網(wǎng)絡(luò)接入控制有很多值得學(xué)習(xí)的地方，這里我們主要介紹網(wǎng)絡(luò)接入控制具體方法詳細(xì)講解。從最終用戶的角度看，網(wǎng)絡(luò)接入控制的部署應(yīng)該是透明的，就像它在完全靠自己運行。隨著用戶登錄到這個網(wǎng)絡(luò)，他們的系統(tǒng)應(yīng)該悄悄地在后臺進行檢查，看看他們是否符合內(nèi)部安全政策。

網(wǎng)絡(luò)接入控制診斷端點的例子包括其當(dāng)前補丁的水平和功能以及最新的殺毒軟件和個人防火墻軟件。只有在某些東西出錯時用戶才知道自己的系統(tǒng)不符合規(guī)定。然后，用戶將被引導(dǎo)到內(nèi)部網(wǎng)門戶。用戶將在那里升級到合適的安全水平。

對于小企業(yè)和大型企業(yè)來說，這種高度動態(tài)的安全水平將使他們獲得許多好處。一個擁有網(wǎng)絡(luò)接入控制功能的網(wǎng)絡(luò)不僅運行得更安全，而且效率更高，符合遵守法規(guī)的要求并且產(chǎn)生的服務(wù)臺電話更少。雖然網(wǎng)絡(luò)接入控制的好處是顯而易見的，但是，網(wǎng)絡(luò)接入控制解決方案完成工作的方法是比較復(fù)雜的，無論這種解決方案是基于硬件的、線路內(nèi)部的、帶外的、代理的還是沒有代理的都是如此。

基于硬件的網(wǎng)絡(luò)接入控制

我們首先看看基于硬件的方法是如何發(fā)揮作用的。這種形式的網(wǎng)絡(luò)接入控制一般需要一臺設(shè)備。這臺設(shè)備在內(nèi)部網(wǎng)絡(luò)中運行或者在通訊的帶外運行。有些這類設(shè)備可以取代接入交換機，而有些這類設(shè)備在接入層和網(wǎng)絡(luò)交換機之間工作。無論采用哪一種方法，都需要考慮部署、管理和運行變化等許多問題。

首先，基于硬件的網(wǎng)絡(luò)接入控制解決方案有許多固有的缺陷。最主要的是它創(chuàng)建了這個網(wǎng)絡(luò)上的一個單個的故障點。這種設(shè)備還會影響網(wǎng)絡(luò)通訊，對于地理上分散的或者高度分散的網(wǎng)絡(luò)也許是不理想的。不僅需要每個地方都安裝一臺這種設(shè)備，而且還要進一步安裝到網(wǎng)絡(luò)上。這些方法為網(wǎng)絡(luò)通訊提供了較少的可見性。當(dāng)你在一個大型子網(wǎng)上看不到或者不能阻止一個入侵者的通訊的時候，很難相信使用網(wǎng)絡(luò)接入控制設(shè)備會更安全。此外，帶外的方法(如使用802.11的設(shè)備)常常需要更高水平的網(wǎng)絡(luò)和服務(wù)器設(shè)置變化以及要跟蹤的端口。這不僅增加了網(wǎng)絡(luò)管理成本而且還提高了錯誤的風(fēng)險。

基于代理和無代理的網(wǎng)絡(luò)接入控制

接下來是受到許多批評的基于代理的方法。沒人愿意安裝、升級和維護另一個端點應(yīng)用程序。這是IT團隊的一個額外負(fù)擔(dān)，是引起服務(wù)臺電話驟增的催化劑。因為代理位于端點上，使用代理的缺點是它需要采用更高水平的審查。這種審查有助于改善安全。現(xiàn)實是，代理不是可用的顛覆性的解決方案，特別是在它進入網(wǎng)絡(luò)通訊的時候。這是因為代理是在后臺悄悄運行的，僅僅向政策服務(wù)器發(fā)送定期的更新，保證全面強制執(zhí)行安全政策。但是，讓我們面對這個問題：沒有人愿意安裝另一個應(yīng)用程序，不管這個安全回報是多么高。

接下來是無代理的網(wǎng)絡(luò)接入控制。無代理的網(wǎng)絡(luò)接入控制的常見方法包括在允許端點設(shè)備進入網(wǎng)絡(luò)之前對端點設(shè)備進行安全漏洞掃描或者政策評估掃描，或者同時進行這兩項掃描。不用說，這種做法會增加繁忙的網(wǎng)絡(luò)的負(fù)擔(dān)。這個掃描的結(jié)果將發(fā)送到一個政策服務(wù)器，如果有必要的話，將對任何不遵守規(guī)定的系統(tǒng)取補救措施。

無代理網(wǎng)絡(luò)接入控制的潛力是明顯的：不需要安裝任何代理。遺憾的是它并非那樣簡單?？偸怯幸恍┎焕姆矫?。無代理的方法不能提供一個一致的方法來全面評估這個端點的狀態(tài)。此外，身份是通過檢查網(wǎng)絡(luò)通訊確定的，用戶能夠欺騙這個方法。

動態(tài)網(wǎng)絡(luò)接入控制

采用動態(tài)網(wǎng)絡(luò)接入控制，有一些代理，但是，這些代理僅安裝在一定比例的系統(tǒng)中。此外，這種方法也稱作P2P網(wǎng)絡(luò)接入，不需要對網(wǎng)絡(luò)進行任何改變，也不需要在每一個系統(tǒng)上安裝軟件。這些代理有一部分是“強制執(zhí)行者”，要安裝在可信賴的系統(tǒng)中，很像是警察部隊?？?cè)丝谥兄挥泻苄”壤膱?zhí)法隊伍來保證每一個人都遵守法規(guī)。采用這種方法可以得到與代理有關(guān)的高水平的安全以及網(wǎng)絡(luò)接入控制的全部好處，沒有基于硬件的網(wǎng)絡(luò)接入設(shè)備的麻煩，也不用在每一個網(wǎng)絡(luò)設(shè)備上安裝軟件。

例如，假設(shè)許多執(zhí)法者安裝到了一個局域網(wǎng)的臺式電腦中，一個不可信賴的系統(tǒng)試圖要登錄這個網(wǎng)絡(luò)。這些執(zhí)法者在對這個系統(tǒng)進行診斷之前將限制它的網(wǎng)絡(luò)通訊。此外，如果有必要的話，這些代理要不斷地與中央政策服務(wù)器進行聯(lián)系。因此，一個系統(tǒng)能夠完全隔離或者阻止訪問某一個網(wǎng)段，或者僅允許訪問互聯(lián)網(wǎng)。正如你看到的那樣，網(wǎng)絡(luò)接入控制系統(tǒng)的工作方式有很大的差別。重要的是你要評估你的選擇，找到對于你的網(wǎng)絡(luò)來說最有效的、最節(jié)省成本的網(wǎng)絡(luò)接入控制解決方案。