NAC能否构建一个安全的企业网络

　　三种访问控制方法

　　根据企业的业务因素，可以从以下三种访问控制方法中进行选择以满足网络需要：IEEE 802.1X、Web身份验证、MAC身份验证。选择其中一种方式后，首先要设计网络分段，这些分段应适合于企业网络的各种各样的应用环境，在网络中的一个有限区域内引入访问控制(例如，如从综合部开始)，形成一张网络结构拓扑图。再根据网络中各种不同的分段，就可以通过将所有的分段集成到一个统一的总体中来实施优化。

　　在网络访问授权之前的有限接入时，通常被称做“锁住状态”，并不是说所有的端口都被网络规则所阻止。网络访问控制系统也可以同那些开关一起动态去控制VLAN。默认条件下，所有受网络访问控制的网站端口都会自动锁住，存在着一定范围内的接入权限。只有当系统检测到网络内计算机符合网络访问控制要求的时候，才会传输指令给这些端口解除锁定。由于网络访问控制设备安装在一个开关点，向ARP传输信号要求通过网关，网络访问控制把MAC地址注入企业的ARP注册表作为网关，因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数，就会被允许通过正确的网关。如果知道网关的正确MAC地址，就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。

　　用户权限与开源本性

　　在一个简单的验证环境下，网络访问控制咨询RADIUS服务器决定企业是否有权进入公司内部网和无线网。如果用户名和密码正确，那么就可以完全通过，反之默认状态下仅仅开放普通端口（如http、https、ftp等等，根据内部网安全政策认可。）对于那些复杂的验证环境，如高级经理进入ERP系统，网站管理员进入服务器，保险调解员进入数据库，会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。

　　许多网络访问控制能够上溯到最初的开放源代码的控制。当网络访问控制技术在主流商业市场上开始成型的时候，根据自己所需可以选择理想的开放源代码，并据此执行网络访问控制系统。 一般说来，商业系统与开放源代码副本相比有更多的特点，包括与它们相匹配的支持系统。当然，这并不意味着提供开放源代码可以被忽视，许多开放源代码系统都有高级的检测方法、验证以及保障能力。执行开放源代码网络访问控制系统需要耐心，至少拥有Linux网络管理员的全部技能。这种操作通常建立在其他开放源代码包上，能够被安装在许多Linux机器上，并且文件数量比较少。也许用户在第一次尝试运行开放源代码失败，原因就在于错误地配置了附件包，而不是开放源代码网络访问控制软件本身。

　　编者按：不论企业的网络是否需要网络访问控制技术，还是在特殊情况下，哪种类型的网络才是最适合企业网络，并能够构建出一个高效安全的网络，对企业的网络安全才是最主要的。