利用网络访问管理（NAC)保障系统安全

　　以前安全这个词就意味着坚固的锁，足够的围墙，防护栏以及一只脾气暴躁的德国黑贝。而到了计算机上，就完全不一样了，计算机安全需要防御所有病毒和恶意软件——包括防火墙，入侵防护系统（IPS）以及加密技术。

　　而且好的安全方案中还会有另一项技术——网络访问管理（NAC）或者网络许可管理。这项技术主要就是为了确保人们在任何地方访问公司网络时使用的任何设备（称为终端，比如笔记本，PC，黑莓，手持设备等等）都不受威胁，并且不会感染整个网络。

　　“NAC技术使得公司可以控制登陆他们网络的人的权限，”Nemertes研究公司的高级副总裁以及合伙人AndressM说。“它能够对已经被漫游用户、无线访问以及分段网络所侵蚀的周边安全策略提供补充。它还会阻止被感染的系统登陆到网络并传播病毒。”

　　尽管很多卖家把NAC当作通用概念，实际上它的框架是来自思科系统的，是做为思科自动防御网络的愿景的一部分的。该框架包括网络交换机和路由器的特性，还有很多其他思科产品。NAC不是一项标准，但是它整合了很多现存的标准。

　　另外，NAC的一些特定方面正在逐渐地标准化，比如客户机汇报自身情况给网络执行设备的交互点。但是，其他的围绕策略存储和执行的方面还远没有达成任何一致的标准。

　　更进一步讲，NAC的定义已经超出了思科的框架，而成为了更通用的概念，它意味着“管理对网络的访问，并有选择地检查终端的状况”。更多的供应商都是使用这个定义的，而不是思科所提出的NAC方案。微软也有一个同类框架，叫做网络访问防护（NAP）。其他组织也正在提出与思科不同的NAC标准。

　　“别管这些字母组合了，反正标准化的进程缓慢地进行了4年多，”Antonopoulos说。“NAC和NAP这些框架，它们在有些方面存在互用性，但是没有通用标准。”

　　谁需要NAC？

　　NAC显然不是每个小企业必须的功能之一。除了最精密的家庭办公室，所有小企业都会对它避之不及。类似地，对于那些没有采用很多防毒、防间谍软件以及防火墙措施的公司，NAC也不会解决它们所有的问题。还有那些还没有建立自己的、由至少1个交换机和一到两个路由器组成的内部局域网的公司，也很可能没有合适的设备来调整NAC——更不用说有什么直接需求了。

　　“少于100人的公司会觉得这个功能实现起来成本太高了，主要是因为它太复杂并且公司缺少IT员工，而不是因为钱的原因，”Antonopoulos说。“随着技术的逐渐成熟，越来越多的小企业会使用它的。”

　　ConSentry网络的高级产品市场总监Michelle McLean也认为，小企业可能不需要NAC。毕竟企业越小，它越能控制访问网络的人员。这种企业更容易识别内部人士和外部人士，并且也可以进行手动操作。

　　“小型企业不会觉得单独设置一套NAC很有价值，除非它拥有上百人在同一个地方办公，”McLean说，“但是，小型企业还有个选择就是使用那种包含NAC的产品设备，比如安全交换机，这样它们就可以在给交换机升级的同时将NAC引入企业网络。”

　　然而，思科并不同意这个观点，它声称目标用户是很广泛的。

　　“任何依靠内部网络来进行基本操作——生成订单、跟踪记录、存储文件或者进行商业流程——的公司都能、也应当考虑使用NAC，”思科的产品市场经理Irene Sandler说。“我们现在有少于100个雇员，但却有数千的客户。”

　　选择产品

　　企业可以选择的NAC产品种类很多。例如，ConSentry LANShield控制器是一种自足的、独立的NAC装置，对当前网络不会造成影响。而对中小企业来说，CS1000模式性价比最高并且支持800以上的用户。LANShield平台支持授权以及状态检查功能、查看整个网络的所有用户和应用，按照身份来限制用户在局域网上的权限，还有匿名检测和限制。LANShield控制器起步价为17995万美元。另外，中小企业把线机柜升级成交换机时也可能尝试选择LANShield交换机。它具有LANShield控制器相同功能，但是却是48口的千兆以太网交换机。它的价格是12995美元。

　　赛门铁克公司提供赛门铁克终端防护服务，它将杀毒、防间谍软件以及“配置NAC”终端软件三项功能结合到一起，目前该服务的Beta测试程序可以免费下载。但是，需要注意的是，该产品需要用赛门铁壳网络访问控制来集中控制终端，并在那些终端实现NAC策略。赛门铁克计划发布NAC产品的入门级版本。同时，赛门铁克当前NAC产品的价格是每位员工40美元。

　　“可以在进行赛门铁克终端保护的中央控制台上应用这些策略，不需要配置任何额外的代理，”赛门铁克的高级产品经理Patrick Wheeler说。“不需任何复杂的网络级组件，不需改变网络体系，并且不需添加额外的代理或者策略服务器——用户只要使用现有的赛门铁克终端保护配置功能就行了。”

　　跟Consentry类似，Cisco的NAC器械，带有一个服务器和一个管理器。解决方案是按服务器收费，而不是根据终端数量来算的，这是因为人们一般无法确切知道网络中一共有多少的终端。因此，Cisco根据任何给定时间预计的在线的用户数量来服务器license的价格。无论规模如何，你都只需一个管理器就行了。最低的同时在线数量是100，相应的费用是差不多18000美元。

　　另外NAC领域其他供应商还有Vernier Network和Foundry Networks Inc。

　　直接体验

　　加州Sunnyvale的Omneon Video Networks公司拥有250名员工，它使用ConSentry的网络LANShield控制器来控制客人登录到网络中的操作。

　　Omneon是家提供流媒体服务器以及优化工作流程和数字媒体的无线可靠性服务的公司。“经常会有客人希望在会议室上网”，该公司的IT总监Steve Berg说。“我们迫切需要有台单独的设备负责管理客人的联网服务。”

　　例如，Omneon的合作伙伴们经常会现场用Omneon的硬件测试他们的软件产品。类似地，各分销商以及用户们也会经常拜访他们总部。但是，一旦这些人中的任何人连到网络中，那么就会造成一定的数据风险，并且有可能使恶意软件威胁到网络。但是如果拒绝让他们登入网络，那显然不是做生意之道。使用ConSentry的话，我们就可以控制他们的访问，监视他们的网络传输，隔离那些引入特定威胁的机器，设定策略并维护网络安全。

　　加州另一家公司，Novato则在硬盘抢救数据恢复方面应用了更小规模的配置。该公司的80名员工协助从毁坏严重的硬盘中抢救重要数据。为了更好地管理本地和远程的终端，更好地保护关键应用程序，该公司安装了思科的NAC装置。