保障系统 NAC访问管理成有力助手

网络不安全因素众多的今天，越来越多的网民面对危胁是措手不及。那么到底如何来保证系统安全，其中可是大有学问，小到软件防火墙、大众策略及各式配置，大到硬件防火墙专业策略的应运，都体现出了强网兴安的问题，今天讲述一下 NAC访问管理也能有力保障系统。

随着计算机技术的迅速发展，以前安全一词对局域网用户来说：意味着安装杀毒软件及防火墙。现如今一台做好防护的个人电脑不光要有杀软、防火墙，还要建立入侵防护系统（IPS）以及加密技术，最后还需要用到网络访问管理（NAC）或者网络许可管理。

该技术是在原有安全基础上确保用户在互联网中任意角落，访问公司网络时所使用的任意终端设备（如笔记本、PC、手持设备等）都不受威胁，并且不会让病毒感染整个内部网络。其实说白了NAC技术就是让公司网络管理人员可以控制登陆用户的权限，并且通过该技术为有线访问、无线访问以及分段网络所侵蚀的周边安全策略提供补充，并且阻止被感染的系统登陆到网络中，让病毒无法传播。

谁需要NAC保护

NAC的框架来自思科系统，是思科自动防御网络的远景的一部分，虽然NAC不是一项标准，但是它整合了很多现存的标准，以至于不少卖家将NAC当成通用概念来理解。其实目前NAC的一些特定方面正在逐渐地标准化，比如客户机汇报自身情况给网络执行设备的交互点，而其他的围绕策略存储和执行的方面还远没有达成任何一致的标准。

NAC也并不是每个中小型企业的首选保护项，因为企业越小，管理人员越能控制访问网络的人员，处于这样的企业更容易识别内部人士和外部人士，可以进行手动操作。虽然小型企业不会为了自身而购置独立的NAC，但其会选择包含NAC的产品设备，如安全交换机。这样企业在升级交换机的同时将NAC技术引入到企业网络。

目前 除了最精密的企业网络与办公室外，NAC对于没有采用防毒、防间谍软件以及防火墙措施的电脑丝毫无用武之地，对没有建立至少1个交换机和一到两个路由器组成的内部局域网的公司，也很可能没有合适的设备来调整NAC，因此要想使用NAC必须要有自身的安全策略。

当一个中小型企业的客户远远大于公司职员时，内部员工依靠网络执行基本操作时如：生成订单、跟踪记录、存储文件或者进行商业流程时，都应考虑使用NAC。就目前而言随着网络数据的增多，黑客技术的逐渐成熟，越来越多的小企业也正在尝试使用NAC，以更大力度保障数据连接内外网时的安全问题。

NAC产品如何选？

市面上出现的NAC产品种类非常多，如ConSentry LANShield控制器是一种自足的、独立的NAC装置，对正在使用中的当前网络不会造成任何影响，CS1000模式性价比最高并且支持800以上的用户。其LANShield平台支持授权以及状态检查功能、可随时察看整个网络的所有用户和应用情况，并可以按照身份来限制登陆路用户在局域网中的使用权限，并对匿名用户进行检测，限制其使用权限或清除。还有Cisco的NAC器械自带有一个服务器和一个管理器，也能实现呵护效果。

目前赛门铁克公司正计划发布NAC产品的入门级版本，提供赛门铁克终端防护服务，将杀毒、防间谍软件以及配置NAC终端软件三项功能结合到一起，该产品需要用赛门铁壳网络访问控制来集中控制终端，无需改变网络体系，无需任何复杂的网络级组件，用户只要使用现有的赛门铁克终端保护配置功能就能实现NAC防护。

NAC案例实战分析

加州Sunnyvale的Omneon Video Networks公司拥有250名员工，该公司是以提供流媒体服务器以及优化工作流程和数字媒体的无线可靠性服务的公司，为了让客人在网络中更好的交流及访问内部网络，他们使用ConSentry的网络LANShield控制器来控制顾客登录到网络中的操作。 当各地分销商及客户浏览公司内部网络时，NAC将自动控制他们的访问，监视其网络传输，隔离那些引入特定威胁的机器，设定策略从而达到既不拒绝危险主机登陆，又能达到维护公司网络安全的目的。

而加州的加一家公司公Novato则在硬盘抢救数据恢复方面应用了更小规模的配置，安装了NAC装置分配了各用户权限，让员工从毁坏严重的硬盘中抢救重要数据的同时，能进行更好的管理，从而保护关键应用程序的安全。

束语：

目前选择何类的NAC及配置，非常难。虽然新式操作系统Vista能够支持一些NAC，但使用部门在选择产品时一定要先确认系统平台是否支持所要购买的产品，并正确选择与自身的终端防护方案相匹配的NAC方案。据McLean建议：中小企业可以选择使用现有用户登录及身份库，达到直接覆盖完成配置，而不需要改变网络或者客户端的架构的NAC，可以省节很多麻烦。随着NAC技术的逐渐成熟，相信越来越多的中小企业会为他们的使用者。