网络访问控制(NAC)详解手册

网络访问控制(NAC)详解手册

网络访问控制(NAC)详解手册

在一些网络专业人士之间，仍然有这样的困惑，NAC技术可以做什么。如今，NAC 已不是扫描和拦截了。相反，它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。现今的企业对于客户网络性能上的需求增加了许多，雇员们也正在逐渐开始需要连接他们的私人设备到（企业）网络的能力。这即是NAC可以为企业解决的问题所在。

在本手册中，我们讲述了服务器虚拟化与NAC安全，整合NAC与网络安全工具，以及将NAC措施扩展到网络安全设备等用户最为关心的技术，希望本手册能对您有所帮助。

市场前景分析

Infonetics询问过许多企业，经济危机（不景气）是否会迫使他们缩减2009年及2010年的NAC开支。将近60%的企业表示不会。如今，NAC已不是扫描和拦截了。相反，它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。

NAC设备供应商：值得信赖吗？

网络访问控制(NAC)市场前途依旧甚好

服务器虚拟化与NAC安全

网络安全尤其是网络准入控制（NAC）可以说是服务器虚拟化的死穴。随着虚拟服务器在数据中心的广泛应用，传统的接入控制很难再继续顺利实施。尤其当企业需要遵守严格的数据控制标准时，这将更具挑战性。虚拟化架构为NAC创造了特别的挑战。物理安全系统无法看到虚拟LAN中流量的运行情况，这些流量会随着虚拟机在物理机中运行而改变。再者，由于虚拟机的安装是如此的容易，当部署新的服务器或恢复旧服务器时员工会违反审计需求。

服务器虚拟化与NAC安全(上)

服务器虚拟化与NAC安全(下)

整合NAC与网络安全工具

整合网络访问控制（NAC）解决方案到其它网络安全工具将有助于扩展用户和主机身份认证，同时也可以增强网络上的安全策略。了解如何整合网络访问控制解决方案与网络安全工具，并找出失误以便更好发展。

整合NAC与网络安全工具

NAC措施扩展

现在可以将Network Access Control（NAC）措施工具扩展到许多网络安全设备和网络管理工具。将NAC策略措施扩展到这些设备可以加强访问控制，同时仍允许用户和主机标识作为每一个安全和管理工具的一部分使用。

将NAC措施扩展到网络安全设备(上)

将NAC措施扩展到网络安全设备(下)

实例解析

网络访问控制（NAC）的采用正在增长，但是即使是在巩固的市场上，为您的企业选择最好的技术也不是件简单的事情。

实例：思科NAC解决方案增强了Sun的网络安全

如何选择NAC服务？

802.11n WAP和NAC兼容吗？

NAC设备供应商：值得信赖吗？

随着ConSentry Networks悄然停业，独立网络访问控制（NAC）领域的供应商再次减少，这使得很多产业观察者怀疑独立NAC供应商是否还有前景。

确实，当诸如Cisco Systems和Juniper Networks等供应商都正将NAC功能直接写入他们的网络基础架构，同时如Symantec和 McAfee等终端安全供应商也正在他们的桌面保护产品中写入了这些功能，为何你还必须购买独立NAC供应商的产品呢？

有些组织做出这样的投资是为了获得更多的网络防御

“我认为你必须具备不同层次的可以相互支持的防御和备份，这样它们能够增强你的整体防御性能。如果你只在一个设备上做所有的防御然后它宕机了，那就完了！你就一下子失去所有的防御，因为它们都在同一个设备中，”Todd Frazier，位于Virginia的Culpeper County Government的系统主管说道。

Culpeper County使用来自独立供应商ForeScout Technologies的NAC设备来管理访问和监控流氓接入端。首先，它在Aruba Networks上寻找流氓接入端保护方案，但是这个方案需要购买无线LAN基础架构。Frazier说该County并没有多大的兴趣去采用无线LAN。

该County同时还寻找基础架构供应商的方案，如Cisco，但是它们的实现太过于复杂。而具备一个简单设备的独立NAC供应商的方案看起来则是较为简单。

“总体上，[ForeScout]是一个并不需要将所有交换机都更新的设备，”Anthony Soucek，Culpeper County的网络主管说道。“购买每个新的设备都会需要对监事会进行一番游说，因此，它很难与我们现有的基础架构一起工作。但它非常适用于Microsoft，并且可与我们现有的Cisco交换机一起工作。

哪个NAC应用供应商将继续存活？

随着市场的收缩，一定会有一些独立的NAC供应商将继续作为第三方供应商来服务于小型企业，John Pescatore，Gartner的副总裁和著名分析师说道。

“其中独立NAC的一个最大的重点是学院和大学校园，”他说道。“它们确实是一个多元的环境。不仅只有Cisco，也不仅只有Windows。它们无法要求每个学生桌面都装上Symantec。任何诸如此类的多元环境都将可以使用独立NAC供应商的产品。”

高安全性要求的企业，如政府机构和财务服务公司，也同样对独立网络访问监控供应

商感兴趣，因为它们在网络运营团队和信息安全团队之间存在明显的区分，Pescatore补

充道。

“经常有些公司很多年来都没有在它们的基础架构中使用安全功能，因为它们更愿意

将它们的运营系统和安全控制进行严格划分。否则，可能出现的情况是，管理运营系统的

人员可以无意或有意地关闭某些安全控制，”Pescatore说道。

但是，最终寻找独立的NAC组织的数量将逐渐减少，特别是对于哪个供应商将最终胜出，而哪些又将最终退出竞争变得越来越不明朗。

“2010年是一个NAC市场整体增长将会企稳的年头，因为所有的用户可以只使用他们的基础架构供应商或者终端保护供应商” Pescatore说道。“当你审视NAC时，它与其它的市场都是一样的。如果有17个供应商，那么就太多，而如果是0个，那么就太少了。3

或者4个独立NAC供应商来应对这个市场就足够了。”

(来源：TechTarget中国作者：Shamus McGillicuddy 译者：曾少宁，陈柳)