如今強調「行動第一、雲端至上」，很多時候用戶已經不再有桌上型電腦，而是以筆記型電腦代替，尤其是常常在外奔波的業務部門，這些筆電雖然提供方便性，但是每當筆電回到公司企業，接上網路線想要存取內網資源前，是否有機制能確認筆電本身遵守資訊安全政策呢？

為保護公司企業網路安全，今天來談Network Access Control(NAC)網路存取管制系統，有時也作Network Access Protection網路存取保護系統。如天稍微提到，這類系統通常用於管制內部存取行為，避免有人不正當地存取公司網路資源，或拿筆電自行接上網路線，進行攻擊行為；同時在符合安全政策下，提供訪客存取內部網路資源的方便。ㄧ般這類系統的流程如下：

1.電腦設備接上網路線
通常依據安全政策設定，這時候是完全沒有任何網路，無法連上內網和外網，完全被封鎖狀態。

2.NAC偵測到該設備，比對安全政策
檢驗該設備是否為trusted device已信賴裝置。

3.依據安全政策給予適當存取權限
如果是Trusted Device已信賴裝置，也許不用再另行驗證，或者也不用進行掃瞄。同時依據政策給予存取權限，例如允許存取特定網路資源如網路印表機、網路硬碟等等。

4.如果並非trusted device 已信賴裝置，進行驗證流程
因為並非已信賴裝置，這時候需要認證，避免有心人士隨意接上設備。

5.以Captive Portal 要求驗證
可以設定為只有ㄧ組MIS人員設定的特定帳號才能通過驗證，這組帳號只用在Captive Portal驗證並以SIEM監控驗證情況避免不正常登入，也防止內部員工私自接上網路設備(如Wi-Fi AP)用自己帳號認證。

6.驗證通過後，依據安全政策給予適當存取權限
即使驗證成功，還要通過掃瞄，或者以不同VLAN設定不同政策：ㄧ般內部桌機使用的VLAN在這裡就可以開始給予適當權限存取網路資源，訪客或筆電使用的VLAN則必須進行掃瞄。也可以強制所有機器都需要通過掃描，確保所有聯上內網的機器都符合資訊安全政策。

7.進行掃描
掃描確認該設備符合訂下的資訊安全政策，例如特定版本的作業系統、是否有最新的安全更新、是否開啟本機防火牆、是否有裝防毒軟體並更新定義檔等等

8.再次掃瞄
如果掃瞄失敗，必需透過訪客專用的Wi-Fi 網路，或者在前面的政策允許有限度使用Internet，讓筆電進行安全更新後，再重新掃瞄。

是否覺得網路存取管制系統 NAC 的流程和MDM行動裝置管理系統有些相像？確實有些NAC系統也包含部分MDM的功能，能掃描行動裝置，確認裝置符合資安政策，強迫系統更新到特定版本才能存取公司資源，而且NAC系統監控公司內部網路，確保每台設備都是Trusted Device可信賴裝置，也有點像設在內網的NIDS，偵測封包並針對某些可疑行動做出警示，一旦從封包判定為異常行為，可以將該設備裝置從trusted device可信賴裝置轉移為 untrusted device未信賴裝置，阻止存取內網資源甚至網際網路，此時資安團隊可以進一步調查，或者從NAC要求用戶再次認證掃描。關於NIDS的介紹，可以參考本次鐵人賽Fu-sheng邦友寫的：資安的學習心得及分享系列 第 4 篇Network Intrusion Detection System
https://ithelp.ithome.com.tw/articles/10190920

最後分享一個經驗：如果環境裡有NAC系統，某些網路異常的情況有可能是NAC系統出問題，例如電腦雖然有IP卻沒辦法連上網路、無法存取網路硬碟等等情況，有可能是NAC沒有正確判定電腦為Trusted Device信賴裝置而阻止電腦存取內網資源。建議在排除故障的流程裡應該要加入檢查NAC系統設定的步驟，避免工程師大費周章地查線路、查路由器、查ISP，結果只是NAC系統異常。

「意外的狀況隨時都會發生。」- - 《奮鬥吧！系統工程師》