如何从NAC解决方案中获得投资回报

　　实现有关NAC的好处肯定还是有很多希望的，这些好处包括对适当的用户快速进行身份识别，以及保证所有的端点设备只有在符合内部安全政策之后才能够访问。而这些政策则包括确保安全设置(如防火墙、杀毒特征和补丁水平)保持最新状态。

　　在操作正确的时候，NAC应该创建一个通信更流畅、很少受到恶意软件感染、没有安全突破的相关风险和显著减少关机时间的网络。如果所有这些都能实现，为什么很难从NAC解决方案中获得投资回报呢?

　　答案就是，许多NAC解决方案是以下面这种方法设计的：他们需要显著地并且通常是反复地改变当前的网络基础设施。无论它是需要安装在每一个位置的网络设备，还是必须安装在每一个端点的客户端代理，许多NAC解决方案都需要大量的提前投资。他们还需要许多系统和网络变化以及连续不断的照看。所有这些开销减少了从NAC解决方案中获得的成本的好处。

　　基于硬件的NAC的高成本

　　基于硬件的NAC解决方案一般会提高NAC实施的成本。这至少有两个原因。第一，设备通常需要安装在每一个地方。对于有许多分布在各个地方的站点的机构来说，这样做显然是很昂贵的。虽然采取802.1x等带外的方法会降低成本，但是，它们仍需要高水平的网络和服务器配置变化并且需要一些端口跟踪交换机。这不仅提高了管理成本，而且还增加了网络设置错误的风险。

　　第二，管理员必须要完成许多耗费时间的工作才能让执行NAC部署工作。他们必须要协调所有的NAC管理流程，向这种设备提供更新，重新配置网络，增加新的服务器，安装设备，配置新的虚拟局域网和重新设置路由器和交换机。这些过程不仅耗费时间，而且由于网络变化管理的机会有限，这些工作的需求是很大的。

　　当使用高薪的管理员做这些工作的时候，这些过程的成本是很高的。每一次安装一台新的交换机或者更新的时候都需要重复这些步骤。　基于代理的NAC的高成本

　　基于代理的NAC也是非常昂贵的。这个原因很明显：软件代理不仅需要安装到每一个端点，而且为NAC进行的网络修改必须要维护。就像带内的解决方案一样，这是IT团队承担的另一项不必要的成本和负担。此外，每一次这个代理出现问题时，都会引起大量的服务台的电话。

　　不过，尽管存在这些缺点，基于代理的NAC仍有两个重要的好处。第一，它对每一个端点提供了高水平的审查，这对安全是有帮助的。第二，代理不容易中断网络通信(如果你能找到一个平静地在后台运行的代理)。代理只在必要的时候向政策服务器发送更新的软件，因此不会阻塞网络通信。

　　尽管有这些好处，在每一个端点(特别是在无人管理的和移动端点)安装和管理另一个的应用程序的需求不能提供任何节省的好处，如果需要修改和重新配置正在使用的网络的话。

　　动态NAC开始发挥作用

　　所有这一切把我们带到了动态NAC，也就是DNAC。DNAC利用现有的网络基础设施获得NAC的好处，但是，没有所有这些开销。采用DNAC，不需要任何网络变化。这本身就提供了理想的节省实施的费用。

　　实现这个目的是因为DNAC利用现有的PC作为强制执行政策的设备。不需要专用的设备和PC(就像基于硬件和软件的NAC解决方案那样)。而且当远程接入VPN可能需要设备的时候，他们肯定不会每一个地方或者每一个网段都需要这种设备。对于拥有多个站点任何企业来说，不需要在每一个站点安装设备都将节省大量的费用。

　　P2P NAC说明

　　虽然有代理，这些代理不需要安装在所有的端点(如不支持这个功能的嵌入式设备或者操作系统)。这也称作P2P NAC，因为强制执行程序不断地查看不遵守规则的系统。这种方法也不需要对网络进行任何改变。这些代理(有些代理是强制执行程序)要安装在可信赖的系统中。这很像使用警察部队一样，执法人员仅占总人口的很小比例就能保证每一个人都遵守法律。

　　只要有必要，额外的系统就能够代理这个功能，因此这个系统将随着网络的增长而扩大规模。这样，就可能对代理和NAC的全部好处进行深入的审计。这样，就可能在没有基于硬件的NAC的烦恼和大量地改变网络设置的情况下完成所有这些工作。

　　例如，假设许多强制执行程序安装在一个局域网的台式电脑上。很快，一台不可信赖的系统试图登录这个网络。这些强制执行程序在它们得到检查之前将限制网络通信。同时，这些强制执行程序将不断地与中央政策服务器沟通了解采取什么补救措施，如果有必要的话。因此，一个系统可能被完全隔离，或者被禁止访问某个网段，或者仅允许访问互联网。

　　NAC解决方案节省成本的好处

　　通过选择一个显著限制硬件和设置改变数量并且不需要网络变化的NAC解决方案，你将显著减少部署NAC解决方案的成本。你还能够很快从减少端点感染、提供审计和遵守法规的报告以及产生较少的服务台电话等方面获得节省成本的好处。