自己动手打造企业网络访问控制器

核心提示： (2) FreeNAC FreeNAC也是一款开源免费的NAC软件，它同样提供了对交换机划分VLAN的功能，自己动手打造企业网络访问控制器(3)，并以MAC地址来 为计算机终端指定 动态VLAN，以此提供对局域网中各种资源的访问控制，这种接入方式将不能保证NAC服务器 能监控到整个局域网中

(2) FreeNAC

FreeNAC也是一款开源免费的NAC软件，它同样提供了对交换机划分VLAN的功能，并以MAC地址来 为计算机终端指定 动态VLAN，以此提供对局域网中各种资源的访问控制。FreeNAC能够对局域网中的服务器、工 作站、打印机和IP电 话的进行访问控制。FreeNAC能够自动发现网络中存活的各种终端，并提供了对802.1x及思 科的VMPS端口安全模块 的支持，同时还提供系统补丁包分发等功能。不过，FreeNAC虽然提供了对非网管交换机 的支持，但使用非网管交换机会让其NAC功能大打折扣，因此，如 果想发挥它所有的NAC功能，最好使用可网络交 换机，而且，为了能使用思科的VMPS功能，最好使用思科的支持 VMPS的可网管交换机。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下载，它也有一个用来安 装的二进制包，可以在Ubuntu、Fedora、Redhat和Gentoo系统中安装，它同样也存在一个VMWare虚拟机文件，这 个文件是基于Ubuntu8.04的，并 且其大小超过了1GB。

(3) Safe Access Lite

Safe Access Lite其实是Safe Access 5的免费版本，但是，它只提供被动监控功能。Safe Access Lite支持对 250台计算机终端的检测，并且支持三种终端检测方式。Safe Access Lite对网络交换 机没有特别的要求，在普通 的交换机环境中也可以很好地发挥其作用，这样，我们使用它打造NAC服务器就可以 直接连接到网络中心交换机上 的任意端口，在不需要对现有的网络做任何修改的情况下，就可以通过它来监控整 个局域网中的计算机终端，体 验NAC的带来的好处。 Safe Access Lite只支持对运行WINDOWS操作系统的计算机 终端有效，不支持其它非计算机终端（例如网络打印机 或IP电话）。并且，在使用时，所有的计算机终端必需开 启了打印机和文件共享功能，以及开放了139和445端口 ，这主要是由于Safe Access Lite的终端检测方式所决定的。Safe Access Lite也提供二种安装方式，一种是在Linux系统下安装的二进制文件，另一种为VMware虚拟机 文件。这些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下载。在下载它之前需要我们进 行简单的 免费注册，这样才能获得使用它的授权码，这个授权码是经过加密的，我们只需将它复制后保存到一个 文本文件 中即可，以便在安装Safe Access Lite时可以用此授权码来完成注册。2、NAC服务器的硬件准备当我们 选择好需要的NAC软件后，就应当按此软件的运行需求，以及我们使用NAC服务器的应用目的来准备相应的 PC硬件 平台。我们选择的硬件不仅要能满足操作系统的需求，而且要能满足NAC处理的性能要求。对于上述这三款 NAC软 件来说，如果都是通过它们的VMware虚拟机文件来使用，那么，运行它们所需的基本硬件可以是：CPU频率 在奔 腾Ⅳ2.4GHZ及以上，内存容量在1G及以上，磁盘剩余空间最少得有20GB及以上，至于以太网网卡的选择，我 们就 得依照NAC服务器将要接入目标网络的方式再来做决定，对它的需求将在下面描述NAC服务器的接入方式时一 起说 明。对NAC服务器的其它基本硬件没有特别的要求。至于自己打造的NAC服务器操作系统的选择，由于我国现在大 多数中小企业的PC使用的都是Windows XP操作系统， 而且这三款软件都有可以在此系统下使用的VMware虚拟机文 件，因此，我们可以选择Windows XP操作系统来作为 NAC服务器的操作系统平台。但是要注意的是，为了能满足 安全性的需求，我们应当对NAC所依赖的系统进行相应 的安全加固，例如只在此系统上运行NAC软件，将其它不必 要的服务和应用程序全部删除或禁用，我们不能在使用 一种新的安全防范设备的同时又带来新的安全威胁。在本 文的说明NAC软件安装和配置阶段，我选择的平台也是Windows XP操作系统。 二、NAC服务器接入网络的方式 NAC 软件和运行的硬件平台准备好以后，接下来的工作就是考虑NAC服务器将以何种方式接入目标网络的问题。通 常 ，NAC服务器有两种主要工作方式，它们是被动工作方式和在线工作方式，我们也就可以按这两种工作方式来决 定NAC服务器接入网络的方式。 1、被动工作方式时的接入方式被动工作方式就是指NAC服务器将以旁路的方式接 入到目标网络中，如图1所示。此时，NAC服务器最少需要一块 100/1000Mbps的以太网网卡，如果在监控的同时 还必需提供对交换机的管理，那么，也可以在NAC服务器中安装另 一块以太网网卡来分别处理各自原任务。对于 大多数NAC服务器来说，不论是自己打造的还是单独购买的，如果交 换机有SPAN端口，最好将网卡连接到此端口 上。通过这种方式接入目标网络，是不需要改变现有的网络结构的， 但是，这种接入方式将不能保证NAC服务器 能监控到整个局域网中的所有终端，也不能保证其提供完整的网络访问 控制功能。这种NAC服务器连入目标网络 的方式也是本文所举例子使用的接入方式。