我為什么應該關心訪問控制？

現今病毒與蠕蟲不斷的在影響企業營運，它可以導致停工、恢復所需費用、無止盡的修補、公共責任、收入的損失等。最新 的攻擊傳播速度表明了，系統安全更新(patch)遠跟不上脆弱的系統被攻擊的速度，而且我們發現，系統經常在安全業者提供最新的更新碼(patch、病毒碼)之前就已經遭受了攻擊。

什么問題需要被解決？

每當端點登錄到網絡時，它有就具有影響該網絡安全的潛在的危險。未確實遵循網絡安全政策（病毒碼過期、系統漏洞未修補等）的服務器及Desktop普遍存在于企業網絡中并難以發現，且實務上無法有效控制。每當它們連接網絡時，它們即增加了網絡環境安全的威脅。

如果上述 endpoints 只要有一臺有感染一種以上的病毒或蠕蟲，找到并且隔離那個系統，甚或將其自網絡移除。在移除的這段時間內，你往往會覺得時間和可使用資源永遠不夠。

最后，當傳統的端點安全技術（Antivirus、Desktop Firewall…etc.）努力保護被攻擊的端點時，它們對于保障企業網絡可使用性卻無能為力，甚或去確保企業的彈性與損害恢復能力。
　
網絡訪問控制

網絡訪問控制（NAC）是一思科（Cisco）主導的泛產業級的協同研究成果，NAC可以協助保證每一 endpoint 在進入網絡前皆符合網絡安全規范。

NAC機制可以提供保證端點設備在存取網絡前是完全遵循已建立的安全策略，并可保證不符合安全策略的設備無法存取該網絡、并設置可補救的隔離區供端點修正網絡政策，或者限制其可存取的資源。

NAC包括幾個必要的組成部分：

1.Communications agent － Cisco Trust Agent（簡稱CTA）是一個軟件工具，負責搜集端點的安全訊息與設定等信息，例如防毒軟件、OS及Cisco Security Agent（CSA），并把這些訊息傳遞到網絡存取裝置（Network access devices）。
2.Network access devices － 每一個設備在一開始尋求網絡服務時將先與一個網絡存取裝置（router、switch、VPN concentrator、or firewall）聯系。這些裝置能要求端點必須提供由CTA產生的「安全憑證」，并且將這些訊息轉送至政策服務器（policy server）以取得該端點存取網絡之「允許權」。
3.Policy servers － 思科安全存取控制服務器（Cisco Secure Access Control Server，簡稱ACS）或其它供貨商政策服務器檢查從網絡存取裝置轉送至的端點安全憑證，判定并給予其適當的存取權限（permit, deny, quarantine, restrict）。
4.Management systems － CiscoWorks VPN/Security Management Solution（VMS）、 CiscoWorks Security Information Manager Solution（SIMS）、以及NAC cosponsor management solutions規范了NAC的要素，并提供監控和報告工具，以及管理端點安全的應用服務。
5.Advance service － 進階服務提供了結合計劃、設計、以及建置咨詢服務，用以幫助IT人員快速部署NAC解決方案，以落實Cisco NAC所提供的承諾。