网络访问控制：部署NAC的诀窍

　　2003年，由于Blaster蠕虫的活跃，专业安全技术人员首次开始对网络访问控制(NAC)进行关注。使用这项技术可以在网络入口处检查学生们的计算机状态，将病毒和威胁阻挡在外。作为一个我们采访过的学术性机构，谁不想在自己的网络上使用NAC呢?

　　六年后的今天，网络访问控制仍然缺少一个单一的标准，并且被证明它比第一次出现时更难实施，并且NAC现在如果说不是至关重要的但也仍然是一项非常有价值的安全技术。确实如此，Forrester研究公司已经在最近的一份报告中预测，今年将是NAC比较轰动的一年，这个“看门狗”技术将会迅速变成网络基础设施中必不可少的一部分，它也会是促使企业安全策略倡议更加有效的组成部分。Gartner公司的研究主管Lawrence Orans认为，NAC是“一个可以添加到自己网络中的有价值的防御，”并表示，“我们给出的建议是，现在就可以实施NAC。”

　　现在，这项技术已经不仅仅只是检查并隔离那些没有遵从最新的安全保护的终端设备，据Forrester公司分析师Robert Whiteley介绍。现在，很多公司都使用NAC来不断地检查终端的异常行为，甚至用来监测员工进入网络的角色和权限。NAC可以检查到你从来都不知道的东西或者是被你长时间遗忘了的东西，因此，它也可以帮助你进行资产管理。

　　公司们正在使用NAC来限制访客和承包商的访问，并且为远程和无线雇员提供了便利。结果是，NAC的部署更加容易，企业们可以选择适合自己网络和安全需求的恰当的解决方案。

　　供应商们还坚持表示，NAC不只是适用于大公司。

　　“NAC现在部署起来非常容易，是否要部署它取决于你要用它来做什么，而且，对于中型企业们来说，他们也没有理由拒绝使用NAC并从中获益，” StillSecure 公司首席战略官Alan Shimel说，该公司于2004年推出了它的Safe Access NAC产品。

　　开始部署网络访问控制(NAC)

　　在使用NAC之前，你需要先研究一下三个主要的结构：

　　带内(In-band，也称in-line)，用户和上行网络之间的系统在此安装，也可以说是访问交换机和核心交换机之间。

　　带外(out-of-band)，或者是数据通讯渠道之外的用于与NAC生态系统沟通的系统。

　　基于软件的解决方案，在终端上直接安装一个中介代理工具，能够进行自动修复。

　　你需要对供应商进行筛选

　　你应该浏览一些供应商，他们都有自己的跳跃式NAC产品分享。Forrester列出了一些供应商的名单：思科系统公司(Cisco Systems)、Juniper网络公司以及最受关注的微软公司(Microsoft)。其他的公司还有Symantec公司、McAfee 公司、Nevis网络公司、Mirage网络公司、StillSecure、TippingPoint技术公司和HP ProCurve公司。Gartner公司在2008年发表了一份NAC的市场范围。分析师们提醒说，该领域的整合已经日趋成熟。

　　在部署NAC时，还有一些其他的因素和经验需要注意，这些都是通过对几个主要的NAC供应商及他们的客户进行采访之后总结出来的：

　　在开始部署之前，一定要纵观整个安装过程，明确想要达到的目的。

　　很多公司都是根据自己的网络类型、自己的实际问题和自己的安全系统来决定选择哪个NAC供应商。很多公司部署NAC来解决访客和厂商的访问问题，Whiteley说，因此，当他们发现目前的这个供应商正好能够提供访客访问的解决方案，他们就会首先选择这个供应商。如果在将来的某个时候，他们又决定对内部员工实施基于角色的访问控制，他们会发现用于访客管理的解决方案并不是针对分部员工管理的最佳解决方案，Whiteley说。

　　“我们发现，很多公司都是用非常合理的资金支出将NAC部署到位，并且在未来的6到12个月中，这项投资或者是废弃的，或者是需要投入更多的资金来解决问题，”他说。

　　相反，要采用一种业务方式实施NAC。

　　首先，要确定一下需要网络访问控制的各种情况。Forrester发现，最成功的NAC解决方案能够至少支持四种与业务相关的情况。

　　业务分析应该扩展到三个额外的领域中，TippingPoint公司NAC产品管理主管Seth Goldhammer建议：用户身份识别、形势评估和访问执行。“在每个领域中，业务都要基于用户类型和网络领域来确定其组织的优先事项和限制事项。这将有助于今后的用于满足需求所需要的最佳技术的选定，”他说。

　　永远不要大规模实施NAC部署。

　　专家们的意见是一致的：不要低估了NAC部署的复杂性。花费六个月实施NAC是很正常的，但是，我们采访过的用户(全部是大学)表示他们完成一个NAC系统一般需要一个夏天。分析师们和供应商都建议公司们应该在三个阶段推出网络访问控制能力：监测网络内容状态、描绘网络流通情况，然后执行策略。

　　“把整个部署分成几个阶段，然后逐个去验证实施，” Bradford网络公司负责营销的副总裁Jerry Skurla说。

　　Goldhammer认为分步实施还应该包括位置和用户：会议地点、无线访问、内部和外部用户群体(访客及员工)。

　　重整IT团队。

　　这么说可能会有些不当。在协同部署NAC过程中至少应该包含IT部门三个领域的员工：网络、安全和计算机团队。网络团队负责确定网络如何执行这项任务及这项技术怎样在网络上运行，安全团队主要负责安全策略。当一个终端需要整合——很多NAC系统能自动完成这个任务——台式机团队就需要涉及近来以确保修复正确进行。

　　培训终端用户。

　　另外一个通过我们采访过的NAC用户和供应商而得出的经验是：最好是提前，告知用户，由于NAC的使用需要改变网络准入或访问，他们需要知道一些新的步骤。 (大学一般都在学生入学之前就对他们进行NAC流程培训。)

　　“如果计划得当，终端用户的培训再加上分步实施能够取得NAC预计的效果：减少了对帮助台的电话求助，同时还保持了最新的，规避风险的终端用户群体，” Goldhammer说。

　　提醒你的网络经理：不要被NAC数据搞得眼花缭乱。

　　NAC提供了大量的关于你的网络的数据，这些数据你之前从来都不知道。这听起来不错。但是，千万不要被这些报告整得手忙脚乱，特别是那些涉及到管理链的报告。要坚持分析状况，具体问题具体分析。

　　“很多管理人员，包括CIO，都只是想知道，‘这是否会成为一个日常的威胁还是一个疯狂的威胁?’” Bradford公司的Skurla说。