关于势头正旺的802.1X准入认证，不可不知的那些事

准入控制作为设备接入企业网络的安全边界，一直以来都是企业的安全基础设施之一。简单的准入机制潜藏着巨大的网络安全隐患。如何正确处理用户终端安全接入的问题？这就需要基础网络提供必要且有效的安全认证机制。

作为近年来网络信息安全行业准入控制领域备受关注的焦点之一，802.1X被越来越频繁地提及，势头正旺。802.1X是什么？企业为什么需要802.1X？对于802.1X，哪些安全厂商走在了前面？今天，联软科技和大家好好聊一聊802.1X准入控制那些事。

802.1X准入认证是什么？

● 802.1X的由来

基于网络安全风险背景，由Cisco提出，遵循 IEEE标准，利用网络基础设施来实现终端设备和用户合法合规接入企业网络的方案，名为网络准入控制（Network Admission Control，简称 NAC）。802.1X是其中一种标准、一项准入控制技术。

802.1X是一种基于端口的网络接入控制协议。

基于端口的网络接入控制，是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

基于802.1X协议的用户认证方式叫做802.1X认证。

802.1X认证被广泛应用于用户集中且对信息安全要求严格的场景中。

802.1X旨在解决局域网用户的接入认证和安全方面的问题。借助802.1X准入认证，企业可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

● 802.1X准入架构组件

802.1X采用标准AAA认证架构，分别由设备端，控制端、服务端和目录服务器（如果有，如：AD/LDAP/邮箱）组成。

设备端与控制端采用EAP协议进行认证和通信，认证报文采用UDP协议；控制端与服务端采用标准Radius协议进行通信，认证报文采用UDP协议。

● 802.1X准入控制有何优势？

高兼容性：基于IEEE标准，所有符合IEEE标准的网络设备都支持。

高安全性：在接入层阶段实现对终端设备的接入控制，不符合安全标准无法接入网络，真正实现对网络边界的保护，拓宽企业网络安全边界。

高灵活性：基于动态授权对接入网络的人员、设备进行明确的网络权限划分。

企业为什么需要802.1X？

如今，网络和信息安全形势日趋严峻复杂，企业数字化转型发展也被动面临着越来越多不确定的、突发的、多样的网络安全攻击风险。不断升级的高级持续性攻击，使得企业原有的安全边界不断被突破。准入控制作为主要保障使用企业网络基础设施的安全问题，首当其冲。

与此同时，特别是对于中大型企业来说，终端类型多样数量激增，终端管理任务重难度大成本高。

在这样的大背景下，更灵活的动态识别、认证、访问控制等成为了企业最为关注的核心诉求。出于安全功能要求、自身安全要求、安全保证要求以及降本增效等诸多因素考虑，基于角色的控制访问，安全性更高的802.1X准入认证，毫无意外成为了很多对网络及信息安全要求严格的企业的首选。

同时，802.1X协议为二层协议，不需要到达三层，可以有效降低建设成本。

特别是在防泄密需求推动下，基于802.1X NAC成为基础设施的基本要求，成为越来越多企业的刚需。

关于802.1X，谁走在前面？强在哪？

作为全球较早的网络准入控制厂商之一、中国网络准入控制市场的开创者与引领者，联软科技深耕网络安全行业，一直坚持做创新引领者而不是追随者。

早在2006年，联软率先在国内业界实现了基于802.1X和EOU网络准入控制产品，可以与思科、华为等主流品牌的网络设备很好的联动。同时，联软在2008年发布硬件网络准入控制器并在业界首创了准旁路式部署。

联软的UniNAC网络准入控制系统经过近20年研发更新迭代，是网络级端点安全领域的专业解决方案，现已为众多大型机构的网络安全、终端管理、信息安全管理提供直接支撑，拥有中国500多家金融机构最佳实践，是市场保有量更多的NAC产品，决策风险与TCO更低。

为更好保障企业安全性，联软UniNAC网络准入控制系统采用国际标准协议802.1X来实现到交换机端口级别的强准入认证强管控，支持Windows、macOS、Linux、iOS、Android等各种终端的802.1X协议，实现对所有接入网络的终端进行身份验证、合规检查、安全检查等。

目前，联软科技802.1X技术的独特点与优势主要表现为以下几大方面：

●业内网络设备对接兼容性更广、实施案例更多的准入厂商，具备大量替换各类主流品牌准入产品的能力和兼容性；可以对华为、思科交换机直接下发ACL内容，无需在交换机预先配置ACL，并且支持RABC的最小访问控制，可实现VLAN、ACL与个人用户或部门组关联下发。

●支持SDN网络架构适应未来发展：国内较早支持SDN网络环境适配的准入厂商，支持思科、华为等主流网络厂商SDN环境，在SDN网络中，联软实现终端的身份认证及入网安全基线检查，终端的访问控制策略由终端的用户身份标签实现，与IP地址解耦合。

●可靠性设计优异：提供业内更高标准的6重高可用机制保障，大大减少因为部署准入系统而带来的断网故障。独有的智能熔断机制，当人员误操作情况而导致终端无法正常入网。

●超前的一体化平台设计理念：实现一个客户端，一个平台，可以做到网络准入控制、桌面安全管理、 信息防泄露等领域，包含网络准入控制、主机监控审计、桌面管理、补丁管理、安全管理、终端行为管理等功能的一体化、全方位的终端安全解决方案。

●智能幻影防入侵：基于联软独创的幻影技术，支持自动或手动幻影出与真实在线设备一致的设备类型和数量，大规模轻量诱捕+动态引流到蜜罐重度诱捕进行联动，同时在真实终端注入面包屑诱饵，发现入侵者恶意访问幻影设备立即告警或者阻断。

此外，对于部分网络环境因交换机不支持802.1X的，UniNAC可采用网关型准入控制技术，如策略路由和镜像技术作为过渡，待后续交换机更换或升级后再落实802.1X强管控。

作为新一代的智能化网络准入控制系统，UniNAC 提倡直接与网络设备联动实现网络准入控制，以实现优秀的网络安全性、可靠性和组网灵活性，目前能直接联动的网络设备型号达数百种。通过与网络设备联动及联软NACC准入控制器配合，UniNAC 能解决各种复杂环境下的网络准入控制问题，在无线接入（员工、访客）、有线网络、远程接入等场景中有着广泛运用。

802.1X NAC + SDP ：强强联合下的全网零信任安全管理解决方案

——大规模成功实践 代表客户：交通银行、邮储银行、光大银行、中国银联、中国移动、格力电器......

相较于以网络为中心的准入控制，零信任则是以企业资源为中心。但两者理念与零信任相似，都是默认不相信任何设备，必须进行严格校验后，才允许接入。所以两者都有身份校验、环境感知、信任评估、动态最小授权等环节，严格上来讲这些环节有重复的部分，在具体的落地过程中肯定要考虑如何统一，以便给用户更好的体验和更低的性能成本。

从企业网络安全角度来看，两者解决的问题并不冲突，准入控制主要保障使用企业网络基础设施的安全问题，零信任主要解决访问企业资源的安全问题，所以Google的零信任实践项目BeyondCrop在企业网中的第一步也是准入控制（802.1X）。

 BeyondCrop组件和访问流程

数字化转型大潮下，企业在基础IT架构中引入了上云服务、移动计算等热点技术，内网外网的物理边界逐步消失，木马病毒迭代速度也急速加快，终端数量巨大呈指数级增长。

如何捍卫企业安全边界？如何实现更灵活的动态识别、认证、访问控制？如何实现终端的高效实时管控？这些安全问题都备受关注。保障企业业务系统访问的安全性，首先需要统一加强接入终端的安全建设水平。

随着市场及需求的升级、零信任理念逐渐成熟、云计算持续发展，面对不断升级的新兴技术、需求及应用场景，在此契机下，联软充分发挥802.1X在应对终端安全等领域中的独特优势和价值作用，推出了基于零信任理念的全网零信任安全管理解决方案。

全网零信任安全管理解决方案主要采用“802.1X NAC + SDP”技术结合的方式，以“持续验证，永不信任”为原则，围绕接入、身份、设备、应用以及数据五要素打造企业新安全体系。

联软科技全网零信任解决方案融合了SDP软件定义边界、NAC准入安全、NXG数据安全交换、EMM移动安全、EPP端点安全、EDR终端检测与响应、DLP数据安全等功能。通过一套平台、一个客户端集成了接入安全、端点安全、数据安全的能力，全面针对不同身份、不同设备类型、不同操作系统、不同接入场景、不同的数据外发方式进行管控，实现不同资源细粒度的访问控制。

用户只需要采购与安装、部署一套系统即可实现全网各种终端的零信任安全接入，并可对移动端和PC端进行统一管理，并且用户可根据企业实际需求选择方案具体的应用场景，基于一套平台、一个客户端，可快速扩展，无需重复建设，同时提高运维和管理效率，实现降本增效。

全网零信任安全管理解决方案，被视为防泄密和防勒索病毒方案的基础方案。该方案实现了比肩Google BeyondCorp零信任方案的安全效果，并且在实际应用场景中更契合国内安全市场需求，为企业构建新一代的安全体系，代表客户包括交通银行、邮储银行、光大银行、中国银联、中国移动、格力电器等。

做强做优，探索技术发展新方向

作为全球较早的网络准入控制厂商之一、中国企业端点安全领域的领导者、中国UEM统一终端管理领域领导者、国产自主可控的网络安全新基建领军厂商，国内率先落地基于“零信任安全”产品的厂商之一，联软持续关注市场发展和客户需求，在关键核心技术创新上不断发力，不断加快推进802.1X等技术成果转化应用，引领行业探索技术发展新方向。

目前，联软科技已为金融、制造业、运营商、政府、医疗、能源等行业客户实施部署了基于802.1X强准入认证技术的UniNAC网络准入控制系统，联软的ESPP各子系统以及以全网零信任安全管理为代表的系列解决方案，已经为3000多家行业企业提供持续创新的网络安全解决方案和技术服务。

强者愈强，势头正旺的802.1X，在构建网络安全新基建中正发挥越来越突出的重要作用。联软也将坚持技术创新，引领行业技术先机，开辟更多新领域新赛道，为促进政企数字化建设提供有力保障。