現(xiàn)在可以將Network Access Control（NAC）措施工具擴展到許多網(wǎng)絡安全設備和網(wǎng)絡管理工具。將NAC策略措施擴展到這些設備可以加強訪問控制，同時仍允許用戶和主機標識作為每一個安全和管理工具的一部分使用。

整合用戶和主機標識到安全和管理點就意味著能夠創(chuàng)建可以識別身份的防火墻設施、在訪問控制中使用身份檢測和阻止或入侵阻止系統(tǒng) (IPS)監(jiān)控、應用企業(yè)反病毒工具到訪問網(wǎng)絡的設備，以及為遠程用戶強化NAC策略。

擴展NAC

因為市場中的NAC已經很成熟了，并且新的API和標準已經發(fā)布，你可以從許多可能的措施模型中作選擇。

下面將討論一些潛在的策略實施點，它們可以在一個包含目前領先的NAC方案的NAC環(huán)境中使用。你不能在所有NAC方案中使用所有這些實施點，同時也不是所有實施點供應商都支持實現(xiàn)這個目標所需要的標準和API。但我們將在你繼續(xù)一個NAC部署之前介紹它的可能性，這樣你就能夠確定在安全策略中你的組織網(wǎng)絡和安全目標是否需要一個整合其它安全設備的方案。

這些實施點的其中一部分有不同的表現(xiàn)因數(shù)。多功能的網(wǎng)絡和安全設備在近幾年已經變得很流行——在許多情況下，包含了下面所討論的所有實施模型。

注意：以下所描述的是邏輯實施模塊，而不是完全獨立的設備和器件。

防火墻措施

可能你的單位已經在網(wǎng)絡的不同地方部署了許多防火墻，如

網(wǎng)絡入口和出口

數(shù)據(jù)中心之前

獨立的位置和部門

由于這些策略的出現(xiàn)，防火墻就在邏輯上成為一個你可以擴展NAC實施的點。

提示：事實上，一些NAC解決方案已經使用防火墻作為一個實施點。然而，對于其它NAC解決方案，將NAC擴展到防火墻需要通過API和標準進行整合。

防火墻也提供了很好的NAC實施點，因為組織可能將一些策略類型基于每一個用戶或角色制定的。比如，安置在一個企業(yè)數(shù)據(jù)中心之前并且整合了NAC方案的防火墻可以允許組織為網(wǎng)絡的每組用戶定義非常細粒度的基于角色的策略。這個組織可能允許所有員工訪問諸如電子郵件服務器和某些文件共享，但它可以使用防火墻策略來只允許財務人員訪問敏感的財務數(shù)據(jù)和應用。

這個概念現(xiàn)在更多地被稱為“已經身份認證的防火墻（identity-aware firewalling）”，它在所有行業(yè)的組織越來越受到歡迎——不僅包括那些滿足條例法令的組織，如Sarbanes-Oxley (SOX)、The Health Insurance Portability和Accountability Act (HIPAA)，也包括任何需要劃分網(wǎng)絡和根據(jù)用戶職能進行信息訪問控制的組織。從適應性上看，現(xiàn)在防火墻可以看到用戶，不僅允許組織實施細粒度訪問控制，也可以檢驗審計和其它已經實施的報表需求。

在現(xiàn)在的移動世界中，來自多個位置和設備的用戶可能在任何時候出現(xiàn)在公司網(wǎng)絡的任何地方。結果，一些靜態(tài)定義的源和目標IP地址——基于防火墻策略的——已經不再精確。通過激活NAC的防火墻策略，你不需要再依賴于靜態(tài)防火墻策略，從而允許防火墻必須跟蹤在不同位置和設備上移動的用戶。這個策略與當初制定策略的方法和出發(fā)點更加一致了。防火墻安全策略不再需要等到用戶物理地在辦公臺上連接到以太網(wǎng)端口時才應用?，F(xiàn)在防火墻可以基于用戶和用戶組實施策略。

IDP/IPS措施

你可以使用入侵檢測和阻擋（IDP）或入侵阻擋系統(tǒng)（IPS）設備作為監(jiān)控企業(yè)網(wǎng)絡最終用戶行為的機制，它提供了一個反饋回路，你的NAC方案可以用來基于最終用戶行為修改訪問控制決策。

這些相同的系統(tǒng)能夠識別所有通過的流量。在許多情況中，組織已經部署IDP/IPS，這樣它們不僅能夠確定某個流量是否為惡意的，也能確定哪種應用在使用該流量。這些系統(tǒng)能夠基于這個技術限制對特定應用的訪問。

比如，一個組織可能不希望用戶在網(wǎng)絡中使用點對點應用或者未批準的即時通訊應用，所以正確部署的IDP/IPS系統(tǒng)能夠通過丟棄不在策略規(guī)定范圍的流量來幫助實現(xiàn)這種應用級的控制。

通過擴展這種類型的系統(tǒng)到NAC中，這些策略現(xiàn)在可以變成基于角色的。比如，特定組的用戶可能有合法的理由使用特定的點對點應用。通過將NAC擴展到IDP/IPS，你可以允許這些特定的用戶使用這些應用而完全限制其他用戶。

因為最終用戶會將許多他們自己的設備接入到企業(yè)網(wǎng)絡中，所以這種策略實施能夠阻擋不受歡迎的應用的網(wǎng)絡訪問——你可以在用戶從受管理的筆記本和PC連接網(wǎng)絡時限制他們安裝這些相同的應用。

整合使你現(xiàn)在使用的NAC策略更加細粒度——在應用層，而不是在網(wǎng)絡層——從而給你在許多標準NAC解決方案中所沒有的控制級別。

表1只列出一些你可能應用在你組織中的策略。事實上，如果你有一個具備這些功能的IDP/IPS解決方案，你可能已經使用這些類型策略。但是如果你在IDP/IPS策略中包含了NAC，你就基于具體用戶或用戶組選擇或修改策略的類型，而不是基于源和目標IP地址設置策略。這種類型的策略很適合應用在有不同角色的移動用戶的組織中。

【編輯推薦】

1. 思科NAC解決方案核心：可信代理
2. CISCO NAC和CAS技術資料
3. 網(wǎng)絡訪問控制（NAC）是否現(xiàn)在就該部署