基于硬件的網(wǎng)絡(luò)接入控制、基于代理的軟件網(wǎng)絡(luò)接入控制、無(wú)代理的軟件網(wǎng)絡(luò)接入控制或者動(dòng)態(tài)網(wǎng)絡(luò)接入控制全都可以改善網(wǎng)絡(luò)安全。要選擇正確的解決方案，IT經(jīng)理需要考慮他們網(wǎng)絡(luò)接入控制部署的目標(biāo)，包括理想的安全水平和管理水平。網(wǎng)絡(luò)接入控制廠商InfoExpress公司首席執(zhí)行官、首席技術(shù)官和共同創(chuàng)始人Stacey Lum介紹了IT經(jīng)理需要了解什么知識(shí)才能確定適合自己環(huán)境類型的最佳網(wǎng)絡(luò)接入控制選擇。

網(wǎng)絡(luò)接入控制能夠改善安全是沒(méi)有爭(zhēng)議的。網(wǎng)絡(luò)接入控制能夠迅速判斷來(lái)自不應(yīng)該獲得接入批準(zhǔn)的那些系統(tǒng)的用戶，并且保證防火墻設(shè)置、殺毒軟件和補(bǔ)丁水平都保持最新的狀態(tài)。在使用正確的時(shí)候，網(wǎng)絡(luò)接入控制能夠創(chuàng)造一個(gè)沒(méi)有病毒感染的通訊流并且沒(méi)有與安全突破有關(guān)的許多其它風(fēng)險(xiǎn)的網(wǎng)絡(luò)。

很誘人，是嗎?是的。但是，沒(méi)有天上掉餡餅的好事。許多網(wǎng)絡(luò)接入控制解決方案都太昂貴以至于不能部署和管理。我們?cè)谶@篇文章中將告訴你需要了解什么知識(shí)來(lái)確定適合你的環(huán)境類型的最佳的網(wǎng)絡(luò)接入控制選擇。但是，在我們討論這個(gè)問(wèn)題之前，我們需要簡(jiǎn)單再了解一下網(wǎng)絡(luò)接入控制的四種主要類型：基于硬件的網(wǎng)絡(luò)接入控制;基于代理的軟件網(wǎng)絡(luò)接入控制;無(wú)代理的軟件網(wǎng)絡(luò)接入控制;動(dòng)態(tài)網(wǎng)絡(luò)接入控制。

無(wú)論你選擇哪一種網(wǎng)絡(luò)接入控制解決方案，你都需要考慮你部署網(wǎng)絡(luò)接入控制的目標(biāo)，如安全與管理水平以及根據(jù)你的企業(yè)和網(wǎng)絡(luò)規(guī)模的其它因素。

網(wǎng)絡(luò)接入控制與地理分散的網(wǎng)絡(luò)

對(duì)于一個(gè)大型網(wǎng)絡(luò)，有許多部署、管理和運(yùn)營(yíng)的考慮。例如，位于交換機(jī)上游的基于硬件的線內(nèi)網(wǎng)絡(luò)接入控制解決方案產(chǎn)生一個(gè)潛在的單個(gè)故障點(diǎn)。如果這些解決方案跟不上目前高速的10G網(wǎng)絡(luò)干線的速度，這些解決方案就是破壞性的。

而且，線內(nèi)網(wǎng)絡(luò)接入控制解決方案對(duì)于地理上高度分散的或者高度分段的網(wǎng)絡(luò)也許都是不理想的。這種解決方案不僅需要在每一個(gè)地方都有一臺(tái)設(shè)備，而且這些方法提供的網(wǎng)絡(luò)通訊的可見(jiàn)性也非常差。

當(dāng)你看不到或者不能阻止一個(gè)大型子網(wǎng)上的入侵者的通訊的時(shí)候，相信你使用網(wǎng)絡(luò)接入控制獲得更大的安全性是沒(méi)有意義的。帶外的替代方法，如使用802.1x的選擇，經(jīng)常需要改變網(wǎng)絡(luò)和服務(wù)器的許多設(shè)置。他們需要額外的隔離網(wǎng)絡(luò)和每一臺(tái)交換機(jī)的端口的設(shè)置以及需要設(shè)置路由器和交換機(jī)的訪問(wèn)規(guī)則。這不僅增加了管理成本，而且還增加了出現(xiàn)錯(cuò)誤的風(fēng)險(xiǎn)?；谟布木W(wǎng)絡(luò)接入控制顯然并不便宜，或者說(shuō)并不是一種萬(wàn)靈藥。

但是，基于硬件的網(wǎng)絡(luò)接入控制能夠提供高水平的安全，因?yàn)樗鼈兊闹攸c(diǎn)是網(wǎng)絡(luò)通訊，能夠發(fā)現(xiàn)在線路上運(yùn)行的安全漏洞。

在地理分散的網(wǎng)絡(luò)中采用基于軟件的方法，管理性的挑戰(zhàn)依然存在，但是，這些挑戰(zhàn)轉(zhuǎn)移到了端點(diǎn)，需要在每一個(gè)端點(diǎn)安裝一個(gè)軟件代理。雖然無(wú)代理的網(wǎng)絡(luò)接入控制方法能夠減輕這種管理負(fù)擔(dān)，但是，無(wú)代理的網(wǎng)絡(luò)接入控制不能提供一種一致的方法以全面地評(píng)估這個(gè)端點(diǎn)的狀態(tài)。這就意味著用重要的安全功能交換可管理性。

因?yàn)閯?dòng)態(tài)網(wǎng)絡(luò)接入控制只能利用一部分系統(tǒng)作為安全強(qiáng)制執(zhí)行者，動(dòng)態(tài)網(wǎng)絡(luò)接入控制實(shí)際上能夠幫助你利用分布式網(wǎng)絡(luò)的力量保護(hù)自己。

保證中小企業(yè)的安全

中小企業(yè)幾乎沒(méi)有專門的IT人員和專家來(lái)配置復(fù)雜的和帶外的方法，如802.1x網(wǎng)絡(luò)配置，以及在發(fā)生問(wèn)題的時(shí)候正確地排除故障。此外，由于資源的局限性，中小企業(yè)經(jīng)常把IT團(tuán)隊(duì)的重點(diǎn)放在發(fā)展業(yè)務(wù)的IT計(jì)劃上。

這正是基于軟件的網(wǎng)絡(luò)接入控制要做的事情：在提高安全性的同時(shí)還能減輕安全和網(wǎng)絡(luò)團(tuán)隊(duì)的管理負(fù)擔(dān)。事實(shí)上，對(duì)于中小企業(yè)來(lái)說(shuō)，在防御代理方面有許多可說(shuō)的事情。例如，在端點(diǎn)能夠達(dá)到更高水平的審查，從而增強(qiáng)安全性?，F(xiàn)實(shí)是，代理可以是現(xiàn)有的引起中斷最少的解決方案，特別是應(yīng)用到網(wǎng)絡(luò)通訊的時(shí)候，因?yàn)榇硎窃诤笈_(tái)悄悄地運(yùn)行的，只是定期地向政策服務(wù)器發(fā)送更新。因此，如果你是IT資源有限的中小企業(yè)，這個(gè)竅門就是找到最容易管理的、最節(jié)省成本的、基于軟件的網(wǎng)絡(luò)接入控制解決方案或者可用的動(dòng)態(tài)網(wǎng)絡(luò)接入控制解決方案。#p#

理想的安全水平

不管你的企業(yè)和網(wǎng)絡(luò)規(guī)模有多大，你都需要用理想的安全水平去權(quán)衡成本與可管理性。這是普遍的現(xiàn)象，因?yàn)閮?nèi)部文化、容忍風(fēng)險(xiǎn)的限度或者這個(gè)企業(yè)是否處在管理非常嚴(yán)格的行業(yè)等因素都決定了企業(yè)應(yīng)該采取更高水平的安全，還是選擇管理的方便性。

例如，如果安全是唯一的考慮的話，基于硬件的802.1x(帶外的)解決方案也許是最佳的選擇。雖然無(wú)代理的網(wǎng)絡(luò)接入控制避開(kāi)了安裝和維護(hù)代理的需求，但是，它也付出了代價(jià)。無(wú)代理的方法不能提供一種一致的方法來(lái)全面評(píng)估端點(diǎn)的狀態(tài)。此外，由于通過(guò)檢查網(wǎng)絡(luò)通訊可以確定身份，用戶可能會(huì)欺騙這個(gè)系統(tǒng)。

動(dòng)態(tài)網(wǎng)絡(luò)接入系統(tǒng)也許會(huì)提供管理性和安全之間的正確的平衡。

網(wǎng)絡(luò)接入控制的成本

無(wú)論你是一家地理上分散的零售商、制造商或者金融服務(wù)公司，管理每一個(gè)地方的網(wǎng)絡(luò)接入控制設(shè)備很快將變得非常昂貴?？紤]一下，每一個(gè)基于硬件的網(wǎng)絡(luò)接入控制設(shè)備都需要大約2萬(wàn)美元。此外，那個(gè)設(shè)備還需要為初次安裝和配置這個(gè)設(shè)備的專家支付旅差費(fèi)和工時(shí)費(fèi)。然后，還有持續(xù)不斷的維護(hù)和更新的費(fèi)用負(fù)擔(dān)。

在某些情況下，根據(jù)你的架構(gòu)的性質(zhì)，如果不對(duì)你的網(wǎng)絡(luò)配置進(jìn)行重大的和有風(fēng)險(xiǎn)的修改，遠(yuǎn)程管理也許就不能實(shí)現(xiàn)。如果你要降低成本，基于軟件的網(wǎng)絡(luò)接入控制解決方案也許是一個(gè)可行的選擇。

合作

根據(jù)你的需求，把網(wǎng)絡(luò)接入控制作為一個(gè)全面的IT安全解決方案的一部分進(jìn)行實(shí)施也許是最佳的選擇。許多大型基礎(chǔ)設(shè)施廠商已經(jīng)與安全廠商合作以便用最好的安全技術(shù)提供他們的服務(wù)。

正如你看到的那樣，在你采用網(wǎng)絡(luò)接入控制之前你有需要事情要考慮。我們希望這篇文章能夠幫助你簡(jiǎn)化這些選擇。無(wú)論你選擇什么類型的解決方案，你最終都將扣動(dòng)扳機(jī)和開(kāi)始部署。那是你需要一個(gè)部署戰(zhàn)略的時(shí)候。網(wǎng)絡(luò)接入控制最好是分階段地實(shí)施。這就是說(shuō)要逐步地部署網(wǎng)絡(luò)接入控制設(shè)備，逐步地解決一個(gè)具體的需求或者保證某一個(gè)站點(diǎn)的安全或者保證一個(gè)網(wǎng)段的安全。隨著你更加熟悉這個(gè)網(wǎng)絡(luò)接入控制解決方案，你可以在整個(gè)企業(yè)部署這個(gè)解決方案。在開(kāi)始的時(shí)候，你要計(jì)劃一個(gè)合理的時(shí)間數(shù)量來(lái)監(jiān)視它的工作情況，向管理員提供一些時(shí)間讓他們了解網(wǎng)絡(luò)接入控制對(duì)系統(tǒng)和你的網(wǎng)絡(luò)的影響。

此外，在你啟用任何強(qiáng)制政策功能之前，你要保證你有一個(gè)很好的補(bǔ)救措施戰(zhàn)略。你會(huì)簡(jiǎn)單地以不符合系統(tǒng)要求封鎖人們進(jìn)入網(wǎng)絡(luò)嗎?你會(huì)很好地與補(bǔ)丁管理軟件結(jié)合在一起嗎?你還需要知道你將在什么地方存儲(chǔ)你的補(bǔ)救措施文件和不符合要求的任何系統(tǒng)的指令。

盡管由于某些網(wǎng)絡(luò)接入控制解決方案部署得不夠好導(dǎo)致網(wǎng)絡(luò)接入控制正面臨市場(chǎng)上的某種程度的抵制，考察網(wǎng)絡(luò)接入控制比以往任何時(shí)候都重要。網(wǎng)絡(luò)接入控制解決方案最近不僅取得了一些進(jìn)步，而且失敗的解決方案的許多問(wèn)題是由于沒(méi)有全面地思考網(wǎng)絡(luò)解決控制從而選擇了錯(cuò)誤的解決方案，太匆忙地進(jìn)入了部署階段或者試圖以非?？斓乃俣茸鎏嗟氖虑椤，F(xiàn)在，你知道如何把事情做得更好了。

【編輯推薦】

1. 網(wǎng)絡(luò)接入控制（NAC）中標(biāo)準(zhǔn)的重要性
2. 如何找到最佳網(wǎng)絡(luò)接入控制解決方案