網(wǎng)絡(luò)接入對于企業(yè)來說是不可能避免的，脫離了網(wǎng)絡(luò)企業(yè)的效率將下降一大塊。但是網(wǎng)絡(luò)接入對于企業(yè)網(wǎng)絡(luò)安全問題來說，也是一個重點。網(wǎng)絡(luò)接入控制診斷端點的例子包括其當前補丁的水平和功能以及最新的殺毒軟件和個人防火墻軟件。只有在某些東西出錯時用戶才知道自己的系統(tǒng)不符合規(guī)定。然后，用戶將被引導到內(nèi)部網(wǎng)門戶。用戶將在那里升級到合適的安全水平。

對于小企業(yè)和大型企業(yè)來說，這種高度動態(tài)的安全水平將使他們獲得許多好處。一個擁有網(wǎng)絡(luò)接入控制功能的網(wǎng)絡(luò)不僅運行得更安全，而且效率更高，符合遵守法規(guī)的要求并且產(chǎn)生的服務(wù)臺電話更少。雖然網(wǎng)絡(luò)接入控制的好處是顯而易見的，但是，網(wǎng)絡(luò)接入控制解決方案完成工作的方法是比較復(fù)雜的，無論這種解決方案是基于硬件的、線路內(nèi)部的、帶外的、代理的還是沒有代理的都是如此。

基于硬件的網(wǎng)絡(luò)接入控制

我們首先看看基于硬件的方法是如何發(fā)揮作用的。這種形式的網(wǎng)絡(luò)接入控制一般需要一臺設(shè)備。這臺設(shè)備在內(nèi)部網(wǎng)絡(luò)中運行或者在通訊的帶外運行。有些這類設(shè)備可以取代接入交換機，而有些這類設(shè)備在接入層和網(wǎng)絡(luò)交換機之間工作。無論采用哪一種方法，都需要考慮部署、管理和運行變化等許多問題。

首先，基于硬件的網(wǎng)絡(luò)接入控制解決方案有許多固有的缺陷。最主要的是它創(chuàng)建了這個網(wǎng)絡(luò)上的一個單個的故障點。這種設(shè)備還會影響網(wǎng)絡(luò)通訊，對于地理上分散的或者高度分散的網(wǎng)絡(luò)也許是不理想的。不僅需要每個地方都安裝一臺這種設(shè)備，而且還要進一步安裝到網(wǎng)絡(luò)上。這些方法為網(wǎng)絡(luò)通訊提供了較少的可見性。當你在一個大型子網(wǎng)上看不到或者不能阻止一個入侵者的通訊的時候，很難相信使用網(wǎng)絡(luò)接入控制設(shè)備會更安全。

此外，帶外的方法(如使用802.11的設(shè)備)常常需要更高水平的網(wǎng)絡(luò)和服務(wù)器設(shè)置變化以及要跟蹤的端口。這不僅增加了網(wǎng)絡(luò)管理成本而且還提高了錯誤的風險。

基于代理和無代理的網(wǎng)絡(luò)接入控制

接下來是受到許多批評的基于代理的方法。沒人愿意安裝、升級和維護另一個端點應(yīng)用程序。這是IT團隊的一個額外負擔，是引起服務(wù)臺電話驟增的催化劑。

因為代理位于端點上，使用代理的缺點是它需要采用更高水平的審查。這種審查有助于改善安全?，F(xiàn)實是，代理不是可用的顛覆性的解決方案，特別是在它進入網(wǎng)絡(luò)通訊的時候。這是因為代理是在后臺悄悄運行的，僅僅向政策服務(wù)器發(fā)送定期的更新，保證全面強制執(zhí)行安全政策。但是，讓我們面對這個問題：沒有人愿意安裝另一個應(yīng)用程序，不管這個安全回報是多么高。

接下來是無代理的網(wǎng)絡(luò)接入控制。無代理的網(wǎng)絡(luò)接入控制的常見方法包括在允許端點設(shè)備進入網(wǎng)絡(luò)之前對端點設(shè)備進行安全漏洞掃描或者政策評估掃描，或者同時進行這兩項掃描。不用說，這種做法會增加繁忙的網(wǎng)絡(luò)的負擔。這個掃描的結(jié)果將發(fā)送到一個政策服務(wù)器，如果有必要的話，將對任何不遵守規(guī)定的系統(tǒng)取補救措施。

無代理網(wǎng)絡(luò)接入控制的潛力是明顯的：不需要安裝任何代理。遺憾的是它并非那樣簡單?？偸怯幸恍┎焕姆矫?。無代理的方法不能提供一個一致的方法來全面評估這個端點的狀態(tài)。此外，身份是通過檢查網(wǎng)絡(luò)通訊確定的，用戶能夠欺騙這個方法。

動態(tài)網(wǎng)絡(luò)接入控制

采用動態(tài)網(wǎng)絡(luò)接入控制，有一些代理，但是，這些代理僅安裝在一定比例的系統(tǒng)中。此外，這種方法也稱作P2P網(wǎng)絡(luò)接入，不需要對網(wǎng)絡(luò)進行任何改變，也不需要在每一個系統(tǒng)上安裝軟件。這些代理有一部分是“強制執(zhí)行者”，要安裝在可信賴的系統(tǒng)中，很像是警察部隊?？?cè)丝谥兄挥泻苄”壤膱?zhí)法隊伍來保證每一個人都遵守法規(guī)。采用這種方法可以得到與代理有關(guān)的高水平的安全以及網(wǎng)絡(luò)接入控制的全部好處，沒有基于硬件的網(wǎng)絡(luò)接入設(shè)備的麻煩，也不用在每一個網(wǎng)絡(luò)設(shè)備上安裝軟件。

例如，假設(shè)許多執(zhí)法者安裝到了一個局域網(wǎng)的臺式電腦中，一個不可信賴的系統(tǒng)試圖要登錄這個網(wǎng)絡(luò)。這些執(zhí)法者在對這個系統(tǒng)進行診斷之前將限制它的網(wǎng)絡(luò)通訊。此外，如果有必要的話，這些代理要不斷地與中央政策服務(wù)器進行聯(lián)系。因此，一個系統(tǒng)能夠完全隔離或者阻止訪問某一個網(wǎng)段，或者僅允許訪問互聯(lián)網(wǎng)。

正如你看到的那樣，網(wǎng)絡(luò)接入控制系統(tǒng)的工作方式有很大的差別。重要的是你要評估你的選擇，找到對于你的網(wǎng)絡(luò)來說最有效的、最節(jié)省成本的網(wǎng)絡(luò)接入控制解決方案。

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風險