网络访问控制助网络做到无懈可击(4)

NAC系统添加到网络上有四种基本方式，各有其优缺点。许多NAC产品提供不止一种的部署方式。

带内NAC把设备插入到网络连接上，通常介于访问交换机和分布交换机之间。确定把设备放在何处时，别忘了这点：离主机越远，被攻击者盯上的潜在目标就越多。
带内NAC产品可以封阻流量，就像网络防火墙那样，但它的访问控制列表（ACL）却是针对每台主机定制的。还提供其他执行方法，如VLAN转向。带内NAC的优点在于，如果没法其他执行方法可以使用，嵌入式封阻仍是一种选择。缺点在于，增加了另一个潜在的故障点（确定设备是不是没有开启或者关闭），每个执行点都需要这样一个设备。

带外NAC比带内NAC更常使用，它包括属于PDP、但使用其他方法（如802.1X、DHCP和ARP管理或者VLAN转向）来执行策略的产品。一旦主机访问网络，NAC产品就会干预，执行某种评估，然后在适当时候授予访问权。带外NAC的优点在于，对网络性能影响很小；所需的设备也比较少。带外NAC的效果取决于发现及执行机制。举例说，如果主机有静态IP地址，很容易绕过DHCP控制机制。

基于交换机的NAC类似带内NAC，但不是在访问交换机和分布交换机之间进行执行，而在交换机本身上面执行。基于交换机的NAC与单单使用802.1X来控制端口有何区别？基于交换机的NAC产品不需要802.1X就能与访问请求者进行通信。

一旦主机请求访问，就使用代理或者无代理的扫描来进行评估，然后PDP为交换机端口设定策略。基于交换机的NAC产品还提供针对每个端口的内部入侵检测和异常检测功能，所以不需要集成外部系统。与带内NAC一样，基于交换机的NAC也能把访问控制应用于网络应用端口，并且根据流量类型来应用。理想情况下，为了获得粒度最细的控制，应当在端口层执行NAC；所以如果你打算升级交换机，就要购买交换机的高级功能。

基于主机的NAC依赖已安装的主机代理来评估及执行访问策略。已安装的代理进行集中管理，访问策略跟踪主机，哪怕未连接网络的时候。与基于网络的执行机制不同，基于主机的NAC不但能控制哪些流量进出网络，还能控制哪些应用可以使用网络。举例说，工作站上的程序没有理由连接到邮件端口上。主机代理的细粒度控制以及与用户的有限交互是基于主机的NAC很吸引人的理由。当然，需要管理另一个软件代理，访客和承包商访问常常得不到很好的支持。另外，非Windows主机也未得到支持。

【相关文章】

• 专题：NAC安全访问控制