現(xiàn)在可以將Network Access Control（NAC）措施工具擴(kuò)展到許多網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)管理工具。將NAC策略措施擴(kuò)展到這些設(shè)備可以加強(qiáng)訪問(wèn)控制，同時(shí)仍允許用戶(hù)和主機(jī)標(biāo)識(shí)作為每一個(gè)安全和管理工具的一部分使用。

整合用戶(hù)和主機(jī)標(biāo)識(shí)到安全和管理點(diǎn)就意味著能夠創(chuàng)建可以識(shí)別身份的防火墻設(shè)施、在訪問(wèn)控制中使用身份檢測(cè)和阻止或入侵阻止系統(tǒng) (IPS)監(jiān)控、應(yīng)用企業(yè)反病毒工具到訪問(wèn)網(wǎng)絡(luò)的設(shè)備，以及為遠(yuǎn)程用戶(hù)強(qiáng)化NAC策略。

擴(kuò)展NAC

因?yàn)槭袌?chǎng)中的NAC已經(jīng)很成熟了，并且新的API和標(biāo)準(zhǔn)已經(jīng)發(fā)布，你可以從許多可能的措施模型中作選擇。

下面將討論一些潛在的策略實(shí)施點(diǎn)，它們可以在一個(gè)包含目前領(lǐng)先的NAC方案的NAC環(huán)境中使用。你不能在所有NAC方案中使用所有這些實(shí)施點(diǎn)，同時(shí)也不是所有實(shí)施點(diǎn)供應(yīng)商都支持實(shí)現(xiàn)這個(gè)目標(biāo)所需要的標(biāo)準(zhǔn)和API。但我們將在你繼續(xù)一個(gè)NAC部署之前介紹它的可能性，這樣你就能夠確定在安全策略中你的組織網(wǎng)絡(luò)和安全目標(biāo)是否需要一個(gè)整合其它安全設(shè)備的方案。

這些實(shí)施點(diǎn)的其中一部分有不同的表現(xiàn)因數(shù)。多功能的網(wǎng)絡(luò)和安全設(shè)備在近幾年已經(jīng)變得很流行——在許多情況下，包含了下面所討論的所有實(shí)施模型。

注意：以下所描述的是邏輯實(shí)施模塊，而不是完全獨(dú)立的設(shè)備和器件。

防火墻措施

可能你的單位已經(jīng)在網(wǎng)絡(luò)的不同地方部署了許多防火墻，如

網(wǎng)絡(luò)入口和出口

數(shù)據(jù)中心之前

獨(dú)立的位置和部門(mén)

由于這些策略的出現(xiàn)，防火墻就在邏輯上成為一個(gè)你可以擴(kuò)展NAC實(shí)施的點(diǎn)。

提示：事實(shí)上，一些NAC解決方案已經(jīng)使用防火墻作為一個(gè)實(shí)施點(diǎn)。然而，對(duì)于其它NAC解決方案，將NAC擴(kuò)展到防火墻需要通過(guò)API和標(biāo)準(zhǔn)進(jìn)行整合。

防火墻也提供了很好的NAC實(shí)施點(diǎn)，因?yàn)榻M織可能將一些策略類(lèi)型基于每一個(gè)用戶(hù)或角色制定的。比如，安置在一個(gè)企業(yè)數(shù)據(jù)中心之前并且整合了NAC方案的防火墻可以允許組織為網(wǎng)絡(luò)的每組用戶(hù)定義非常細(xì)粒度的基于角色的策略。這個(gè)組織可能允許所有員工訪問(wèn)諸如電子郵件服務(wù)器和某些文件共享，但它可以使用防火墻策略來(lái)只允許財(cái)務(wù)人員訪問(wèn)敏感的財(cái)務(wù)數(shù)據(jù)和應(yīng)用。

這個(gè)概念現(xiàn)在更多地被稱(chēng)為“已經(jīng)身份認(rèn)證的防火墻（identity-aware firewalling）”，它在所有行業(yè)的組織越來(lái)越受到歡迎——不僅包括那些滿(mǎn)足條例法令的組織，如Sarbanes-Oxley (SOX)、The Health Insurance Portability和Accountability Act (HIPAA)，也包括任何需要?jiǎng)澐志W(wǎng)絡(luò)和根據(jù)用戶(hù)職能進(jìn)行信息訪問(wèn)控制的組織。從適應(yīng)性上看，現(xiàn)在防火墻可以看到用戶(hù)，不僅允許組織實(shí)施細(xì)粒度訪問(wèn)控制，也可以檢驗(yàn)審計(jì)和其它已經(jīng)實(shí)施的報(bào)表需求。

在現(xiàn)在的移動(dòng)世界中，來(lái)自多個(gè)位置和設(shè)備的用戶(hù)可能在任何時(shí)候出現(xiàn)在公司網(wǎng)絡(luò)的任何地方。結(jié)果，一些靜態(tài)定義的源和目標(biāo)IP地址——基于防火墻策略的——已經(jīng)不再精確。通過(guò)激活NAC的防火墻策略，你不需要再依賴(lài)于靜態(tài)防火墻策略，從而允許防火墻必須跟蹤在不同位置和設(shè)備上移動(dòng)的用戶(hù)。這個(gè)策略與當(dāng)初制定策略的方法和出發(fā)點(diǎn)更加一致了。防火墻安全策略不再需要等到用戶(hù)物理地在辦公臺(tái)上連接到以太網(wǎng)端口時(shí)才應(yīng)用?，F(xiàn)在防火墻可以基于用戶(hù)和用戶(hù)組實(shí)施策略。

IDP/IPS措施

你可以使用入侵檢測(cè)和阻擋（IDP）或入侵阻擋系統(tǒng)（IPS）設(shè)備作為監(jiān)控企業(yè)網(wǎng)絡(luò)最終用戶(hù)行為的機(jī)制，它提供了一個(gè)反饋回路，你的NAC方案可以用來(lái)基于最終用戶(hù)行為修改訪問(wèn)控制決策。

這些相同的系統(tǒng)能夠識(shí)別所有通過(guò)的流量。在許多情況中，組織已經(jīng)部署IDP/IPS，這樣它們不僅能夠確定某個(gè)流量是否為惡意的，也能確定哪種應(yīng)用在使用該流量。這些系統(tǒng)能夠基于這個(gè)技術(shù)限制對(duì)特定應(yīng)用的訪問(wèn)。

比如，一個(gè)組織可能不希望用戶(hù)在網(wǎng)絡(luò)中使用點(diǎn)對(duì)點(diǎn)應(yīng)用或者未批準(zhǔn)的即時(shí)通訊應(yīng)用，所以正確部署的IDP/IPS系統(tǒng)能夠通過(guò)丟棄不在策略規(guī)定范圍的流量來(lái)幫助實(shí)現(xiàn)這種應(yīng)用級(jí)的控制。

通過(guò)擴(kuò)展這種類(lèi)型的系統(tǒng)到NAC中，這些策略現(xiàn)在可以變成基于角色的。比如，特定組的用戶(hù)可能有合法的理由使用特定的點(diǎn)對(duì)點(diǎn)應(yīng)用。通過(guò)將NAC擴(kuò)展到IDP/IPS，你可以允許這些特定的用戶(hù)使用這些應(yīng)用而完全限制其他用戶(hù)。

因?yàn)樽罱K用戶(hù)會(huì)將許多他們自己的設(shè)備接入到企業(yè)網(wǎng)絡(luò)中，所以這種策略實(shí)施能夠阻擋不受歡迎的應(yīng)用的網(wǎng)絡(luò)訪問(wèn)——你可以在用戶(hù)從受管理的筆記本和PC連接網(wǎng)絡(luò)時(shí)限制他們安裝這些相同的應(yīng)用。

整合使你現(xiàn)在使用的NAC策略更加細(xì)粒度——在應(yīng)用層，而不是在網(wǎng)絡(luò)層——從而給你在許多標(biāo)準(zhǔn)NAC解決方案中所沒(méi)有的控制級(jí)別。

表1只列出一些你可能應(yīng)用在你組織中的策略。事實(shí)上，如果你有一個(gè)具備這些功能的IDP/IPS解決方案，你可能已經(jīng)使用這些類(lèi)型策略。但是如果你在IDP/IPS策略中包含了NAC，你就基于具體用戶(hù)或用戶(hù)組選擇或修改策略的類(lèi)型，而不是基于源和目標(biāo)IP地址設(shè)置策略。這種類(lèi)型的策略很適合應(yīng)用在有不同角色的移動(dòng)用戶(hù)的組織中。

【編輯推薦】

1. 思科NAC解決方案核心：可信代理
2. CISCO NAC和CAS技術(shù)資料
3. 網(wǎng)絡(luò)訪問(wèn)控制（NAC）是否現(xiàn)在就該部署