选购恰当NAC产品之六条建议

　　1. 在开始购买之前，对认证、端点安全、访问控制和全面的管理等方面进行一个优先次序的排队

　　NAC产品在融合这四个组成部分方面有着很大的不同。我们发现一体化的NAC产品趋向于强调端点的安全性，即认为端点的安全性要高于认证、访问控制和管理，因为对于正在寻求一种拥有强健的认证或强化特性的一体化NAC产品的网络管理员们来说，这是最大的“痛点”。但这并不意味着你不能找到一种拥有强健的认证或强化特性的一体化产品，不过你需要稍微深入地研究这些产品，以确信你理解每种产品在这些领域中的工作方式，从而保证它们可以满足你的要求。

　　2. 不必为是否可升级而烦恼

　　多数一体化的NAC产品都拥有某些带内(inband)组件，即使其内联仅位于用户连接过程的某个点上。在一个设备位于用户及其数据的之间关键路径上的任何时点上，都有可能存在着性能瓶颈问题。所有完全地内联于用户和网络其余部分的一体化NAC产品，都要求谨慎的性能管理。许多一体化的NAC厂商试图避免人们对性能问题的感觉，它们通过采取一种混合的方式来实现之：其产品仅在认证、端点安全性检查和/或强化过程中属于内联，然后重新配置动态交换架构。

　　同样的这些厂商中的某些成员要为传播关于竞争NAC实施方法的FUD而负责。通过认识到所有这些方法都有其交换选择，可以避免FUD因素，而且使所有的性能问题在所有的环境中全部消失是不可能实现的。

　　相反，应当确信你已经知道了你的真实性能要求是什么，并就其与潜在的厂商进行联系，不管其产品是内联或以某种混合方式运行。将同样的规范用于购买设备的文档资料中，这样在发生性能问题时，你就可以编写备份规则。

　　3. 要弄清楚实施端点安全性评估的原因。用NAC执行一致性检查与用NAC来检测恶意行为有着很大的不同。这种巨大的差异性精细地区分了一种一体化NAC产品与另外一种的区别。

　　一些企业关注NAC端点的安全措施,其目的是决定一个用户的桌面或笔记本电脑与公司的安全策略是否保持一致。虽然没有病毒检查程序或防火墙可以保证一个系统没有受到损害，一个设计良好的策略可以极大地减少出现问题的风险。还有一些企业并不关心遵循安全策略的问题，因为他们更愿意检测和隔离“行为不端”的系统和用户。

　　你要决定自己所处的阵营，并用自己的立场来缩小一体化产品的范围。我们发现没有任何一个NAC产品在两方面表现都特别出色，因此，即使你正在关注这两种特性，就要决定哪一种更重要，并在你的测试中强调它。因为你并不可能测试每种潜在的端点评估组合，所以你要提前决定对你来说最重要的东西，并关注那些强调你所重视内容的厂商及其主要的端点安全策略。

　　4. 不要为客户端过度担心

　　在应对NAC客户端代理软件的问题上，并没有绝对一致的恰当方法。虽然并不是每一种NAC产品总要求一个客户端代理，我们发现安装了一个客户端可以极大地简化许多NAC方案。不使用安装客户端的NAC实施方案存在着一些缺点，如浏览器特性禁用、拥有个人防火墙的用户在登录到网络上时对NAC产品“消化不良”等。

　　如果你的NAC策略要求在某个点上安装一个客户端，不要让你对其它产品的老经验而将其拒之门外。软件厂商已经学会了许多关于简化客户端软件安装和维护的方法，在许多情况下做得还不错。不要假定已安装的客户端是不可能之事，而盲目地选择某种一体化产品。

　　不过，同时也不要因为某个厂商没有给出一个其产品如何与Vista谐调一致地工作的说法而对其不屑一顾。微软已经在Vista中提供了一些实用的工具以帮助解决多方面的NAC问题，包括一系列的API问题及其自身的网络保护(NAP)框架。你可能目前并不打算转到Vista，不过早晚有一天你会投向它的怀抱。如果你使用了Vista的内置特性以避免安装一个NAC客户端，很明显地那是一个更安全的方案。一定要保证你的一体化NAC厂商并不是如此过于“一体化”，以至于它拒绝与微软Vista中内置的NAC特性整合。