到底誰需要網(wǎng)絡(luò)訪問控制（NAC）？

網(wǎng)絡(luò)訪問控制（NAC）成為大多數(shù)公司網(wǎng)絡(luò)安全架構(gòu)的標(biāo)準(zhǔn)組成部分之前，仍有很長一段路要走，不過增長跡象已出現(xiàn)在面前：據(jù)Infonetics研究公司聲稱，到2010年，預(yù)計(jì)廠商的NAC執(zhí)行設(shè)備銷售額將達(dá)到6.29億美元。
     那么，到底誰需要NAC呢？
     簡單的回答就是，如果你希望在一臺機(jī)器獲準(zhǔn)連接到網(wǎng)絡(luò)之前，檢查機(jī)器是否通過配置健康測試；如果你希望機(jī)器獲準(zhǔn)訪問之后如果違反了策略，能夠限制訪問權(quán)，那么就需要NAC。
     通過健康測試并不意味著機(jī)器沒有染上可能給網(wǎng)絡(luò)帶來危害的病毒，不過這有助于減少機(jī)器造成麻煩的機(jī)會。
     到目前為止，大學(xué)和醫(yī)療機(jī)構(gòu)比其他行業(yè)的組織更加積極采用NAC，這是由于它們都擁有龐大的用戶在使用連接、斷開、再連接到網(wǎng)絡(luò)的移動設(shè)備。NAC有助于提供一些保證：這些設(shè)備在與網(wǎng)絡(luò)斷開時，保持可靠的安全狀態(tài)。
     NAC的主要任務(wù)就是決定允許哪些主機(jī)連接到網(wǎng)絡(luò)，并且留在網(wǎng)絡(luò)上。做出這些決定的標(biāo)準(zhǔn)有很大不同：從介質(zhì)訪問控制（MAC）地址在白名單上，到通過查找諸多參數(shù)的健康檢查。這些參數(shù)包括諸如此類的因素：反病毒軟件經(jīng)過更新，而且在運(yùn)行打上補(bǔ)丁的操作系統(tǒng)；所需的注冊表設(shè)置；以及合理配置的個人防火墻，等等。
     這些標(biāo)準(zhǔn)還可以包括某個設(shè)備是否仍處于健康狀態(tài)；一旦獲準(zhǔn)接入網(wǎng)絡(luò)，其行為是否得當(dāng)。
     人們希望這種準(zhǔn)入控制可以防止安全可能受到危及的機(jī)器利用惡意軟件感染網(wǎng)絡(luò)、阻止竊取數(shù)據(jù)。訪客和顧問們連接到網(wǎng)絡(luò)上的移動設(shè)備及其他設(shè)備就是可能會帶來安全威脅的幾種機(jī)器。密西西比西北社區(qū)學(xué)院（Northwest Mississippi Community College）在安裝NAC設(shè)備之前，每個學(xué)年的頭兩周都要用于清理學(xué)生使用的電腦；而自從有了NAC設(shè)備，這個過程實(shí)現(xiàn)了自動化。Chuck Adams是這家社區(qū)學(xué)院設(shè)在密西西比州塞納托比亞的主校園的網(wǎng)絡(luò)管理員，他說，如今，由于為六名全I(xiàn)T員工和學(xué)生教工騰出了這段時間，Mirage Networks公司的NAC設(shè)備只用一個學(xué)期就基本上收回了成本。
     Adams說：“我們希望不用去清理學(xué)生的PC。我們還沒有完全實(shí)現(xiàn)這一目標(biāo)，不過現(xiàn)在幾乎就要實(shí)現(xiàn)了?！?BR>     巴爾的摩默西醫(yī)療中心的IT主管Mark Rein說，在采用NAC之前，潛在客戶要明確定義需要什么樣的限制、健康的主機(jī)要具備哪些要素。Rein說：“你必須確定自己試圖要保護(hù)什么，確定可能需要建立哪些不同網(wǎng)段。”這意味著要為NAC設(shè)備制訂所要執(zhí)行的策略。他說：“策略涉及你需要知道的方面和你不想看到的方面?！?BR>     Nemertes研究公司的高級副總裁Andreas Antonopoulos說，實(shí)際上，許多公司并沒有在非常積極地部署NAC。
     據(jù)今年年初他對IT主管們開展的一項(xiàng)調(diào)查顯示，能夠連接到專用虛擬網(wǎng)（VPN）是NAC為大多數(shù)遠(yuǎn)程主機(jī)扮演的惟一角色；幾乎沒有哪家公司對局域網(wǎng)端口實(shí)行訪問控制。他說，只有大約14%的調(diào)查對象實(shí)行了端點(diǎn)檢查，檢查應(yīng)用程序和操作系統(tǒng)的補(bǔ)??；是否安裝了防火墻、反病毒或者反間諜軟件等軟件；USB連接的設(shè)備以及口令強(qiáng)度。
    不過他說，近60%的人希望自己至少能夠檢查是否安裝了防火墻、反病毒和反間諜軟件等工具。他說，大約40%的人還希望對口信和和操作系統(tǒng)進(jìn)行檢查。不到三分之一的人希望檢查應(yīng)用程序是否得到了更新。思科公司推出了思科網(wǎng)絡(luò)準(zhǔn)入控制（CNAC）架構(gòu)，而可信計(jì)算組織（TCG）正在竭力制訂開放標(biāo)準(zhǔn)，以便任何一家NAC廠商都能遵守。
     今年早些時候，微軟公司發(fā)布了自己的協(xié)議。其網(wǎng)絡(luò)訪問保護(hù)（NAP）代理可以使用該協(xié)議，把有關(guān)端點(diǎn)狀況的數(shù)據(jù)從端點(diǎn)傳送到NAC策略服務(wù)器，而策略服務(wù)器負(fù)責(zé)決定設(shè)備是否得到訪問權(quán)、得到多大的訪問權(quán)。今年早些時候，Juniper公司在互操作性大會上公開演示了這種兼容性；雖然該公司最近為采用其NAC架構(gòu)（Juniper稱之為統(tǒng)一訪問控制，UAC）的設(shè)備發(fā)布了最新版本的軟件，但該軟件并不包含這種兼容性。就連參與微軟NAP計(jì)劃的合作伙伴也沒有匆忙參與進(jìn)來。
     Current Analysis公司的分析師Andrew Braunberg說：“在我看來，NAP還遠(yuǎn)未出現(xiàn)，以至我并沒有每天在想它?！彼磕甓紩_展NAC需求方面的調(diào)查；今年的結(jié)果顯示，大多數(shù)客戶也沒有每天在想NAP。他說：“人們可沒有興趣等待NAP?！?BR>     他的調(diào)查結(jié)果就是，由于微軟一再推遲發(fā)布部署NAP的必要組件，結(jié)果NAP受到了拖累。Braunberg表示，自上一年的NAC企業(yè)需求調(diào)查開始以來，愿意等微軟交付NAP的調(diào)查對象的百分比出現(xiàn)了下降；愿意等明年初微軟發(fā)布NAP后再部署的調(diào)查對象為數(shù)不多。