NAC精要指南：什么是网络访问控制

　　网络接入控制或称网络访问控制，它是一套可用于定义在节点访问网络之前如何保障网络及节点安全的协议集合。NAC还集成了自动化的救治过程，准许网络设备(如路由器、交换机、防火墙等)密切协作，以支持服务器和终端用户的计算机，保障在进行交互之前信息系统可以进行安全的操作。

　　NAC已成为阻止潜在的窥探和攻击者的一种重要工具，也可用于管理更复杂的web许可和授权，这些许可和授权可适应于不同的用户组访问不同的网络部分。这项技术有助于企业增强其关于任何寻求网络访问的个人或设备的安全策略。NAC还有助于企业与外部的规章和内部的策略保持一致性，并可以保护网络资源免受不断发展的网络威胁的危害。

　　NAC的目标

　　NAC代表着一种安全产品，其目标可分为以下三个部分：

　　1.减少零日攻击风险。NAC方案的关键价值取向在于防止缺乏反病毒、补丁、主机入侵防御软件的终端访问网络资源，并可阻止这种设备将其它计算机置于风险之中。

　　2.增强策略。NAC方案允许网络操作员定义策略，如允许访问网络的用户角色或计算机类型是怎样的，并在交换机、路由器等网络设备中强化这些策略。

　　3.身份和访问管理。传统的IP网络根据IP地址增强访问策略，而NAC环境根据用户身份来增强安全。

　　NAC的救治策略

　　NAC是为了治病救人。NAC的操作人员部署NAC 产品的目的是为了禁止一些没有采取健全安全措施的客户端访问网络。如果用户会都拥有最新的补丁，并且都安装了防火墙和可升级的反病毒程序，还要NAC干什么呢?正因为如此，NAC要求采取一种机制来救治客户端的问题。

　　NAC有两种救治策略，一是是网络隔离，二是限制网络入口。

　　一个隔离网络是一个受限的IP网络，它可以向用户提供某些主机和应用程序的选择性访问。隔离通常是根据VLAN分配来实施的。当NAC产品认为某一个终端用户“过期”时，其交换机端口就分配给一个VLAN，此VLAN连接到补丁和更新服务器，而不能连接到网络的其余部分。除了VLAN方案之外，还可以采用地址管理技术(如地址解析协议和NDP协议)实现隔离，可以避免管理VLAN的高昂成本。

　　限制网络入口能截获到达网页的HTTP请求，将用户指引到一个能够提供计算机更新的指令和工具的web应用程序。直至其计算机通过了自动化的检查，除此网络入口之外的网络应用程序都不被许可。

　　NAC的类型

　　许多厂商都可以提供NAC技术和产品，其类型有很多种。根据其使用的主要方法，可将NAC分为如下几种类型：

　　1.基于代理的NAC：这种NAC产品依赖于安装到端点设备上的一个软件，即所谓代理。此代理与一个具有网络连接的NAC服务器或设备通信。这种方法相对简单，但不太灵活，并要求在终端设备上安装和运用特定的软件。

　　2.无代理的NAC：这种方法不要求在个人桌面和笔记本电脑等终端设备上安装一个特别代理。与之相反，代理是被存储在一个临时目录中的。不使用代理可使得部署更简单，并简化NAC的操作。

　　3.内联NAC：NAC的运行就如同一个网络访问层的防火墙一样，它掌管着通过它的所有客户端通信，并可以增强安全策略。这种方法相对简单，但会在较大的网络中产生吞吐量瓶颈。这种方法会随着时间的推移而引起成本增加，因为在通信量增加时，会要求增加更多的内联设备。

　　4.带外NAC：这种方法使用现有的架构来增强性能，它典型情况下是分布式的，因为客户端要将数据传输给一个中心控制台，从而能够交换机来增强策略。相对而言，这种方法颇为复杂，不过它对网络性能造成的负面影响更小一些。

　　小结

　　NAC似乎进入了百花争春的场面。这项技术的发展很快，每一个厂商对这种技术需要扮演的角色都有自己独到的诠释。市场的多样性使得NAC产品的购买者在面临多种产品时变得无所适从。另外一方面，正是由于其技术特性、方法、设计哲学的丰富多彩，才使得企业可以根据自己的需要选择最切近自己需要的NAC方案。