現(xiàn)在可以將Network Access Control（NAC）措施工具擴展到許多網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)管理工具。將NAC策略措施擴展到這些設(shè)備可以加強訪問控制，同時仍允許用戶和主機標(biāo)識作為每一個安全和管理工具的一部分使用。

整合用戶和主機標(biāo)識到安全和管理點就意味著能夠創(chuàng)建可以識別身份的防火墻設(shè)施、在訪問控制中使用身份檢測和阻止或入侵阻止系統(tǒng) (IPS)監(jiān)控、應(yīng)用企業(yè)反病毒工具到訪問網(wǎng)絡(luò)的設(shè)備，以及為遠程用戶強化NAC策略。

擴展NAC

因為市場中的NAC已經(jīng)很成熟了，并且新的API和標(biāo)準(zhǔn)已經(jīng)發(fā)布，你可以從許多可能的措施模型中作選擇。

下面將討論一些潛在的策略實施點，它們可以在一個包含目前領(lǐng)先的NAC方案的NAC環(huán)境中使用。你不能在所有NAC方案中使用所有這些實施點，同時也不是所有實施點供應(yīng)商都支持實現(xiàn)這個目標(biāo)所需要的標(biāo)準(zhǔn)和API。但我們將在你繼續(xù)一個NAC部署之前介紹它的可能性，這樣你就能夠確定在安全策略中你的組織網(wǎng)絡(luò)和安全目標(biāo)是否需要一個整合其它安全設(shè)備的方案。

這些實施點的其中一部分有不同的表現(xiàn)因數(shù)。多功能的網(wǎng)絡(luò)和安全設(shè)備在近幾年已經(jīng)變得很流行——在許多情況下，包含了下面所討論的所有實施模型。

注意：以下所描述的是邏輯實施模塊，而不是完全獨立的設(shè)備和器件。

防火墻措施

可能你的單位已經(jīng)在網(wǎng)絡(luò)的不同地方部署了許多防火墻，如

網(wǎng)絡(luò)入口和出口

數(shù)據(jù)中心之前

獨立的位置和部門

由于這些策略的出現(xiàn)，防火墻就在邏輯上成為一個你可以擴展NAC實施的點。

提示：事實上，一些NAC解決方案已經(jīng)使用防火墻作為一個實施點。然而，對于其它NAC解決方案，將NAC擴展到防火墻需要通過API和標(biāo)準(zhǔn)進行整合。

防火墻也提供了很好的NAC實施點，因為組織可能將一些策略類型基于每一個用戶或角色制定的。比如，安置在一個企業(yè)數(shù)據(jù)中心之前并且整合了NAC方案的防火墻可以允許組織為網(wǎng)絡(luò)的每組用戶定義非常細粒度的基于角色的策略。這個組織可能允許所有員工訪問諸如電子郵件服務(wù)器和某些文件共享，但它可以使用防火墻策略來只允許財務(wù)人員訪問敏感的財務(wù)數(shù)據(jù)和應(yīng)用。

這個概念現(xiàn)在更多地被稱為“已經(jīng)身份認證的防火墻（identity-aware firewalling）”，它在所有行業(yè)的組織越來越受到歡迎——不僅包括那些滿足條例法令的組織，如Sarbanes-Oxley (SOX)、The Health Insurance Portability和Accountability Act (HIPAA)，也包括任何需要劃分網(wǎng)絡(luò)和根據(jù)用戶職能進行信息訪問控制的組織。從適應(yīng)性上看，現(xiàn)在防火墻可以看到用戶，不僅允許組織實施細粒度訪問控制，也可以檢驗審計和其它已經(jīng)實施的報表需求。

在現(xiàn)在的移動世界中，來自多個位置和設(shè)備的用戶可能在任何時候出現(xiàn)在公司網(wǎng)絡(luò)的任何地方。結(jié)果，一些靜態(tài)定義的源和目標(biāo)IP地址——基于防火墻策略的——已經(jīng)不再精確。通過激活NAC的防火墻策略，你不需要再依賴于靜態(tài)防火墻策略，從而允許防火墻必須跟蹤在不同位置和設(shè)備上移動的用戶。這個策略與當(dāng)初制定策略的方法和出發(fā)點更加一致了。防火墻安全策略不再需要等到用戶物理地在辦公臺上連接到以太網(wǎng)端口時才應(yīng)用?，F(xiàn)在防火墻可以基于用戶和用戶組實施策略。

IDP/IPS措施

你可以使用入侵檢測和阻擋（IDP）或入侵阻擋系統(tǒng)（IPS）設(shè)備作為監(jiān)控企業(yè)網(wǎng)絡(luò)最終用戶行為的機制，它提供了一個反饋回路，你的NAC方案可以用來基于最終用戶行為修改訪問控制決策。

這些相同的系統(tǒng)能夠識別所有通過的流量。在許多情況中，組織已經(jīng)部署IDP/IPS，這樣它們不僅能夠確定某個流量是否為惡意的，也能確定哪種應(yīng)用在使用該流量。這些系統(tǒng)能夠基于這個技術(shù)限制對特定應(yīng)用的訪問。

比如，一個組織可能不希望用戶在網(wǎng)絡(luò)中使用點對點應(yīng)用或者未批準(zhǔn)的即時通訊應(yīng)用，所以正確部署的IDP/IPS系統(tǒng)能夠通過丟棄不在策略規(guī)定范圍的流量來幫助實現(xiàn)這種應(yīng)用級的控制。

通過擴展這種類型的系統(tǒng)到NAC中，這些策略現(xiàn)在可以變成基于角色的。比如，特定組的用戶可能有合法的理由使用特定的點對點應(yīng)用。通過將NAC擴展到IDP/IPS，你可以允許這些特定的用戶使用這些應(yīng)用而完全限制其他用戶。

因為最終用戶會將許多他們自己的設(shè)備接入到企業(yè)網(wǎng)絡(luò)中，所以這種策略實施能夠阻擋不受歡迎的應(yīng)用的網(wǎng)絡(luò)訪問——你可以在用戶從受管理的筆記本和PC連接網(wǎng)絡(luò)時限制他們安裝這些相同的應(yīng)用。

整合使你現(xiàn)在使用的NAC策略更加細粒度——在應(yīng)用層，而不是在網(wǎng)絡(luò)層——從而給你在許多標(biāo)準(zhǔn)NAC解決方案中所沒有的控制級別。

表1只列出一些你可能應(yīng)用在你組織中的策略。事實上，如果你有一個具備這些功能的IDP/IPS解決方案，你可能已經(jīng)使用這些類型策略。但是如果你在IDP/IPS策略中包含了NAC，你就基于具體用戶或用戶組選擇或修改策略的類型，而不是基于源和目標(biāo)IP地址設(shè)置策略。這種類型的策略很適合應(yīng)用在有不同角色的移動用戶的組織中。

【編輯推薦】

1. 思科NAC解決方案核心：可信代理
2. CISCO NAC和CAS技術(shù)資料
3. 網(wǎng)絡(luò)訪問控制（NAC）是否現(xiàn)在就該部署