如何利用NAC提高网络安全性

简介：网络准入控制解决方案通过保持终端的兼容性可以让工作变得更加有效率。它可以让客户简便安全地访问企业网络，可以对用户的使用情况进行全面跟踪和分析。本文中，大卫·戴维斯将向你介绍，如何利用网络准入控制（NAC）提高网络的安全性。

最近一段时间，网络准入控制（ NAC ）是网络安全领域的流行话题。尽管很多人都听说过，但实际上他们并不理解网络准入控制是如何真正提高网络安全性的。

网络准入控制是什么？
网络准入控制是一个管理模式，可以按照设定好的安全策略对用户接入网络进行管理。它可以支持从台式机到掌上电脑在内的各种类型的终端设备。它并不是盲目地限制接入，而是通过防火墙的支持按照实际情况对接入进行管理。由于存在不同的要求和规模，所以有各种各样的网络准入控制解决方案可供选择。本文将简单介绍网络准入控制是如何改善网络安全性的。需要重点指出的是，象大多数解决方案一样，完善的规划是成功的关键。

网络准入控制解决方案有什么部分组成？
对于一个网络准入控制解决方案来说，有三个主要的部分：

终端设备
认证系统
策略服务器

当然，如果选择的解决方案不同的话，组成部分也是不仅相同的。终端设备通常会有相关的代理安装。作为客户，你想访问企业的内部网络，首先需要登陆相关的网站，并下载安装代理。如果你的终端符合安全要求的话，就可以被容许登入网络。在用户终端上可以与策略服务器联系的网络准入控制代理是整个安全解决方案的关键。图A显示的是思科网络准入控制设备的工作原理。

图A

这种模式下，需要一个支持现场和非现场应用的服务器。无论你在什么地方登陆，这样都可以确保最高级别的安全性。因为，该设备位于你和需要的资源之间，没有办法绕过它。

网络准入控制是如何提高网络安全性的？
网络准入控制解决方案可以通过多种方法提高公司网络的安全性和整体效率。实际上，通过网络准入控制你可以获得比希望得到的更多东西。

安全策略
对于网络和系统管理员来说，了解用户的设备是否安装了必须的操作系统的安全补丁、是否及时更新防病毒软件以及是否正确地设置了防火墙，是一件旷日持久很耗费时间的工作。已经有多种方法用于保证病毒库的及时更新，自动扫描已经开启，最新的安全补丁已经予以安装。所有这些努力都对网络的安全情况有所改善，但始终存在一些未被关注的角落。例如，尽管病毒库是可以自动更新的，但用户可能取消病毒扫描或者禁用他们的代理。网络准入控制解决方案可以确保更新的执行以及其它更多的工作。

监测
除了可以强制用户遵循相关的安全策略外，网络准入控制解决方案可以对“可疑”的设备进行监测和隔离。如果你遇到过蠕虫类病毒的攻击的话，就会明白解决方案中提供的从指定的局域网隔离相关可疑设备这样的功能的重要性。只有这个，才能避免蠕虫类病毒蔓延到整个网络。重复一下，这是一个非常关键的问题。

集中可以换来效率的极大提高，花费大量资金雇佣的安全和网络团队再也不必利用古老的手动方式来处理蠕虫和病毒。如同我们了解到的一样，网络准入控制解决方案不仅可以进行监测和清理，还可以在终端接入网络前对其安全情况进行分析和处理，让病毒和蠕虫再也不能对网络造成威胁。如果解决方案设置的合理恰当的话，代理将根据身份对权限做出正确的限制，让你可以也仅可以获得需要的资料。

客户访问控制
供应商和客户的访问，对于大部分公司的网络安全来说愈来愈成为一个大问题。特别是与无线相联系的话。借用的电脑、通过虚拟局域网访问的孤立客户以及基于网络的演示文稿（这使得他们能够使用任何当前的电脑）让整个问题显得更加复杂了。在网络准入控制的帮助下，客户的访问将可以轻松给予兼容。而不必象以前那样，需要几个小时的工作才能将访问加入到网络中。所有这一切都是在试图避免可见的风险，但对于隐藏的风险，又该怎么办呢？

规避风险
如果可以实现风险规避的话，对于网络安全的可靠性来说，是一个很大的提高。很明显，防止蠕虫病毒的蔓延是避免风险，但日常风险应该怎么办？IP语音给安全团队带来了极大的压力，如何实现既满足用户的要求，又保证其安全性。一个防火墙的安全设置就可能导致整个公司的电话系统完全瘫痪。一旦网络准入控制解决方案开始对访问策略进行管理，那防火墙管理员的担忧就少了一个。

部署网络准入控制解决方案需要注意的事项
对于公司来说，不知道到底需要什么样的解决方案一直是一个问题。对于销售员来说，这正是他们最喜欢的。如何才能作到物尽其用，而不是贪大求全；在选择网络准入控制解决方案时，需要注意下面几件事情。

一个网络准入控制解决方案应该包括相当完善的安全策略，象身份认证、安全和网络接入等必须包括在内。如果预算许可的话，专业服务也是非常有帮助的。

如果你希望对网络准入控制解决方案进行捆绑安装的话，那请务必注意认证解决方案的局限性。举例来说，LDAP或NIS的Unix服务器可能无法兼容采用了活动目录解决方案的微软台式机和服务器。你的的销售团队和内部技术团队需要齐集一堂，讨论这些限制带来的影响。考虑到认证是全面的，因此必须保证需要保护的整个网络的认证策略是一致的。对于进行培训来说，书面资料是非常重要的，象身份认证、跨平台功能以及确认机制都是应该被包括在内的。

对于网络安全来说，安全策略的设置是一场永无休止的战斗。而且，也并不被大家所欢迎，还经常被认为仅仅是对公司进行保护，而对个人来说没什么用处。如何才能在不影响关键业务流程的情况下进行处理。为了确保解决方案中功能的正确使用，安全策略必须加以清楚的界定，以保证执行的可靠性。实施的时间，还需要注意网络准入控制解决方案和防火墙整合的问题，以防止它们发生冲突。只有有了清楚界定的安全策略，技术团队才能对问题进行合理的处置。

网络接入策略实施的好坏与网络设计的情况有很大的关系，设计不完善的网络将会在企业发展的过程中给网络接入策略的实施过程带来大量的问题。

从另一方面来说，设置不完善的策略和处理方式也会导致网络实施的不合理。无论采用哪种方式，详尽的切合时宜的安装流程对于网络准入控制解决方案来说都是妥善的解决办法。虽然看上去很简单，但是不要高估销售人员的能力。请记住，大多数的销售团队只关心出售给你产品，然后尽快到下一个客户那里。采购专业服务是保持他们兴趣很好的一个方式；此外，项目工程师拥有大量的实地经验，可以为你节省大量的时间。如果没有的话，要询问是谁负责相关事宜。

确保网络准入控制解决方案的正常使用
整体而言，网络准入控制解决方案可以大大提高网络的安全性。但是，绝对不要低估实施这样大规模的解决方案的难度。你不仅需要一个网络知识库，还需要将操作系统、安全、桌面及企业的政策制定团队包含进来。

实施网络准入控制解决方案并不象普通的现场安装那么简单：身份验证必须规范化，桌面系统的最低标准需要设定，后端防火墙的规则和网络设备都必须和解决方案相兼容；所有这一切，都是为了保证策略服务器可以实现利用网络准入控制进行管理。这些都是所有公司关注的事情。如果贵公司并没有最后确定这些事项的话，那么，至少，他们需要制定网络准入控制解决方案的项目计划。网络准入控制解决方案可以通过保持最终用户设备兼容，让工作变得更有效率，为客户访问企业网络提供了一个安全简便的方法，还可以对用户的访问情况进行全面的跟踪和分析。此外，它还可以阻止蠕虫和病毒蔓延整个网络，影响正常运行，提高网络的抗风险能力。