【IT专家网独家】概述

　　拥有企业级的安全规范策略和访问控制对于保护组织免受可能的威胁是至关重要的。核心架构和基于网络的资源必须通过企业范围内的多个访问点来得以防护。高度集成的、多层的安全系统是控制威胁对这些资源造成危害的最佳方法。

　　有效的企业NAC解决方案依赖于网络强化规范并坚决地阻止或隔离对未授权计算机的能力。

　　NAC方案通过定义和管理安全策略，并引入性能评估和增强化的方法来控制对网络的访问，从而可以减少组织的漏洞。最佳的NAC方案准许对已知的和安全用户的受控访问，同时还可以禁用或控制那些用户计算机上的高风险应用程序。此外，通过配置领先的NAC方案可以防止或隔离未授权或未知计算机的访问。虽然多数用户并没有恶意企图，但未授权的计算机会给组织带来巨大的安全风险。

　　一个完整的NAC方案的关键要求是确认并阻止这种欺诈性计算机，如一个有意绕过标准的网络连接方法的计算机，有可能是恶意的。

　　NAC怎样处理欺诈性设备

　　NAC方案通过评估并强化计算机的安全状态而准许授权的计算机访问，在端点计算机遵循企业的安全策略时，就允许其访问;在不遵循时，就要对其进行隔离或禁止。通过使用基于网络的和基于客户端的增强组合(如DHCP、 802.1X、 无线局域网、SSL 或者IPSec VPN，以及基于客户端的增强等)，这些功能在执行起来最为有效。在多数情况下，网络和客户端软件提供了必须的增强和隔离机制。不过，在有些情况下，基于网络的强化机制并不能完全地强化安全规范。

　　将NAC安装到一个典型的环境中

　　一旦一个组织已经确认NAC方案的需要，而且实施并对其终端用户部署了安全策略，那么提出另外的要求也就是非常自然的事情，如防止未授权的计算机连接到网络。

　　一个完整的NAC方案应当执行下面的动作：

　　以最小的影响和成本改变与现有的网络配置方案的可靠集成

　　为组织的安全策略提供全面的支持，并拥有构建和管理支持这些策略的能力。

　　保持足够的灵活性以满足新的策略

　　提供超过基于标准网络的强化性能，并可以确认和为所有试图访问网络的用户(已知的和未知的)提供保护。

　　虽然802.1能够提供强健而可靠的环境，但当今在用的许多交换机并不支持802.1X，而且许多组织并不愿意接受升级所造成的成本和对现有网络的影响。还有，802.1X必须施行于全部用户集体，任何没有强化的区域都易遭受攻击。当今的多数组织都希望从其现有的增强机制中获得最大的益处，多数情况下也就是从DHCP中获益。最大的风险在于一台欺诈性计算机使用一个静态的IP地址来访问网络。

　　一个可对现有的已经部署好的网络架构进行增强的NAC方案可以极大地减少成本，不过，在完成其NAC特性时，所增加的识别和阻止未授权计算机的方法就成为了一个关键问题。

　　对于网络的考虑

　　今天部署的许多企业网络都易于受到恶意软件和未授权用户的攻击：

　　开放性的环境允许多种不同类型的用户访问信息和服务，包括雇员、客户、厂商、合约人和供应商等。

　　可信的个别用户日益增加的访问，导致不可信用户访问网络的更高风险，这有可能将企业置于风险之中。

　　因此，一个NAC方案应当确保网络得到了足够的保护。