制了计算机上Outlook Express软件的启动，限制使用U盘，同时CSA会把PC上发生的安全事件通知MARS(Cisco Security Monitoring，Analysis and Response System，思科安全监控、分析和响应系统管理系统)，方便系统管理员进行监控统计。

L2-IP适应多种应用场景

相比较NAC over 802.1x，L2-IP可以适应更多的应用场景和用户终端。比如说有些企业并不希望部署802.1x或一些计算机可能无法安装CTA软件，有些网络中仍旧存在HUB或不支持802.1x协议交换机的接入设备。还有就是部署过802.1x，并不想因NAC有改变的用户。

L2-IP方案实施时，仍旧需要CTA软件支持(应对特殊平台的在下面专门讨论)。工作流程、系统组成与NAC over 802.1x相似，区别在于:在L2-IP CTA传递主机健康信息依赖UDP协议告知交换机。L2-IP只担当主机健康性的检查工作。对被认证计算机通信控制，主要靠ACS向交换机下发的L3/L4层ACL。

L2-IP对于健康性问题的计算机处理有一个独到之处，就是在限制其绝大多数通信的同时，ACS还会给交换机下发一个Web浏览重定向的ACL，只要用户打开浏览器，不论输入任何一个网址，交换机都会把通信重定向到一个专有网页，提示用户计算机存在安全隐患，需要下载相关补丁、打开防病毒软件……由于这一重定向工作由接入交换机完成，实现全网的分布式处理，系统有着非常好的可扩展性，避免出现所有的问题计算机由网络内一台设备集中处理浏览重定向请求带来的性能瓶颈。

我们重复了类似NAC over 802.1x中的测试项目，交换机成功重定向了为通过验证计算机的网页访问行为。

思科的工程师介绍说，部署L2-IP的时候，交换机必须启用DHCP Snooping、IP Source Guard(这些功能的测试见网站《智能升级受益更多—Catalyst 4500 SUPERVISORENGINE V-10GE》)，这样可以保证使用L2-IP时,其他计算机不会通过模拟其IP地址侵入网络。

细节二:应对多平台挑战

部署NAC的时候必须要尽可能避免老旧系统成为安全漏洞。

在采用L2-IP方案时，思科的ACS可以和第三方的漏洞管理软件厂商Qualys或者自己的Clean Access系统互动，对不能安装CTA的计算机进行健康检查、加以控制。

思科针对打印机和IP电话机等无法安装CTA的联网设备进行了细心的设计。对于打印机等设备，思科的交换机支持一种MAC Authe bypass的解决方案。对于IP电话机，交换机上设置专门用于IP电话的Voice VLAN。交换机会识别连接设备是否为打印机、电话机，如果不是会自动启用NAC，检查健康性，决定计算机是否可以联网。

细节三:单点登录

我们测试的时候非常顺利地实现了802.1x和微软AD的单点登录，但是看似简单的操作，实际上是暗流涌动。

思科提出了一个主机认证的解决方案，解决了802.1x与Windows域登录的矛盾(详细内容见网站测试报告)。为了避免802.1x认证过程中出现的多个VLAN切换造成的通信中断，思科提出了一些设计建议，即尽可能不要在主机ID认证和用户ID认证过程中进行VLAN域的切换，而鉴权后的访问控制可以用Per User ACL的方式来进行控制。另一个方法是通过脚本做一个ipconfig /renew的操作。

思科的CTA软件很好地和微软的AD系统进行了集成，实现单点认证登录。我们此次测试尝试了基于EAP-MD5、EAP-OTP、EAP-TLS的802.1x认证方法。