网络访问控制（NAC）已经成为了一个不能回避的网络安全流行术语。随着50多家厂商声称已经拥有某种形式的NAC解决方案，这个事情更加模糊不清和令人困惑了。如果厂商是正确的，现在正是部署NAC的时机。从许多方面看，这些厂商并没有离题太远。

　　市场研究公司Gartner副总裁和著名分析师John Pescatore说，有许多言过其实的宣传。所有这些厂商对于NAC都有自己的说法。但是，你不必等待开始实施这些技术。

　　据Pescatore说，企业必须首先查看具体存在什么问题或者痛点，然后再利用NAC来解决。这些问题可能会指出应用哪一类NAC是一个好的起点。

　　定义你的NAC目标

　　市场研究公司Current Analysis高级分析师Andrew Braunberg说，每一个人对NAC都寄予很高的希望。但是，他补充说，需要确定NAC的准备情况，把问题归纳为企业必须首先问自己的几个简单的问题。要记住的事情是:你的起点在哪里?我要解决的痛点是什么?NAC解决方案能达到那个目标吗?当你做这个事情的时候，你的NAC解决方案的整个内容是什么?

　　Pescatore和Braunberg基本上一致认为，企业正指望把NAC用于客户网络接入。虽然安全和保密的客户接入是考虑采用NAC的合理理由，但是，它并不需要全新的基础设施来容纳思科的NAC框架或者微软的NAP等产品。

　　Braunberg表示，提前确定NAC部署的规模是有好处的，特别是在许多公司有一个“如果你没有在每一个地方都使用NAC的话，NAC有什么好处?”的想法的时候。

　　Braunberg说，我认为，人们应该开始解决他们现在感到痛苦的问题。但是，仍有许多市场教育工作要做。

　　市场研究公司Burton Group高级分析师Eric Maiwald也赞成这个观点。当问到企业现在是否应该开始考虑NAC的问题时，他说，这个问题没有答案。

　　Maiwald说，企业必须评估推动他们采用NAC的因素是什么。对于大多数机构来说，考虑NAC是因为NAC是一种最新的和最伟大的技术，因为遵守法规的问题，或者因为他们要控制客户或非雇员访问企业网络。

　　Maiwald说，控制谁能够进入你的网络是很长时间以前做不到的事情。NAC确实是一种新东西吗?或者NAC是下一代安全漏洞管理技术吗?NAC是下一代入侵防御系统吗?

　　由于NAC能够用于网络的不同点上(如内部、带外以及软件代理等)，企业需要调查他们强制执行的点应该在什么地方。

　　Maiwald说，强制执行点是这里关键的点之一。他们要在哪里强制执行网络访问控制呢?如果我要在内部应用，如果这个设备失效了，我应该做什么?

　　企业应该考虑哪一种类型的NAC在他们的环境中的影响最小，是ConSentry、Vernier和Nevis等公司的内部解决方案，Lockdown和Forescout等公司的带外解决方案，还是Elemental和InfoExpress等公司的软件代理?Maiwald说，内部和带外设备似乎正在受到许多关注。

        NAC的五项功能

　　Braunberg说，完整的NAC解决方案应该堵住五个漏洞。它应该执行准入之前的检查、主机状况检查和准入之后的检查。它还应该熟悉ID和基于ID的网络资源。

　　Braunberg表示，总的来说，没有一家厂商能够提供一个同时解决这五个问题的最好的解决方案。但是，总的来说，这项技术已经足够成熟，能够解决指定的每一个领域的问题。现在，Juniper公司第二阶段的统一访问控制产品拥有最广泛的方法。

　　Braunberg补充说，对于最初使用NAC的企业来说，同时解决这五个NAC方面的问题是没有必要的。他说，我认为你不需要同时解决所有这些领域的问题以便从今天的NAC解决方案中获得价值。

　　市场研究公司Gartner的高级分析师Pescatore说，有三种广泛类型的NAC技术。所有这些技术都能达到不同的监视水平。首先，有一些从思科和微软等公司产品升级的基础设施。这些是最完整的NAC解决方案。但是，许多公司都没有提出这种广泛的NAC部署，因为这种解决方案价格昂贵，而且需要彻底升级基础设施。

　　Pescatore说，大多数企业都没有准备那样做。我们对客户说，如果你已经升级了你的思科网络，这个事情是你应该考虑的。

　　Pescatore说，NAC还以软件代理的方式提供，如杀毒软件、个人防火墙和设置管理工具等。一些小厂商还制作NAV设备。这些设备不能解决每一个NAC的痛点。但是，这些设备为更广泛的应用打开了大门。他建议说，你应该坐下来考虑你应用NAC的真正动机。

　　一些公司要在允许一台设备进入网络之前确定这设备是不是危险的或者有安全漏洞的。其它一些公司不得不允许非雇员或者非雇员的PC进入网络。

　　Pescatore说，如果那是你的全部动机，你就不需要批准在全面升级中的一切花费。

　　其它公司采用NAC的动机还包括对于安全的担心。例如，一家公司也许允许非雇员的PC进入网络。但是，这些公司也许还需要找一些工具监视网络中可能存在的潜在威胁。

　　Pescatore说，你可以从小范围的应用开始，做客户网络，然后再进一步发展。如果这个网络明年要升级路由器和交换机，最好考虑使用思科NAC和微软的NAP。

　　一些公司对繁荣和充满言过其实的宣传的市场中的NAC技术的成熟程度仍存在疑问。但是，Pescatore指出，一些公司正在使用各种类型的NAC产品，没有出现重大的故障。至于完全的NAC框架，他建议谨慎对待。

　　他说，许多公司正在把NAC技术用于客户访问，而且效果很好。但是，真正的问题的全面的解决方案发挥作用的很少，除非你正在试验一个全面的解决方案。

　　Pescatore补充说，无论你的起点在哪里，任何水平的NAC应用都不是一次性的投资。