如果你所在的企業經常有新的計算機終端接入現有的網絡當中，如果作為網絡管理員 的你希望能通過一種方式了解當前網絡有哪些計算機終端存活，以及這些存活的主機目前的安全狀況如何？如果 你想阻止安全狀況達不到企業安全策略要求的計算機終端不能接入或訪問網絡？那么，你應當需要一臺網絡訪問 控制服務器（以下簡稱NAC）。

但是在以往，由于你和你的企業可能只對NAC技術有一個初步的了解，卻不知道企業到底需要一臺什么樣的NAC服務器。而且，你不知道在企業現有的網絡結構中實施NAC后能不能達到預期的目的，以及能否取得最佳的成本與收益平衡。因為，在現有的網絡結構中部署NAC，會牽扯到網絡結構變動，以及安全策略更改等諸多的方面，一輪改造下來，不僅工作繁雜，而且會耗費大量的正常業務時間，所有的這些，肯定不是企業應用NAC時所希望年到的。

更何況，由于現在專門的硬件型NAC設備價格還相當的高，企業不一定同意先購買一臺昂貴的NAC設備來先做試驗。就是由于存在這么多的不確定因素，讓許多中小企業如今仍然徘徊在NAC的 大門之外觀望。

現在，由于開源免費的NAC軟件的出現，已經完全可以讓我們丟掉應用NAC的諸多顧慮：企業再要擔心NAC設備的價格，免費的NAC軟件加上一臺普通PC的硬件，要不了多少錢；我們也不擔心得到的NAC軟件不適用，在硬件平臺穩定的情況下，我們只需更換不同的NAC軟件就可以得到想要的需求，而不需要花費任何費用；我們也不必擔心自己打造的NAC服務器過時，因為不僅NAC軟件可以不斷更新，我們還可以更換相應的硬件來滿足軟件和應用的要求。鑒于NAC軟件給應用NAC帶來的諸多好處，那么從現在開始，就和我一起來動手打造一臺滿足自己需求的網絡訪問控制服務器吧。

一、 NAC軟件的選擇和硬件準備

由于是使用NAC軟件來打造一臺NAC服務器，那么這臺服務器所具有的NAC功能就與所使用的軟件密切相關，因 而一開始的首要任務就是選擇一款合適的NAC軟件。目前市面上真正免費開源的NAC軟件還不是很多，而且，每個 NAC軟 件都有它自己獨自的特點和缺點，就如同專門的硬件型NAC設備一樣，我們應當根據NAC軟件提供的功能，以及自己的實際需求來選擇一款合適的NAC軟件。

1、NAC軟件的選擇

就如我剛才所說，目前真正意義上開源免費的NAC軟件還不是很多，最好的要數PacketFence zen、FreeNAC和Safe Access Lite 這三款。為了便于大家選擇，我在下面分別對這三款NAC軟件做一個簡短的說明。

(1) PacketFence zen PacketFence zen是一個免費和開源的網絡訪問控制軟件，它使用NESSUS來對終端設備 進行弱點檢測，以發現終端設備中存在安全風險。例如存在沒有修復的漏洞、計算機病毒、間諜軟件和木馬等，一旦確定終端存在這些安全風險中的一種，此終端就會被禁止訪問目標網絡。PacketFence zen還使用SNORT傳感 器來檢測來自網絡的攻擊活動，并給出相應的警告。PacketFence zen支持對許多廠商的可網管交換機進行VLAN 設置，通過劃分不同VLAN來阻止不安全的終端接入網絡，這些被支持的交換機包括3COM、思科、DELL及D-LINK等廠商生產的可網管交換機。PacketFence zen通過 FreeRADIUS模塊提供對802.1X無線的支持，FreeRADIUS模塊能為我們的有線和無線網絡接入提供一種同樣的安全 控制方式。PacketFence zen同時提供了對DHCP網絡設備和VOIP的支持。而且，我們可以通過WEB和命令行界面來 管理它。所有的這些功能，都讓PacketFence zen完全可以滿足目前大部分中小企業的網絡訪問控制的需求，甚至大型企業同樣可以使用它來保護網絡安全。PacketFence zen可以在大部分Linux系統中運行，我們可以下載它的二進制文件包來安裝，也可以下載它的一體化VMWare虛擬機文件來直接使用，我們可到http://www.packetfence.org/download/releases.html網站下載這些安裝文件。

(2) FreeNAC

FreeNAC也是一款開源免費的NAC軟件，它同樣提供了對交換機劃分VLAN的功能，并以MAC地址來為計算機終端指定 動態VLAN，以此提供對局域網中各種資源的訪問控制。FreeNAC能夠對局域網中的服務器、工作站、打印機和IP電 話的進行訪問控制。FreeNAC能夠自動發現網絡中存活的各種終端，并提供了對802.1x及思 科的VMPS端口安全模塊 的支持，同時還提供系統補丁包分發等功能。不過，FreeNAC雖然提供了對非網管交換機 的支持，但使用非網管交換機會讓其NAC功能大打折扣，因此，如 果想發揮它所有的NAC功能，最好使用可網絡交 換機，而且，為了能使用思科的VMPS功能，最好使用思科的支持 VMPS的可網管交換機。FreeNAC可以去 http://freenac.net/?q=en/community/downloads下載，它也有一個用來安裝的二進制包，可以在Ubuntu、Fedora、Redhat和Gentoo系統中安裝，它同樣也存在一個VMWare虛擬機文件，這個文件是基于Ubuntu8.04的，并且其大小超過了1GB。

(3) Safe Access Lite

Safe Access Lite其實是Safe Access 5的免費版本，但是，它只提供被動監控功能。Safe Access Lite支持對 250臺計算機終端的檢測，并且支持三種終端檢測方式。Safe Access Lite對網絡交換機沒有特別的要求，在普通的交換機環境中也可以很好地發揮其作用，這樣，我們使用它打造NAC服務器就可以直接連接到網絡中心交換機上的任意端口，在不需要對現有的網絡做任何修改的情況下，就可以通過它來監控整個局域網中的計算機終端，體驗NAC的帶來的好處。Safe Access Lite只支持對運行WINDOWS操作系統的計算機終端有效，不支持其它非計算機終端（例如網絡打印機或IP電話）。并且，在使用時，所有的計算機終端必需開啟了打印機和文件共享功能，以及開放了139和445端口，這主要是由于Safe Access Lite的終端檢測方式所決定的。Safe Access Lite也提供二種安裝方式，一種是在Linux系統下安裝的二進制文件，另一種為VMware虛擬機 文件。這些文件可以到http://www2.stillsecure.com/go/stillsecure/SALite下載。在下載它之前需要我們進行簡單的免費注冊，這樣才能獲得使用它的授權碼，這個授權碼是經過加密的，我們只需將它復制后保存到一個文本文件中即可，以便在安裝Safe Access Lite時可以用此授權碼來完成注冊。

2、NAC服務器的硬件準備

當我們選擇好需要的NAC軟件后，就應當按此軟件的運行需求，以及我們使用NAC服務器的應用目的來準備相應的 PC硬件 平臺。我們選擇的硬件不僅要能滿足操作系統的需求，而且要能滿足NAC處理的性能要求。對于上述這三款 NAC軟 件來說，如果都是通過它們的VMware虛擬機文件來使用，那么，運行它們所需的基本硬件可以是：CPU頻率 在奔 騰Ⅳ2.4GHZ及以上，內存容量在1G及以上，磁盤剩余空間最少得有20GB及以上，至于以太網網卡的選擇，我們就得依照NAC服務器將要接入目標網絡的方式再來做決定，對它的需求將在下面描述NAC服務器的接入方式時一起說明。對NAC服務器的其它基本硬件沒有特別的要求。

至于自己打造的NAC服務器操作系統的選擇，由于我國現在大多數中小企業的PC使用的都是Windows XP操作系統，而且這三款軟件都有可以在此系統下使用的VMware虛擬機文件，因此，我們可以選擇Windows XP操作系統來作為NAC服務器的操作系統平臺。但是要注意的是，為了能滿足安全性的需求，我們應當對NAC所依賴的系統進行相應 的安全加固，例如只在此系統上運行NAC軟件，將其它不必要的服務和應用程序全部刪除或禁用，我們不能在使用 一種新的安全防范設備的同時又帶來新的安全威脅。在本文的說明NAC軟件安裝和配置階段，我選擇的平臺也是Windows XP操作系統。

二、NAC服務器接入網絡的方式

NAC 軟件和運行的硬件平臺準備好以后，接下來的工作就是考慮NAC服務器將以何種方式接入目標網絡的問題。通常 ，NAC服務器有兩種主要工作方式，它們是被動工作方式和在線工作方式，我們也就可以按這兩種工作方式來決 定NAC服務器接入網絡的方式。1、被動工作方式時的接入方式被動工作方式就是指NAC服務器將以旁路的方式接 入到目標網絡中，如圖1所示。此時，NAC服務器最少需要一塊 100/1000Mbps的以太網網卡，如果在監控的同時 還必需提供對交換機的管理，那么，也可以在NAC服務器中安裝另 一塊以太網網卡來分別處理各自原任務。對于 大多數NAC服務器來說，不論是自己打造的還是單獨購買的，如果交換機有SPAN端口，最好將網卡連接到此端口上。通過這種方式接入目標網絡，是不需要改變現有的網絡結構的， 但是，這種接入方式將不能保證NAC服務器能監控到整個局域網中的所有終端，也不能保證其提供完整的網絡訪問 控制功能。這種NAC服務器連入目標網絡 的方式也是本文所舉例子使用的接入方式。

圖1

2、 在線工作方式時的接入方式

在線工作方式是指NAC服務器將直接連接到網絡的數據鏈路當中，如圖1.2 所示，此時的NAC服務器最少需要二塊 100/1000Mbps以太網網卡。在線工作方式的NAC服務器不僅承擔對整個內部局域網中所有終端進行監控的任務，還 得控制它們對連接在它后面的網絡服務器的訪問。

此時，如果硬件及網絡條件滿足NAC服務器的要求，那么它將會 提供其完整的NAC功能。但是，在線工作方式的NAC需要更高的數據處理性能和硬件穩定性，而且還存在單點失敗 的問題。因此，我們必需通過提高PC硬件性能來提高NAC服務器的處理速度，通過同時運行兩臺相同的NAC虛擬機 來提供冗余，還可以為PC提供雙CPU，雙電源，以及RAID功能來保證NAC服務器的穩定性和業務的可持續性。但此時不能再 使用免費的VMware軟件來運行這些NAC虛擬機了，因為免費的VMware Player軟件并不提供冗余功能。另外，這種方式會對現有的網絡結構做出相應的調整，如果不是有此必要，可以優先考慮使用被動接入方式，畢竟改變現有網絡結構所要承擔的風險和造成的業務影響要比被動接入方式大得多。這也是我們使用軟件NAC來打造 網絡訪問控制服務器的初衷。

圖2