巧用NAC保障你的网络安全

　　近来，NAC（即网络准入控制：Network Admission Control）是一个非常流行的网络安全主题。虽然有许多人听说过这个词，不过仍有许多人并没有完全理解NAC是什么，以及如何利用它来改善其网络安全。
　
　　什么是NAC？
　
　　NAC是一种允许对某个网络进行访问的方法，它通过遵循安全团队帮助构建的一套标准而实现。它可以被用于多种设备上，从桌面设备到手持式PDA.它不是像防火墙那样盲目地限制访问，NAC试图将智能集成到网络访问中。现在可以选择的NAC方案种类很多，实施一个NAC解决方案的原因也很多。本文将简洁地讨论NAC的要领，并向你展示一个NAC方案如何有助于改善网络的安全性。不过，记住下面一点是很重要的：对于多数方案，正确地计划对于成功实施是极端重要的。
　
　　一个NAC方案的组成部分有哪些？
　
　　一个NAC方案有三个主要的组成部分：
　
　　终端用户设备

         认证系统

         策略服务器

         当然，根据所选择的方案不同，组成部分也相应地有所变化。终端用户设备典型情况下会安装一个代理。终端用户设备上的NAC代理能够与策略服务器会话，这是一个方案的关键。下图显示了思科NAC设备（CNACA）的通信流快照：
　
　　

　
　　上图描述了一个带内（in-band）和带外（out-of-band）设备服务器。这种方法确保了安全执行标准的最大化执行，不管你试图在何处登录网络，这是因为这个设备位于你和所需要的资源之间。没有什么方法可以绕过它。
　
　　NAC如何改善网络安全？
　
　　一个NAC方案能够帮助你改善网络安全的方法有好几种。事实上，通过使用NAC，你可以得到更高的效率。
　
　　强制遵从
　
　　网络和Windows系统管理员花费大量时间来解决如何强制终端用户设备遵循必要的Windows补丁、反病毒更新、防火墙设置等。几年来，使用过各种方法来保持病毒定义文件的最新，保障病毒扫描的运行，并且运用了最新的补丁集等。所有的这些努力都已经改进了网络的安全性，不过总有一些人为的因素会损害这个过程。例如，安全管理员可以使病毒定义文件的更新自动化，但是终端用户可以取消扫描或者禁用其代理。一个NAC方案能够保障保障用户必须遵循反病毒软件的更新。
　
　　隔离
　
　　除了强制用户执行、遵循安全策略，一个NAC方案还可以检测和隔离一个“不安全的”设备。如果你曾经以人工方式利用访问控制列表解决过蠕虫问题，你就会理解将某个设备隔离到一个预定义的VLAN中的重要性。这是从一个中心点执行的。
　
　　但效率并非只能从集中化中获得。一个NAC解决方案不但能够检测和隔离，而且还能够用恰当的病毒定义文件和补丁来更新设备，这样就能在允许访问设备访问你的网络之前，用一种最高最强的安全标准来设置设备，病毒和蠕虫将没有机会访问你的资源。如果你正确地设置了NAC方案，根据代理所报告的有关用户身份，用户将只能访问所需要的资源。

[1] [2] 下一页

【责编:Zenghui】