隨著無線網絡發(fā)展，更多的用戶使用Wi-Fi，包括那些企業(yè)中工作的人們。那么，這對保障無線網絡安全增添了新的難題。那么，應該如何做呢。本文就將介紹無線網絡訪問控制（NAC），來保證網絡的情況是安全的。

隨著越來越多未經管理的、啟用Wi-Fi的智能手機連接到企業(yè)網絡，網絡管理員應該使用無線網絡訪問控制（NAC）來監(jiān)控接入網絡設備以及保證這些設備的安全。

“最近我在與一個醫(yī)院相關人員交流時了解到他們的網絡上有很多智能手機接入，但他們并不是很確定，”Infonetics Research的主任分析師Jeff Wilson說道。“他們認為他們共有大約8,000臺設備接入網絡，但當他們訪問ForeScout的一個網絡訪問控制設備時，他們發(fā)現了12,000臺設備。其中大多數他們之前沒有計算到的是各種智能手機。”

當網絡管理員知道他們網絡上的設備時，他們需要了解2個主要分類的智能手機使用情況：IT能夠訪問的屬于公司資產的設備，以及員工自己擁有的、用來訪問電子郵件和企業(yè)敏感信息的設備。

“你必須了解的是，現實中哪些是我知道且能控制的設備，哪些是我不知道且不能夠控制的設備，”Wilson說道。“然后你可以對你知道的設備制定一個安全策略，而對于不知道的設備則制定另一個安全策略。或者是阻止對這些設備的所有訪問，或者是允許訪問但需要采取方法進行限制或[訪問]控制，這個決定權在你。”

對于網絡上受管理的智能手機的控制是一個關系到與IT組織中的移動設備管理員合作的問題。未受管理的設備則是一個更大的挑戰(zhàn)，Wilson說到，“因為你不能夠物理上連接它們。”

企業(yè)可以使用無線網絡訪問控制（NAC），它不僅能夠發(fā)現連接到網絡上的設備類型，也能發(fā)現客戶端上運行的（如果有）軟件和安全性設置，他說。這些信息能夠幫助網絡管理員確定應該對未受管理的智能手機實現哪些種類的安全性策略。

Bill Perry是位于England Taunton的Richard Huish College的IT服務經理，他最近安裝了一個ForeScout的無線網絡訪問控制（NAC）產品，專門用于查看接入到網絡的iPhone和USB設備的數量。

“[教授們]通過網絡進行授課的課程很多，”Perry說道。“如果網絡出現問題，他們就無法上課。我認為iPhone可能會訪問網絡，并會帶來一些可能影響網絡運行的東西。”

Perry的ForeScout設備目前是處于監(jiān)控模式，它負責監(jiān)控網絡狀況。這個月他將開始實現一些規(guī)則和策略來控制訪問他的Cisco無線LAN和有線網絡的設備。

無線網絡訪問控制：監(jiān)控設備行為

在得到網絡上的智能手機詳細列表后，網絡管理員需要了解這些設備正在做什么。

“一個重要的方面是了解它們在網絡上是怎么使用的，”Wilson說。“當這些設備連接后用戶會做什么？可能會出現什么類型的威脅？這就是使用某種無線網絡訪問控制（NAC）或應用控制或應用發(fā)現產品能夠幫助你的地方。”

“其次，考慮一下其余問題的數據，”他說。“我們有相應的策略應對某人電話丟失的意外事件嗎？我們應該如如何決定我們是否在IT方面考慮了設備丟失的事件？我們如何在無法訪問這些設備的前提下保護我們的網絡？”

對于未受管理的智能手機視而不見是有風險的。“我們還沒有遇到許多專門針對移動設備的攻擊，但是我相信這些攻擊遲早會出現。并且，特別專注于智能手機安全性的公司[正在這樣做]，因為他們知道如果設備丟失或被盜，一定會有他們需要擔心的敏感數據。”

編外無線無線網絡訪問控制（NAC）解決方案

并不是每一個無線網絡訪問控制（NAC）方案都將提供對未受管理的智能手機相同的控制和可見性，Wilson說。例如，來自諸如McAfee和Symantec等終端保護供應商的無線網絡訪問控制（NAC）產品也許并不足夠好，因為他們依賴的是一些智能手機可能不會安裝的客戶端軟件。Microsoft NAP可能在管理Windows Mobile智能手機上做得很好，但對于其它的智能手機平臺可能就不適用了。只跟蹤支持802.1x設備的無線網絡訪問控制（NAC）產品將不能識別沒有這些軟件的設備，特別是智能手機。

“所以你需要尋找不局限于802.1x的編外方案，同時還需要使用其它方法，如捕捉MAC地址和機器ID，”Wilson說。

智能手機安全性之外

無線網絡訪問控制（NAC）也能幫助Perry處理網絡中其它與受管理和未受管理的筆記本電腦相關的問題。例如，他檢測到一組未受管理的PC在掃描他的網絡，特別是密碼掃描，所以他嘗試用ForeScout跟蹤這些機器。他不認為是某些人在嘗試攻擊網絡，但是當他找到這個機器時他會知道更多的信息。

這個技術也能幫助他查找一臺學校擁有而已經丟失的外借筆記本電腦。

“我們檢查了記錄，并且看到它最后一次出現在網絡的時間、使用它的人和它訪問的端口號，”Perry說。“所以你可以跟蹤它，然后找到它。這個財務部門過去一直使用的筆記本，接下來的命運是被鎖在一個壁櫥中一個半月。”