近來(lái)，NAC(即網(wǎng)絡(luò)準(zhǔn)入控制：Network Admission Control)是一個(gè)非常流行的網(wǎng)絡(luò)安全主題。雖然有許多人聽(tīng)說(shuō)過(guò)這個(gè)詞，不過(guò)仍有許多人并沒(méi)有完全理解NAC是什么，以及如何利用它來(lái)改善其網(wǎng)絡(luò)安全。

什么是NAC?

NAC是一種允許對(duì)某個(gè)網(wǎng)絡(luò)進(jìn)行訪問(wèn)的方法，它通過(guò)遵循安全團(tuán)隊(duì)幫助構(gòu)建的一套標(biāo)準(zhǔn)而實(shí)現(xiàn)。它可以被用于多種設(shè)備上，從桌面設(shè)備到手持式PDA。它不是像防火墻那樣盲目地限制訪問(wèn)，NAC試圖將智能集成到網(wǎng)絡(luò)訪問(wèn)中?，F(xiàn)在可以選擇的NAC方案種類很多，實(shí)施一個(gè)NAC解決方案的原因也很多。本文將簡(jiǎn)潔地討論NAC的要領(lǐng)，并向你展示一個(gè)NAC方案如何有助于改善網(wǎng)絡(luò)的安全性。不過(guò)，記住下面一點(diǎn)是很重要的：對(duì)于多數(shù)方案，正確地計(jì)劃對(duì)于成功實(shí)施是極端重要的。

一個(gè)NAC方案的組成部分有哪些?

一個(gè)NAC方案有三個(gè)主要的組成部分：

 終端用戶設(shè)備
　　
 認(rèn)證系統(tǒng)
　　
策略服務(wù)器
　　
當(dāng)然，根據(jù)所選擇的方案不同，組成部分也相應(yīng)地有所變化。終端用戶設(shè)備典型情況下會(huì)安裝一個(gè)代理。終端用戶設(shè)備上的NAC代理能夠與策略服務(wù)器會(huì)話，這是一個(gè)方案的關(guān)鍵。下圖顯示了思科NAC設(shè)備(CNACA)的通信流快照：

上圖描述了一個(gè)帶內(nèi)(in-band)和帶外(out-of-band)設(shè)備服務(wù)器。這種方法確保了安全執(zhí)行標(biāo)準(zhǔn)的最大化執(zhí)行，不管你試圖在何處登錄網(wǎng)絡(luò),這是因?yàn)檫@個(gè)設(shè)備位于你和所需要的資源之間。沒(méi)有什么方法可以繞過(guò)它。

NAC如何改善網(wǎng)絡(luò)安全?

一個(gè)NAC方案能夠幫助你改善網(wǎng)絡(luò)安全的方法有好幾種。事實(shí)上，通過(guò)使用NAC，你可以得到更高的效率。

強(qiáng)制遵從

網(wǎng)絡(luò)和Windows系統(tǒng)管理員花費(fèi)大量時(shí)間來(lái)解決如何強(qiáng)制終端用戶設(shè)備遵循必要的Windows補(bǔ)丁、反病毒更新、防火墻設(shè)置等。幾年來(lái)，使用過(guò)各種方法來(lái)保持病毒定義文件的最新，保障病毒掃描的運(yùn)行，并且運(yùn)用了最新的補(bǔ)丁集等。所有的這些努力都已經(jīng)改進(jìn)了網(wǎng)絡(luò)的安全性，不過(guò)總有一些人為的因素會(huì)損害這個(gè)過(guò)程。例如，安全管理員可以使病毒定義文件的更新自動(dòng)化，但是終端用戶可以取消掃描或者禁用其代理。一個(gè)NAC方案能夠保障保障用戶必須遵循反病毒軟件的更新。

隔離

除了強(qiáng)制用戶執(zhí)行、遵循安全策略，一個(gè)NAC方案還可以檢測(cè)和隔離一個(gè)“不安全的”設(shè)備。如果你曾經(jīng)以人工方式利用訪問(wèn)控制列表解決過(guò)蠕蟲問(wèn)題，你就會(huì)理解將某個(gè)設(shè)備隔離到一個(gè)預(yù)定義的VLAN中的重要性。這是從一個(gè)中心點(diǎn)執(zhí)行的。

但效率并非只能從集中化中獲得。一個(gè)NAC解決方案不但能夠檢測(cè)和隔離，而且還能夠用恰當(dāng)?shù)牟《径x文件和補(bǔ)丁來(lái)更新設(shè)備，這樣就能在允許訪問(wèn)設(shè)備訪問(wèn)你的網(wǎng)絡(luò)之前，用一種最高最強(qiáng)的安全標(biāo)準(zhǔn)來(lái)設(shè)置設(shè)備，病毒和蠕蟲將沒(méi)有機(jī)會(huì)訪問(wèn)你的資源。如果你正確地設(shè)置了NAC方案，根據(jù)代理所報(bào)告的有關(guān)用戶身份，用戶將只能訪問(wèn)所需要的資源。 #p#

提供臨時(shí)用戶(來(lái)賓)訪問(wèn)

廠商和臨時(shí)用戶(來(lái)賓)訪問(wèn)是許多公司頗感頭疼的一個(gè)問(wèn)題。在無(wú)線網(wǎng)絡(luò)中這更是成為一個(gè)較難對(duì)付的問(wèn)題。對(duì)這個(gè)問(wèn)題的解決方案有很多，如隔離的客戶訪問(wèn)VLAN，基于WEB的展示等，或者來(lái)賓根本就不能訪問(wèn)你的站點(diǎn)等等。采用NAC之后，就不用為臨時(shí)用戶的訪問(wèn)而苦惱了，臨時(shí)用戶只是需要順從有關(guān)策略。以前這個(gè)過(guò)程完全是手工完成的，在設(shè)備被允許連接到網(wǎng)絡(luò)上之前，通常需要花費(fèi)幾個(gè)小時(shí)。所有這一切都是為了避免顯而易見(jiàn)的風(fēng)險(xiǎn)，不過(guò)對(duì)那些不太明顯的風(fēng)險(xiǎn)該怎么辦呢?

避免風(fēng)險(xiǎn)

在可實(shí)現(xiàn)的情況下，避免風(fēng)險(xiǎn)毫無(wú)疑問(wèn)是一個(gè)巨大的改進(jìn)。很明顯，防止蠕蟲的傳播可以避免風(fēng)險(xiǎn)，不過(guò)如何對(duì)待日常的風(fēng)險(xiǎn)性操作?VoIP給安全團(tuán)隊(duì)人員帶來(lái)的極大的壓力，因?yàn)樗麄兗纫獫M足其需要，又要保護(hù)其安全。防火墻策略的一個(gè)錯(cuò)誤就能夠?qū)⒄麄€(gè)組織的電話系統(tǒng)搞垮。一旦你的訪問(wèn)策略與NAC方案結(jié)合起來(lái)，你的防火墻將會(huì)少操一份心。

在購(gòu)買一個(gè)NAC方案之前需要考慮的問(wèn)題

對(duì)那些考慮采用某種方案的組織來(lái)說(shuō)，不了解問(wèn)題的方方面面對(duì)任何考慮采用某個(gè)解決方案的組織來(lái)說(shuō)始終是一個(gè)問(wèn)題。銷售人員喜歡利用這一點(diǎn)。不要成為某些大肆宣傳廣告品的犧牲品。在向一個(gè)NAC解決方案投資之前，有幾個(gè)問(wèn)題需要考慮。

一個(gè)NAC解決方案假使你已經(jīng)定義了一套高級(jí)策略集，如驗(yàn)證、安全、網(wǎng)絡(luò)訪問(wèn)，等等。在預(yù)算的范圍內(nèi)，專業(yè)服務(wù)始終是有幫助的。

如果你考慮將身份驗(yàn)證與NAC方案結(jié)合起來(lái)，一定要理解你的身份驗(yàn)證方案的限制問(wèn)題。例如，一個(gè)UNIX服務(wù)器之上的LDAP或NIS可能與桌面及微軟服務(wù)器的活動(dòng)目錄方案無(wú)關(guān)。你的銷售團(tuán)隊(duì)和內(nèi)部技術(shù)團(tuán)隊(duì)需要團(tuán)結(jié)起來(lái)討論這些限制的影響。關(guān)于總體上的身份驗(yàn)證，驗(yàn)證策略在所要保護(hù)的網(wǎng)絡(luò)的各個(gè)部分中保持一致性是很重要的。此外，你編寫一些你的組織培訓(xùn)所依賴的文檔資料也很重要。這些資料包括用戶ID的終結(jié)時(shí)間、跨平臺(tái)的功能性、或者已通過(guò)驗(yàn)證機(jī)制定義的訪問(wèn)，等等。

安全策略的制定是一場(chǎng)永遠(yuǎn)不可能終結(jié)的戰(zhàn)爭(zhēng)。其訣竅是在不損害業(yè)務(wù)關(guān)鍵過(guò)程的前提下執(zhí)行操作。在實(shí)施一個(gè)NAC方案之前需要考慮的一個(gè)問(wèn)題是一個(gè)NAC設(shè)備和防火墻的交互： NAC認(rèn)為某次訪問(wèn)應(yīng)該可用，而防火墻卻阻止之，這會(huì)發(fā)生什么事情?很好地定義這些安全策略能夠避免處理這些問(wèn)題。

網(wǎng)絡(luò)訪問(wèn)策略與你的網(wǎng)絡(luò)是如何設(shè)計(jì)的有很大關(guān)系。隨著企業(yè)的增長(zhǎng)，那些沒(méi)有細(xì)心設(shè)計(jì)的網(wǎng)絡(luò)將產(chǎn)生許多網(wǎng)絡(luò)訪問(wèn)策略有關(guān)的問(wèn)題。

反過(guò)來(lái)說(shuō)，設(shè)計(jì)糟糕的策略和增長(zhǎng)處理過(guò)程將給網(wǎng)絡(luò)的設(shè)計(jì)帶來(lái)困難。為了正確實(shí)施一個(gè)NAC方案，需要設(shè)計(jì)一個(gè)祥細(xì)的最新的網(wǎng)絡(luò)結(jié)構(gòu)圖。這雖然看起來(lái)很明顯，不過(guò)千萬(wàn)不要過(guò)分低估一個(gè)銷售團(tuán)隊(duì)的勤奮和執(zhí)著。記住，多數(shù)銷售團(tuán)隊(duì)會(huì)設(shè)法賣給你一個(gè)產(chǎn)品，然后快速地轉(zhuǎn)到下一個(gè)客戶。因此，購(gòu)買專業(yè)性服務(wù)是保持其興趣的好方法。此外，你可以從工程師那里得到大量實(shí)用的、特定領(lǐng)域的知識(shí)和經(jīng)驗(yàn)，這可以為你節(jié)省許多時(shí)間。否則，另請(qǐng)高明。

用NAC保障網(wǎng)絡(luò)安全

總體而言，一個(gè)NAC方案能夠極大地改善網(wǎng)絡(luò)的安全性。我們不應(yīng)該低估實(shí)施一個(gè)方案的計(jì)劃數(shù)量。你不但需要需要豐富的網(wǎng)絡(luò)資源，還需要Windows、安全、桌面、公司策略創(chuàng)建團(tuán)隊(duì)的緊密協(xié)作。

實(shí)施一個(gè)NAC并不是簡(jiǎn)單地安裝一個(gè)設(shè)備：必須對(duì)身份驗(yàn)證實(shí)現(xiàn)標(biāo)準(zhǔn)化，必須設(shè)置最小的桌面標(biāo)準(zhǔn)，后端的防火墻規(guī)則和網(wǎng)絡(luò)設(shè)備必須與你的NAC方案保持一致，以允許策略服務(wù)器試圖許可的訪問(wèn)。這些正是所有的組織奮力解決的問(wèn)題。如果你的組織還沒(méi)有最后確定這些問(wèn)題，那么至少需要將其放到你的NAC項(xiàng)目計(jì)劃中。一個(gè)NAC解決方案能夠保持終端用戶設(shè)備遵循策略，為臨時(shí)用戶提供一個(gè)安全簡(jiǎn)易的方法，使其能夠訪問(wèn)你的網(wǎng)絡(luò)，還使你可以審核網(wǎng)絡(luò)中的用戶訪問(wèn)活動(dòng)，并使你更有效率。NAC還可以禁止蠕蟲和病毒等惡意代碼在網(wǎng)絡(luò)中漫延擴(kuò)展，從而有助于減少風(fēng)險(xiǎn)管理任務(wù)。

【編輯推薦】

1. 用網(wǎng)絡(luò)訪問(wèn)控制(NAC)解決網(wǎng)絡(luò)安全問(wèn)題
2. 網(wǎng)絡(luò)上實(shí)施思科NAC五大步
3. 網(wǎng)絡(luò)接入控制（NAC）中標(biāo)準(zhǔn)的重要性