解析企业网络准入控制NAC

      安全行业到处都在渲染NAC的各种强大功能，鉴于此，我们有必要弄清楚两个问题：NAC能够提供给你的功能和你所需要的LAN安全要求。不同的NAC架构能够解决不同的安全问题，因此你需要根据自身需求选择合适的NAC架构。

　　NAC刚出现在安全行业时，是作为一种准入控制技术，能够在允许用户接入LAN网络前对用户进行验证并根据安全合规要求扫描用户的电脑。实际上，目前安全行业对NAC的讨论重点仍然仅限于“准入控制技术”。

　　但是作为网络访问控制解决方案的NAC不仅能进行控制接入LAN网络这样简单的工作，其实还有很多其他功能：它能够帮助你限制已经处于LAN内的用户的行为，控制他们所能登录的服务器，访问的数据以及可以运行哪些应用程序等。

　　NAC解决方案能够提供给你的功能很大程度上取决于它的架构。如果你只是需要简单的客户机访问控制，即限制“外来人”接入网络以及让“内部人员”能够访问LAN的任何数据，那么一个简单的架构就能满足这些需求。

　　如果你需要更多控制，限制用户进入LAN后的行为等，则需要内嵌式NAC架构。因为NAC的这些设备能够看到所有通过的流量，能够提供更强大的控制基础，而你所能进行的控制程度就取决于供应商提供的功能设置了。举例来说，对应用程序的理解是控制用户访问的关键，但是某些NAC解决方案是通过Layer 4信息来查看应用程序的，而其他解决方案则在Layer7解码应用程序，因此，功能套件越强大，控制力也就越大。

　　如果你想知道NAC能够为你做什么以及不能为你做什么的话，在这里我可以告诉你完整访问控制解决方案能够为你提供以下功能：

　　·控制哪些人能够接入LAN并限制他们能够访问的资源

　　·保护你的IP

　　·限制不值得信赖或者未知的用户，例如承包商、技术人员、远程用户或者离线员工等

　　·限制能够访问重要财务记录或者客户记录的人员

　　·根据职责、时间、地点以及应用程序来控制对数据的访问

　　·将用户分级以符合合规要求

　　·保护系统免受已知或者未知恶意软件的攻击

　　·简化事件反应

　　·保护关键应用服务(如VoIP)

　　当然，NAC肯定不会是你唯一的安全防御工具，例如，NAC就不能帮你执行下列工作：

　　·对通过电子邮件、笔记本失窃、打印输出或者USB存储设备泄漏出去的信息的保护

　　·抵御社会工程学

　　·从接入WAN网络连接抵御已知恶意软件攻击

　　·防止授权用户不适当地使用数据

　　NAC解决方案的审计功能可以让你找出用户访问过的文件，如果需要的话，你也可以以此来证明某些人查看过与其工作不相关的工作。然而，NAC不能防止这些数据不被泄漏。

　　总言之，其他安全技术(如泄漏防护技术和USB锁定工具)将需要用来对你的NAC总体部署进行补充，不过选择一个功能齐全的NAC解决方案可以帮助你严格限制LAN中哪些人可以访问数据以及哪些数据能够被访问等。

未经允许不得转载：DOIT » 解析企业网络准入控制NAC