高效安全的網(wǎng)絡訪問控制的解決方案

一個有效的NAC（網(wǎng)絡訪問控制）方案，應該可以提供一個可信任網(wǎng)絡架構，這個架構對威脅具有免疫性，以及恰當使用的可控制性并能夠為所有用戶保護數(shù)據(jù)和完整性。 　　
    NAC的一個關鍵特性是訪問的安全性，可以通過限制哪些用戶擁有對系統(tǒng)的訪問以及他們?nèi)绾瓮ㄟ^有線或無線的方法連接，來前攝性地防止安全性受到破壞。網(wǎng)絡訪問控制幫助你保證只有授權的用戶可以獲得對網(wǎng)絡的訪問權。而且，它保證用戶只能訪問被授權使用的資源。既然安全性是網(wǎng)絡管理人員們關心的一個主要問題之一，因此企業(yè)根據(jù)權利和需要對網(wǎng)絡訪問進行有效的控制是非常必須的。
    例如，對一所醫(yī)院的醫(yī)生和護士來說訪問病人的記錄是合適的。而這種訪問對于在自助餐廳的廚師來說卻是不合適的。對于在你的網(wǎng)絡上沒有業(yè)務的人員來說，給他們?nèi)魏蔚脑L問都是不合適的。
    一個有效的網(wǎng)絡訪問控制策略應該將那些不法之徒阻擋在外，并只能根據(jù)內(nèi)部人員的身份、所連接的地點、所連接的時間等，確保其訪問網(wǎng)絡資源。同時，一個有效的網(wǎng)絡訪問控制應該使企業(yè)的網(wǎng)絡保持靈活性。
    下面我們看一些實現(xiàn)有效的網(wǎng)絡訪問控制的具體措施：
    選擇一個網(wǎng)絡訪問控制方法和一種客戶端技術
    一般說來，你可以根據(jù)你的業(yè)務因素，從以下三種訪問控制方法中進行選擇以滿足你的網(wǎng)絡需要：
    ●IEEE 802.1X
    ●Web身份驗證
    ●Mac身份驗證
    選擇一個網(wǎng)絡架構設備
    網(wǎng)絡架構設備，如交換機、接入點和WAN路由器可以提供對RADIUS驗證的支持，并且支持上述全部的驗證形式。這些設備可以直接控制客戶端與網(wǎng)絡的連接?？紤]到不同邊緣設備的不同性能，任何增強安全策略的特定設備的能力都依賴于所用的訪問控制方法以及客戶端是否在尋求一個有線或無線的連接。
    選擇RADIUS服務器
    遠程身份驗證撥入用戶服務(RADIUS)是一個工業(yè)標準協(xié)議，可以提供身份驗證、授權和賬戶服務;它用在提供用戶網(wǎng)絡訪問的設備與對進入的用戶進行身份驗證的設備之間。RADIUS定義了三種公共的部件：
    ●訪問客戶
    ●網(wǎng)絡接入（訪問）服務器
    ●RADIUS服務器
    即使你有多種多樣的應用環(huán)境，你也只能在網(wǎng)絡中使用一種類型的RADIUS服務器（例如，你可以使用微軟的IAS服務器或者FreeRADIUS）。在這方面，你應該根據(jù)網(wǎng)絡中的所用的應用環(huán)境選擇自己的RADIUS服務器。這也是對一個中央用戶數(shù)據(jù)庫進行投資（LDAP或者活動目錄）的時機。
    選擇EAP方法（如果使用802.1x的話）
    只有在你使用802.1x訪問控制方法時，可擴展身份驗證協(xié)議（EAP）的方法才具有重要意義。你需要考慮兩個因素：客戶對網(wǎng)絡的驗證和網(wǎng)絡對客戶的驗證。
    布置并安排網(wǎng)絡分段
    你要設計網(wǎng)絡分段，這些分段應適合于你網(wǎng)絡的各種各樣的應用環(huán)境。我們強烈建議你在網(wǎng)絡中的一個有限區(qū)域內(nèi)引入訪問控制（例如，如從會議室開始）。你會獲得經(jīng)驗并由此全面鋪開。
    集成所有的網(wǎng)絡段
    一旦你部署了網(wǎng)絡中各種不同的分段，你就可以通過將所有的分段集成到一個統(tǒng)一的總體中來實施優(yōu)化。
    考慮采用身份驅(qū)動管理
    身份驅(qū)動管理（IDM）提供了基于用戶身份而不是網(wǎng)絡設備的網(wǎng)絡訪問控制，它允許你在網(wǎng)絡的中心設置一個網(wǎng)絡訪問策略的實施，并將它動態(tài)地運用于網(wǎng)絡的邊緣。
    通過上述的措施你應該已經(jīng)部署了一個比較健全的NAC方案。