近來，NAC(即網(wǎng)絡(luò)準入控制：Network Admission Control)是一個非常流行的網(wǎng)絡(luò)安全主題。雖然有許多人聽說過這個詞，不過仍有許多人并沒有完全理解NAC是什么，以及如何利用它來改善其網(wǎng)絡(luò)安全。

什么是NAC?

NAC是一種允許對某個網(wǎng)絡(luò)進行訪問的方法，它通過遵循安全團隊幫助構(gòu)建的一套標準而實現(xiàn)。它可以被用于多種設(shè)備上，從桌面設(shè)備到手持式PDA。它不是像防火墻那樣盲目地限制訪問，NAC試圖將智能集成到網(wǎng)絡(luò)訪問中?，F(xiàn)在可以選擇的NAC方案種類很多，實施一個NAC解決方案的原因也很多。本文將簡潔地討論NAC的要領(lǐng)，并向你展示一個NAC方案如何有助于改善網(wǎng)絡(luò)的安全性。不過，記住下面一點是很重要的：對于多數(shù)方案，正確地計劃對于成功實施是極端重要的。

一個NAC方案的組成部分有哪些?

一個NAC方案有三個主要的組成部分：

 終端用戶設(shè)備
　　
 認證系統(tǒng)
　　
策略服務(wù)器
　　
當然，根據(jù)所選擇的方案不同，組成部分也相應(yīng)地有所變化。終端用戶設(shè)備典型情況下會安裝一個代理。終端用戶設(shè)備上的NAC代理能夠與策略服務(wù)器會話，這是一個方案的關(guān)鍵。下圖顯示了思科NAC設(shè)備(CNACA)的通信流快照：

上圖描述了一個帶內(nèi)(in-band)和帶外(out-of-band)設(shè)備服務(wù)器。這種方法確保了安全執(zhí)行標準的最大化執(zhí)行，不管你試圖在何處登錄網(wǎng)絡(luò),這是因為這個設(shè)備位于你和所需要的資源之間。沒有什么方法可以繞過它。

NAC如何改善網(wǎng)絡(luò)安全?

一個NAC方案能夠幫助你改善網(wǎng)絡(luò)安全的方法有好幾種。事實上，通過使用NAC，你可以得到更高的效率。

強制遵從

網(wǎng)絡(luò)和Windows系統(tǒng)管理員花費大量時間來解決如何強制終端用戶設(shè)備遵循必要的Windows補丁、反病毒更新、防火墻設(shè)置等。幾年來，使用過各種方法來保持病毒定義文件的最新，保障病毒掃描的運行，并且運用了最新的補丁集等。所有的這些努力都已經(jīng)改進了網(wǎng)絡(luò)的安全性，不過總有一些人為的因素會損害這個過程。例如，安全管理員可以使病毒定義文件的更新自動化，但是終端用戶可以取消掃描或者禁用其代理。一個NAC方案能夠保障保障用戶必須遵循反病毒軟件的更新。

隔離

除了強制用戶執(zhí)行、遵循安全策略，一個NAC方案還可以檢測和隔離一個“不安全的”設(shè)備。如果你曾經(jīng)以人工方式利用訪問控制列表解決過蠕蟲問題，你就會理解將某個設(shè)備隔離到一個預定義的VLAN中的重要性。這是從一個中心點執(zhí)行的。

但效率并非只能從集中化中獲得。一個NAC解決方案不但能夠檢測和隔離，而且還能夠用恰當?shù)牟《径x文件和補丁來更新設(shè)備，這樣就能在允許訪問設(shè)備訪問你的網(wǎng)絡(luò)之前，用一種最高最強的安全標準來設(shè)置設(shè)備，病毒和蠕蟲將沒有機會訪問你的資源。如果你正確地設(shè)置了NAC方案，根據(jù)代理所報告的有關(guān)用戶身份，用戶將只能訪問所需要的資源。 #p#

提供臨時用戶(來賓)訪問

廠商和臨時用戶(來賓)訪問是許多公司頗感頭疼的一個問題。在無線網(wǎng)絡(luò)中這更是成為一個較難對付的問題。對這個問題的解決方案有很多，如隔離的客戶訪問VLAN，基于WEB的展示等，或者來賓根本就不能訪問你的站點等等。采用NAC之后，就不用為臨時用戶的訪問而苦惱了，臨時用戶只是需要順從有關(guān)策略。以前這個過程完全是手工完成的，在設(shè)備被允許連接到網(wǎng)絡(luò)上之前，通常需要花費幾個小時。所有這一切都是為了避免顯而易見的風險，不過對那些不太明顯的風險該怎么辦呢?

避免風險

在可實現(xiàn)的情況下，避免風險毫無疑問是一個巨大的改進。很明顯，防止蠕蟲的傳播可以避免風險，不過如何對待日常的風險性操作?VoIP給安全團隊人員帶來的極大的壓力，因為他們既要滿足其需要，又要保護其安全。防火墻策略的一個錯誤就能夠?qū)⒄麄€組織的電話系統(tǒng)搞垮。一旦你的訪問策略與NAC方案結(jié)合起來，你的防火墻將會少操一份心。

在購買一個NAC方案之前需要考慮的問題

對那些考慮采用某種方案的組織來說，不了解問題的方方面面對任何考慮采用某個解決方案的組織來說始終是一個問題。銷售人員喜歡利用這一點。不要成為某些大肆宣傳廣告品的犧牲品。在向一個NAC解決方案投資之前，有幾個問題需要考慮。

一個NAC解決方案假使你已經(jīng)定義了一套高級策略集，如驗證、安全、網(wǎng)絡(luò)訪問，等等。在預算的范圍內(nèi)，專業(yè)服務(wù)始終是有幫助的。

如果你考慮將身份驗證與NAC方案結(jié)合起來，一定要理解你的身份驗證方案的限制問題。例如，一個UNIX服務(wù)器之上的LDAP或NIS可能與桌面及微軟服務(wù)器的活動目錄方案無關(guān)。你的銷售團隊和內(nèi)部技術(shù)團隊需要團結(jié)起來討論這些限制的影響。關(guān)于總體上的身份驗證，驗證策略在所要保護的網(wǎng)絡(luò)的各個部分中保持一致性是很重要的。此外，你編寫一些你的組織培訓所依賴的文檔資料也很重要。這些資料包括用戶ID的終結(jié)時間、跨平臺的功能性、或者已通過驗證機制定義的訪問，等等。

安全策略的制定是一場永遠不可能終結(jié)的戰(zhàn)爭。其訣竅是在不損害業(yè)務(wù)關(guān)鍵過程的前提下執(zhí)行操作。在實施一個NAC方案之前需要考慮的一個問題是一個NAC設(shè)備和防火墻的交互： NAC認為某次訪問應(yīng)該可用，而防火墻卻阻止之，這會發(fā)生什么事情?很好地定義這些安全策略能夠避免處理這些問題。

網(wǎng)絡(luò)訪問策略與你的網(wǎng)絡(luò)是如何設(shè)計的有很大關(guān)系。隨著企業(yè)的增長，那些沒有細心設(shè)計的網(wǎng)絡(luò)將產(chǎn)生許多網(wǎng)絡(luò)訪問策略有關(guān)的問題。

反過來說，設(shè)計糟糕的策略和增長處理過程將給網(wǎng)絡(luò)的設(shè)計帶來困難。為了正確實施一個NAC方案，需要設(shè)計一個祥細的最新的網(wǎng)絡(luò)結(jié)構(gòu)圖。這雖然看起來很明顯，不過千萬不要過分低估一個銷售團隊的勤奮和執(zhí)著。記住，多數(shù)銷售團隊會設(shè)法賣給你一個產(chǎn)品，然后快速地轉(zhuǎn)到下一個客戶。因此，購買專業(yè)性服務(wù)是保持其興趣的好方法。此外，你可以從工程師那里得到大量實用的、特定領(lǐng)域的知識和經(jīng)驗，這可以為你節(jié)省許多時間。否則，另請高明。

用NAC保障網(wǎng)絡(luò)安全

總體而言，一個NAC方案能夠極大地改善網(wǎng)絡(luò)的安全性。我們不應(yīng)該低估實施一個方案的計劃數(shù)量。你不但需要需要豐富的網(wǎng)絡(luò)資源，還需要Windows、安全、桌面、公司策略創(chuàng)建團隊的緊密協(xié)作。

實施一個NAC并不是簡單地安裝一個設(shè)備：必須對身份驗證實現(xiàn)標準化，必須設(shè)置最小的桌面標準，后端的防火墻規(guī)則和網(wǎng)絡(luò)設(shè)備必須與你的NAC方案保持一致，以允許策略服務(wù)器試圖許可的訪問。這些正是所有的組織奮力解決的問題。如果你的組織還沒有最后確定這些問題，那么至少需要將其放到你的NAC項目計劃中。一個NAC解決方案能夠保持終端用戶設(shè)備遵循策略，為臨時用戶提供一個安全簡易的方法，使其能夠訪問你的網(wǎng)絡(luò)，還使你可以審核網(wǎng)絡(luò)中的用戶訪問活動，并使你更有效率。NAC還可以禁止蠕蟲和病毒等惡意代碼在網(wǎng)絡(luò)中漫延擴展，從而有助于減少風險管理任務(wù)。

【編輯推薦】

1. 用網(wǎng)絡(luò)訪問控制(NAC)解決網(wǎng)絡(luò)安全問題
2. 網(wǎng)絡(luò)上實施思科NAC五大步
3. 網(wǎng)絡(luò)接入控制（NAC）中標準的重要性