网络访问控制技术：言过其实还是运用不够？

过去的两年里，网络访问控制(network access control,NAC)技术已经成为了信息安全业内耳熟能详的术语。但NAC是不是仅仅只是炒作呢？

去年，我做了许多预测说2009年会是"NAC之年“。这一预测似乎并没有完全变成现实，但我认为NAC在普及上的延迟更多的是因为经济不景气，而不是因为缺乏使用NAC的热情和意愿。我仍然坚信，NAC技术运用得还不够，NAC的市场也将会有显著增长，特别是当经济开始好转的时候。

网络访问控制（ NAC ）技术概述 

网络接入控制技术给企业带来了两个主要好处：网络认证和端点安全检查。通过结合这些功能，安全专家能对个人和系统访问网络更有信心。它的目的是防止威胁的都未经授权的用户访问网络，还有授权用户访问网络的易受攻击的（或更糟一点，受感染）的设备。

在关键的NAC产品的成功在于高质量的姿态检测代理( posturing agent)：该软件运行在端点上，确定该设备是否符合该组织的安全政策。最好的产品能够把对安全软件的当前和合理操作的检查与操作系统特定的安全配置参数验证结合起来。

一般来说，现在的NAC产品在这些上面都做得不错，特别是加上现有网络设施的安全功能（通常做法是是从其它设备的厂商那里采购NAC产品）。在这种情况下，当NAC产品检测到用户非法身份验证或设备不能满足该组织的姿态的要求，它就能够通过把设备限制在交换机口的一个隔离区来收回访问权限。

NAC是否物有所值？ 

这个价值百万的问题就是部署NAC所耗费的大量时间和资金是否能给企业带来足够的回报。在考虑这个问题时，我鼓励你仔细考虑并回答几个问题：

在我们这种应用环境，NAC能成为现有问题的解决方案吗，还是用它来查找问题？ 不要仅仅因为大家都在说NAC就去购买NAC产品。一定要确定你有正当的业务目标，而且这个目标最好通过NAC达到。

我们的端点安全控制配置是否有问题？ 如果你有一个网络，完全是管理的系统和你的存在强制执行的恶意软件防护软件和安全设置，通过配置管理系统，您可能没有必要的姿态所提供的保护的NAC 。 如果你的网络安全是由受管理的系统组成，并已通过配置管理系统配备好了恶意软件防护软件和安全设置，这样的话，你可能并不需要NAC提供的姿态防护（posturing protection）功能。

我们的网络有大量的未知用户吗？ 如果你运营的网络有大量的访客，比如学院或大学的网络，那么NAC就是一种很好的途径，用以验证访客是否有权限访问网络，以及防止他们把受感染的设备接入到网络中。

如实回答这几个问题可以让你对NAC到底能给你的企业带来些什么了然于心。如果你有意在你们那部署NAC，那么我建议你再读读我的另外一篇文章《Phased NAC deployment for compliance and policy enforcement》，它详细讲解了NAC的实施策略。或许你也会对我播客上讲解结合现有安全工具使用NAC的内容感兴趣。NAC是一项复杂的技术，如果配置和管理得当，它能运作得很好，因此如果你们的业务如果真的需要部署NAC的话，就不要让那些夸夸其谈影响你对NAC的评估。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。