本人网名: 逍遥大掌门 。曾经浪迹江湖，热衷于技术，偶尔也蹦出来分享，希望能和大家共同进步，原贴发表于2011年 华安信达。 
XYSP原创： 玩准入控制多年，不得不分享给大家一些准入控制技术方面的东西
NAC、网络准入控制、什么是网络准入控制、什么叫网络准入控制NAC 、有哪些准入控制技术、我们做准入控制应该知道什么、如何选择网络准入控制技术、 抛砖引玉，大家共勉 

IT界说的 准入控制 简单来说就是: 网络准入控制NAC，Network Access control的简称，有的也说是：端点准入控制、终端准入控制、网络准入控制、网络边界安全、接入认证、终端准入、NAC，等等反正叫法很多。
准入控制 是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。
准入控制 让接入你网络的每一个人，每个终端都具有合法性，合规性，是可信的。
主要是认证+授权，一般不设计计费（根据后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件）。
网络准入控制技术通常包括：
根据分类网络准入控制技术主要包含以下三大类：
1. 基于网络设备的准入控制技术：
[*]802.1X 准入控制技术 ： IEEE 802.1X是IEEE制定关于用户接入网络的认证标准 ，二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；常用到EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；由于是IEEE标准所以被许多交换机厂家广泛支持，而且在国内许多的准入控制软件厂商中也得到广泛应用。但很遗憾的是很多软件厂商做得很差，客户端维护麻烦，还需要修改网卡属性。而且802.1X虽然是IEEE标准，但是各个交换机厂商在采用认证加密的算法可能不一样，很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的（兼容所有的厂商，而且部署简单的厂商是有的，很少而已）802.1X认证。
[*]802.1X主要采用VLAN 动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权客户端。
[*]802.1X目前的不足指出在于：由于是二层协议，同时802.1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透3层网络环境。而且在HUB的情况下.VLAN无法切换。更有很多厂商无法解决HUB环境认证的问题。
[*]CISCO EOU 准入控制 技术： EAP OVER UDP ,是思科公司私有的准入控制技术；CISCO 3550 以上设备支持，传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的，当然不可能是仅限于此目的；EOU技术工作在3层，采用UDP封装，客户端开放UDP 21862 端口， 由于是3层所以在很多地方比二层协议更灵活，如在灾备，设备例外，认证放行等特性上都较为灵活。
[*]CISCO EOU 准入控制技术 ，同时分为二层EOU 和 三层EOU 即：IPL2,IPL3;两者不同的在于：2层EOU是指运行在交换设备上的（3层交换机也包括），2层EOU认证是靠ARP 和DHCP触发认证的，所以在客户端和认证网络设备之间Authenticator System（设备端）之间必须可以让ARP 和 DHCP包能够通过；3层的EOU L3IP_EOU，是工作在路由器上的，他是靠包转发来触发认证，所以支持各种接入环境，如果设备牛B的还可以支持NAT环境，NAT环境很少厂商能支持的。2层EOU和3层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术。
[*]其实基于网络设备的准入控制技术才是真真的准入控制技术。
2. 基于网关设备的准入控制技术： 
[*]网关型准入控制 ： 简单的来说是就是通过网络限制，网关认证等方式授权客户端访问网络。此方案一般由防火墙厂家推出，具有很多问题！如： 网关型准入控制只控制了网络的出口，没有控制内网的边界接入。[/list]
[*]主要特色是维护方便，无需调试下面的交换机，如果一个厂家采用了业界共用的技术开发的准入网关如EOU 技术，则可兼容其他准入控制系统，还是较好的，但是如果是厂家自己开发的什么认证协议，那都是忽悠，维护更加麻烦（注：不是每个厂家都这样）
[*]网关式的准入控制选型我们必须注意以下几个方面：1，容灾性，网关挂了，谁都是吃不了兜着走的；2，认证并发数，大家上班不可能每天都等待准入认证，并发数必须要大，而且稳定；3.吞吐量足够，这个必须的网关；4.是否会改变你的网络结构？如果需要改变网络结构需要慎重。
3. 伪准入控制，假干扰性技术：
作为一位安全工作者，我必须把这些混淆他人试听的行为揪出来 ，以下技术由于漏洞多，无法解决根本问题
[*] ARP型准入控制： 通过ARP欺骗和干扰技术实现，互联网发展到今天，这个技术应该在2005年就要淘汰了。为什么？ARP欺骗和干扰本来就是病毒行为，后期会加重管理员的维护任务；而且在今天的技术下绕过这个准入简直是易如反掌，比如你装一个360安全卫士，直接拦截ARP攻击，轻松绕过，其他的方法我就不详谈了，在访客和授权的管理上缺陷很大，一般都部署不下去。
[*] DHCP准入控制 ：看了上面的ARP技术，在来看看DHCP准入控制技术，你觉得靠谱吗？ NO； 简单来说DHCP准入原理：设备接入，先给你一个临时IP和后台通讯检测你的合法性，合法在给你重新分配一个合法的IP地址正常办公。既然是这样，如果绕过大家都知道把？？？ 手工配置IP地址即可绕过。 或许有人会说可结合dhcp snooping等技术 ，试问大哥你想过没有？dhcp snooping 等其他技术 不是每个交换机都支持的，只是个交换机的特性，非所有设备都支持，与其这样不如推荐802.1x，且DHCP耗竭攻击，这个目前交换机能防护的程度就是检查DHCP 消息中的SMAC和RMAC，可同时伪造两个MAC欺骗。 
[*]DHCP准入控制，由于需要动态地址分配，在许多保密场所和大型企业都是觉得使用的。后期的维护是相对的困难，最多只适合100台终端以下的环境使用。在解决打印机，特殊设备上有很大的缺陷，在防止伪造MAC,IP 上无防护手段相对于EOU技术和802.1X技术 漏洞较多。 在访客管理 和授权的管理上缺陷很大， 一般厂家的DHCP准入控制还采用DHCP服务器与DHCP准入控制装置分离的控制方法 部署过程相当的艰难。ARP 和DHCP 都容易造成网络堵塞，不利于大型网络。
应用层准入：感觉更忽悠的味道，有很多中实现方式：如ISA和AD联动实现；还有一种比如在OA上装一个插件，大家都要访问OA，就必须装个客户端，否则无法访问，其实这个干扰，如果我不访问OA，我访问你的CRM,窃 取客户信息你咋办？所以这很假。

小提示：准入控制，和桌面安全 终端安全其实都属于网络边界安全，现在准入控制和桌面安全结合是主流趋势。所以大家还要注意准入和桌面的结合，我想谁喜欢简单的运维系统，如果装几个客户端在你电脑上， 你是什么感觉？ 或者作为IT管理员 每个电脑要你去配置一边 你是什么感觉？不爽 呵呵。 说到这里，后面跟帖时我会介绍到，选择怎样的一个产品，可以让我们上班抽抽烟，喝喝茶，不再成为救火员。

以上是个人对准入控制技术的浅解，欢迎鲜花！
感谢兄弟们， 看帖回帖，有分享 有收获，后面的哥们真是越来越精彩，互相学习，我力挺，再力挺你们。
一个月后补充：
论坛中各位兄弟兄弟一再提到两个问题： 
1. 无客户端准入和有客户端准入的问题。
2. 准入如何和终端安全管理做一个有效的结合。
我先来说一下无客户端准入：
优点：1.无需安装AGENT,部署快捷.( 但是各位一定要搞清楚是不是真正的无AGENT，其实现在都忽悠，其实也是AGENT，只不过包装了以下，变成了伪AGENT,如插件等)
缺点：1.准入力度不够---大都在汇聚层或核心层面实现。
2.被渗透的可能性很大---很多设备考虑性能和认证的要求，对所经过其流量的控制只是抓去特定的数据包控制，其他数据包存在放行的嫌疑，而且如果采用的网页插件的方式，则可通过修改相应的HTTP请求进行破解，可轻松绕开所谓的准入控制；如果采用插件则还会带来插件升级，插件被清除，插件导致IE崩溃等现象给准入或以为带来很多不必要的麻烦。
3.认证触发存在很多问题---很多网关设备只能检测到特定的数据包后才能发起认证，如采用HTTP,QQ触发认证；当如果采用其他方式的时候比如C/S，此时将无法认证，网络不通，而且无任何提示。
4.浏览器插件，很多厂商解决不了 非IE内核的问题 如 firefox chrome等浏览器，所以当你碰到所有的无客户端准入时候、你就要测试不同的浏览器支持程度了。
5. 大家都知道插件自身的稳定性是很差的，那么其兼容性也是一样；比如有的需要设置浏览器安全项--允许插件运行；有的情况下插件对不同版本的操作系统支持度不一样，支持XP未必支持WIN7WIN8, 支持IE7 未必支持IE9/10等等。插件穿透防火墙的能力很差，比如经常会被window自动的防火墙干掉，还需要人工干预---点击允许还是拒绝等。

综合评价部分国人所谓的无客户端方式： 
能看不能用，很花哨！只能远观不能近看，就像有的女的那样就是个背影杀手，其他杀都没有用。
客户端准入：
缺点：1.需安装AGENT,担心部署. //其实现在企业大多AD域，或借助行政手段（搞安全必备）+技术手段可轻松部署了。
2.担心客户软件的兼容性。 //不要担心也不用随意听信，厂家来了直接叫他给你举例出10个高端用户+3个 10000个点以上的案例，找个WIN7 32位、64位测试一把，甚至是LINUX X86,X64 测试一把，就知道真假了，真金不怕火炼，其他的不要废话。人家高端的都行，10000以上的终端运行稳定难道还不满足你嘛。
优点：1.准入力度大---可在接入层、汇聚层或核心层、甚至是主机层面、各个层面实现。
2.被渗透的几率小---既然有了软件那么认证过程总所检查的类容和加密的方式，我想不是被轻易得到的，也不是轻易能够破解的。
3.认证触发不受干扰--- 无论是C/S,B/S都不收到影响，客户端完成认证即可，对于不能装客户端的，准入控制强大的系统自由解决方案。
4. 可建立统一的终端桌面安全管理体系 ,从终端接入前，接入中，接入后都有安全防护措施；玩的更大一点可集准入控制、资产管理、终端安全、业务防泄露于一体 ，环环相扣，可谓是一个体系的建立，可将原有的网络访问控制上升为资源访问控制。