網絡接入控制(NAC)已經成為了一個不能回避的網絡安全流行術語。隨著50多家廠商聲稱已經擁有某種形式的NAC解決方案，這個事情更加模糊不清和令人困惑了。如果廠商是正確的，現在正是部署NAC的時機。從許多方面看，這些廠商并沒有離題太遠。

　　市場研究公司Gartner副總裁和著名分析師John Pescatore說，有許多言過其實的宣傳。所有這些廠商對于NAC都有自己的說法。但是，你不必等待開始實施這些技術。

　　據Pescatore說，企業必須首先查看具體存在什么問題或者痛點，然后再利用NAC來解決。這些問題可能會指出應用哪一類NAC是一個好的起點。

　　定義你的NAC目標

　　市場研究公司Current Analysis高級分析師Andrew Braunberg說，每一個人對NAC都寄予很高的希望。但是，他補充說，需要確定NAC的準備情況，把問題歸納為企業必須首先問自己的幾個簡單的問題。要記住的事情是:你的起點在哪里?我要解決的痛點是什么?NAC解決方案能達到那個目標嗎?當你做這個事情的時候，你的NAC解決方案的整個內容是什么?

　　Pescatore和Braunberg基本上一致認為，企業正指望把NAC用于客戶網絡接入。雖然安全和保密的客戶接入是考慮采用NAC的合理理由，但是，它并不需要全新的基礎設施來容納思科的NAC框架或者微軟的NAP等產品。

　　Braunberg表示，提前確定NAC部署的規模是有好處的，特別是在許多公司有一個“如果你沒有在每一個地方都使用NAC的話，NAC有什么好處?”的想法的時候。

　　Braunberg說，我認為，人們應該開始解決他們現在感到痛苦的問題。但是，仍有許多市場教育工作要做。

　　市場研究公司Burton Group高級分析師Eric Maiwald也贊成這個觀點。當問到企業現在是否應該開始考慮NAC的問題時，他說，這個問題沒有答案。

　　Maiwald說，企業必須評估推動他們采用NAC的因素是什么。對于大多數機構來說，考慮NAC是因為NAC是一種最新的和最偉大的技術，因為遵守法規的問題，或者因為他們要控制客戶或非雇員訪問企業網絡。

　　Maiwald說，控制誰能夠進入你的網絡是很長時間以前做不到的事情。NAC確實是一種新東西嗎?或者NAC是下一代安全漏洞管理技術嗎?NAC是下一代入侵防御系統嗎?

　　由于NAC能夠用于網絡的不同點上(如內部、帶外以及軟件代理等)，企業需要調查他們強制執行的點應該在什么地方。

　　Maiwald說，強制執行點是這里關鍵的點之一。他們要在哪里強制執行網絡接入控制呢?如果我要在內部應用，如果這個設備失效了，我應該做什么?

　　企業應該考慮哪一種類型的NAC在他們的環境中的影響最小，是ConSentry、Vernier和Nevis等公司的內部解決方案，Lockdown和Forescout等公司的帶外解決方案，還是Elemental和InfoExpress等公司的軟件代理?Maiwald說，內部和帶外設備似乎正在受到許多關注。

#p#副標題#e#

　　Braunberg說，完整的NAC解決方案應該堵住五個漏洞。它應該執行準入之前的檢查、主機狀況檢查和準入之后的檢查。它還應該熟悉ID和基于ID的網絡資源。

　　Braunberg表示，總的來說，沒有一家廠商能夠提供一個同時解決這五個問題的最好的解決方案。但是，總的來說，這項技術已經足夠成熟，能夠解決指定的每一個領域的問題。現在，Juniper公司第二階段的統一接入控制產品擁有最廣泛的方法。

　　Braunberg補充說，對于最初使用NAC的企業來說，同時解決這五個NAC方面的問題是沒有必要的。他說，我認為你不需要同時解決所有這些領域的問題以便從今天的NAC解決方案中獲得價值。

　　市場研究公司Gartner的高級分析師Pescatore說，有三種廣泛類型的NAC技術。所有這些技術都能達到不同的監視水平。首先，有一些從思科和微軟等公司產品升級的基礎設施。這些是最完整的NAC解決方案。但是，許多公司都沒有提出這種廣泛的NAC部署，因為這種解決方案價格昂貴，而且需要徹底升級基礎設施。

　　Pescatore說，大多數企業都沒有準備那樣做。我們對客戶說，如果你已經升級了你的思科網絡，這個事情是你應該考慮的。

　　Pescatore說，NAC還以軟件代理的方式提供，如殺毒軟件、個人防火墻和設置管理工具等。一些小廠商還制作NAV設備。這些設備不能解決每一個NAC的痛點。但是，這些設備為更廣泛的應用打開了大門。他建議說，你應該坐下來考慮你應用NAC的真正動機。

　　一些公司要在允許一臺設備進入網絡之前確定這設備是不是危險的或者有安全漏洞的。其它一些公司不得不允許非雇員或者非雇員的PC進入網絡。

　　Pescatore說，如果那是你的全部動機，你就不需要批準在全面升級中的一切花費。

　　其它公司采用NAC的動機還包括對于安全的擔心。例如，一家公司也許允許非雇員的PC進入網絡。但是，這些公司也許還需要找一些工具監視網絡中可能存在的潛在威脅。

　　Pescatore說，你可以從小范圍的應用開始，做客戶網絡，然后再進一步發展。如果這個網絡明年要升級路由器和交換機，最好考慮使用思科NAC和微軟的NAP。

　　一些公司對繁榮和充滿言過其實的宣傳的市場中的NAC技術的成熟程度仍存在疑問。但是，Pescatore指出，一些公司正在使用各種類型的NAC產品，沒有出現重大的故障。至于完全的NAC框架，他建議謹慎對待。

　　他說，許多公司正在把NAC技術用于客戶訪問，而且效果很好。但是，真正的問題的全面的解決方案發揮作用的很少，除非你正在試驗一個全面的解決方案。

　　Pescatore補充說，無論你的起點在哪里，任何水平的NAC應用都不是一次性的投資。