病毒、蠕蟲和間諜軟件等新興網絡安全威脅繼續損害客戶利益并使機構損失大量的金錢、生產率和機會。與此同時，移動計算的普及進一步加劇了威脅。移動用戶能夠從家里或公共熱點連接互聯網或辦公室網絡 — 常在無意中輕易地感染病毒并將其帶進企業環境，進而感染網絡。

　　網絡準入控制(NAC) 進行了專門設計，可確保為訪問網絡資源的所有終端設備(如PC、筆記本電腦、服務器、智能電話或PDA等)提供足夠保護，以防御網絡安全威脅。作為著名防病毒、安全性和管理產品制造商共同參與的市場領先的計劃，NAC引起了媒體、分析公司及各規模機構的廣泛關注。

　　本文將解釋作為基于策略的安全戰略的一部分，NAC將發揮怎樣的關鍵作用，同時描述并定義可用的NAC方法。

　　NAC的優勢

　　據2005 CSI/FBI安全報告稱，雖然安全技術多年來一直在發展且安全技術的實施更是耗資數百萬美元，但病毒、蠕蟲、間諜軟件和其他形式的惡意軟件仍然是各機構現在面臨的主要問題。機構每年遭遇的大量安全事故造成系統中斷、收入損失、數據損壞或毀壞以及生產率降低等問題，給機構帶來了巨大的經濟影響。

　　顯然，僅憑傳統的安全解決方案無法解決這些問題。思科系統公司開發出了將領先的防病毒、安全和管理解決方案結合在一起的全面的安全解決方案，以確保網絡環境中的所有設備都符合安全策略。NAC允許您分析并控制試圖訪問網絡的所有設備。通過確保每個終端設備都符合企業安全策略(例如運行最相關的、最先進的安全保護措施)，機構可大幅度減少甚至是消除作為常見感染源或危害網絡的終端設備的數量。

　　大幅度提高網絡安全性

　　雖然大多數機構都使用身份管理及驗證、授權和記帳(AAA) 機制來驗證用戶并為其分配網絡訪問權限，但這些對驗證用戶終端設備的安全狀況幾乎不起任何作用。如果不通過準確方法來評估設備‘狀況’，即便是最值得信賴的用戶也有可能在無意間通過受感染的設備或未得到適當保護的設備，將網絡中所有用戶暴露在巨大風險之中。

　　NAC是構建在思科系統公司領導的行業計劃之上的一系列技術和解決方案。NAC使用網絡基礎設施對試圖訪問網絡計算資源的所有設備執行安全策略檢查，從而限制病毒、蠕蟲和間諜軟件等新興安全威脅損害網絡安全性。實施NAC的客戶能夠僅允許遵守安全策略的可信終端設備(PC、服務器及PDA等)訪問網絡，并控制不符合策略或不可管理的設備訪問網絡。

　　NAC設計集成在網絡基礎設施之中，因此是獨一無二的。那么，為何要在網絡上（而不是其他位置）實施策略符合性和驗證戰略呢？

　　1. 機構感興趣或關心的每個比特的數據都通過網絡傳輸。

　　2. 機構感興趣或關系的每個設備都與相同的網絡相連接。

　　3. 對網絡實施準入控制使機構能夠部署盡量廣泛的安全解決方案，包含盡可能多的網絡設備。

　　4. 這個戰略利用機構的現有基礎設施、安全性和管理部署，因此最大限度地降低了IT開銷。

　　通過運行NAC，只要終端設備試圖連接網絡，網絡訪問設備(LAN、WAN、無線或遠程訪問設備)都將自動申請已安裝的客戶端或評估工具提供終端設備的安全資料。隨后將這些資料信息與網絡安全策略進行比較，并根據設備對這個策略的符合水平來決定如何處理網絡訪問請求。網絡可以簡單地準許或拒絕訪問，也可通過將設備重新定向到某個網段來限制網絡訪問，從而避免暴露給潛在的安全漏洞。此外，網絡還能隔離的設備，它將不符合策略的設備重新定向到修補服務器中，以便通過組件更新使設備達到策略符合水平。

　　NAC執行的某些安全策略符合檢查包括：

　　判斷設備是否運行操作系統的授權版本。

　　通過檢查來查看操作系統是否安裝了適當補丁，或完成了最新的熱修復。

　　判斷設備是否安裝了防病毒軟件以及是否帶有最新的系列簽名文件。

　　確保已打開并正在運行防病毒技術。

　　判斷是否已安裝并正確配置了個人防火墻、入侵防御或其他桌面系統安全軟件。

　　檢查設備的企業鏡像是否已被修改或篡改。

　　NAC隨后根據上述問題的答案做出基于策略的明智的網絡準入決策。

　　實施NAC解決方案的某些優勢包括：

　　1. 幫助確保所有的用戶網絡設備都符合安全策略，從而大幅度提高網絡的安全性，不受規模和復雜性的影響。通過積極抵御蠕蟲、病毒、間諜軟件和惡意軟件的攻擊，機構可將注意力放在主動防御上（而不是被動響應）。

　　2. 通過著名制造商的廣泛部署與集成來擴展現有思科網絡及防病毒、安全性和管理軟件的價值。

　　3. 檢測并控制試圖連接網絡的所有設備，不受其訪問方法的影響(如路由器、交換機、無線、VPN和撥號等)，從而提高企業永續性和可擴展性。

　　4. 防止不符合策略和不可管理的終端設備影響網絡可用性或用戶生產率。

　　5. 降低與識別和修復不符合策略的、不可管理的和受感染的系統相關的運行成本。NAC實施選項

　　思科同時提供基于產品和架構的NAC框架方法，以滿足任何機構的功能和運行要求，無論是簡單的安全策略要求，還是涉及到大量安全供應商的、與企業桌面系統管理解決方案相關的、復雜的安全實施要求。

　　NAC產品‘Cisco Clean Access’通過自帶的終端評估、策略管理和修補服務支持快速部署。此外，NAC框架還將智能網絡基礎設施與50多家著名防病毒產品制造商提供的解決方案以及其他安全和管理軟件解決方案集成在一起。　　

　　NAC產品

　　通過Cisco Clean Access產品系列提供的NAC產品，利用自帶的終端評估、策略管理和修補服務支持快速部署。 這種可快速部署的“一體化解決方案”技術可自動檢測、隔離并清潔試圖訪問網絡的已感染終端或易受攻擊的有線或無線終端。

　　Cisco Clean Access提供三種關鍵的保護功能：

　　在驗證授權點識別用戶、用戶設備及其在網絡中的作用。

　　使用掃描和分析技術評估終端的安全狀態，或使用輕型代理進行更深入的狀態評估，以檢查安全漏洞。

　　通過阻止、隔離和修復不符合策略的終端等方法在網絡中執行安全策略。

　　Cisco Clean Access還提供以下實施優勢：

　　可擴展性—Cisco Clean Access可直接部署，用于滿足網絡準入需求，同時設計并評估NAC框架，這是因為Cisco Clean Access組件可集成到更廣泛的NAC框架架構中。

　　快速部署—Cisco Clean Access是現成的“緊縮型” 套裝解決方案，針對防病毒、防間諜軟件和Microsoft更新提供預裝支持。

　　靈活性—Cisco Clean Access支持運行多個桌面操作系統的混合網絡基礎設施。

　　最適合部署Cisco Clean Access的網絡包含以下特征：

　　非802.1x LAN 環境

　　無線、分支、遠程或簡單的LAN環境

　　集中的IT環境和管理

　　有不可管理的計算機需訪問網絡(如客人、承包商或學生)

　　混合(多廠商)網絡基礎設施

　　NAC框架解決方案

　　NAC也可作為基于架構的框架解決方案提供，能同時利用現有的思科網絡技術庫和其他制造商提供的安全性和管理解決方案部署。

　　NAC框架解決方案提供以下優勢：

　　可評估使用所有訪問方法，包括LAN、無線、遠程訪問和WAN的所有終端，來進行全面控制

　　終端可視性和控制確保可管理的、不可管理的、訪客和惡意設備均符合企業安全策略

　　終端控制的全程支持可自動執行終端的評估、驗證、授權和修補流程

　　將集中策略管理、智能網絡設備及網絡服務與幾十家著名防病毒、安全和管理供應商提供的解決方案結合在一起，以提供精確的準入控制管理

　　基于標準的、靈活的API允許多個第三方參與整體解決方案，從而支持豐富的合作伙伴和技術生態系統

　　最適合部署NAC框架的網絡包含以下特征：

　　大型企業部署

　　復雜的LAN/WAN/無線環境

　　完全或主要基于思科技術的LAN/WAN/無線基礎設施

　　與NAC合作伙伴安全和管理解決方案存在運行上的互操作性

　　已實施或計劃實施IP電話

　　已實施或計劃實施802.1X

　　投資保護

　　思科提供最全面的準入控制產品和解決方案來滿足任何機構的功能需求。鑒于許多機構的需求都在不斷變化，因此，現在安裝的Cisco Clean Access產品組件可用于支持隨后的的NAC框架實施。

　　無論您決定使用哪種方法，思科NAC技術都能保護您在相應網絡技術上的投資。同時，互操作性和功能兼容性可確保從Cisco Clean Access平穩過渡到NAC框架技術，以利用更多的優勢和功能。

　　規劃、設計并部署有效的NAC解決方案

　　為了幫助確保成功部署思科NAC技術，思科高級服務機構提供以下需求分析、規劃、設計和實施服務： 

　　NAC就緒評估—分析部署要求并評估網絡設備、運行和架構是否為支持NAC準備就緒。NAC有限部署—提供有限部署解決方案的安裝和配置服務，允許您的工作人員測試NAC并獲得實踐經驗。

　　NAC設計開發—幫助您的團隊制訂具體的設計方案，以便將NAC集成到您的網絡基礎設施中。

　　NAC實施工程—支持您的團隊制訂具體的安裝、配置、集成和管理方案，并提供現場安裝、配置和測試服務，以幫助確保將部署平穩地集成到您的生產環境中，從而實現全面實施。

　　一旦NAC部署完畢，思科技術支持服務機構便與您的內部工作人員一起工作，以確保思科產品的高效運行、持續提供高可用性、以及安裝最新的系統軟件。

　　我接下來應開展哪些工作？

　　1. 即刻部署Cisco Clean Access。Cisco Clean Access使您能夠立刻獲得準入控制解決方案的優勢。

　　2. 決定您是否需要基于架構的NAC框架解決方案。通過運行Cisco Clean Access，您可開始評估是否還需要滿足基于架構的方法要求。當您在選擇部署任何NAC解決方案時，必須考慮多個因素，包括作為部署目的地的網絡以及正在部署它的機構類型等。

　　3. 考慮尋求某些幫助。思科高級服務機構可幫您設計、實施、集成并部署定制的NAC解決方案。

　　4. 利用您的Cisco Clean Access投資。Cisco Clean Access組件可全面集成到NAC框架解決方案中。

　　NAC技術

　　NAC設備組件

　　Cisco Clean Access包含以下組件： 

　　Cisco Clean Access Server，評估設備并基于終端的策略符合情況授予訪問權限

　　Cisco Clean Access Manager，集中管理Cisco Clean Access解決方案，包括執行策略和修補服務

　　Cisco Clean Access Agent，可選的免費軟件，提供更嚴格的終端策略符合評估，并同時簡化可管理與不可管理環境中的修補流程

　　Cisco Clean Access通過以下技術支持無線訪問： 

　　所有的802.11 Wi-Fi接入點，包括Cisco Aironet接入點 

　　提供支持NAC的IEEE 802.1X請求系統的所有Wi-Fi客戶設備

　　NAC框架的組件

　　NAC框架提供以下技術支持： 

　　為園區LAN、WAN、VPN和無線接入點提供廣泛的網絡設備支持

　　連接第三方主機評估工具，用于評估無人值守的、“無代理的”和其他非響應型設備，且能夠對每個設備應用不同的策略

　　為思科可信代理提供廣泛的平臺支持

　　通過遠遠超越防病毒和基本操作系統補丁的應用和操作系統狀態檢查，來擴展多廠商集成功能

　　NAC框架得到以下技術的支持： 

　　思科路由器：Cisco 83x、18xx、28xx 和 38xx系列集成多業務路由器；1701、1711、1712、1721、1751、1751-V和1760模塊化接入路由器；2600XM、2691、3640 和 3660-ENT多業務接入路由器以及72xx 系列路由器

　　思科交換機：

　　- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720，安裝Cisco Catalyst OS 和 Cisco IOSreg; 軟件或者混合應用(Supervisor Engine 32 和 720上支持Cisco IOS軟件)

　　- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE，安裝Cisco IOS軟件

　　- Cisco Catalyst 4948 和 4948-10GE

　　- Cisco Catalyst 3550、3560 和3750，安裝Cisco IOS IP Base和IP Services版本

　　- Cisco Catalyst 2940、2950、2955、2960、2970

　　思科無線接入點：Cisco Aironet接入點、連接思科無線局域網控制器的Cisco Aironet輕型接入點、Cisco Catalyst 6500系列無線局域網服務模塊(WLSM)、所有的Cisco Aironet、思科兼容產品、提供支持NAC的IEEE 802.1X請求系統的Wi-Fi客戶設備

　　Cisco VPN 3000系列集中器

　　思科可信代理

　　思科安全訪問控制服務器(ACS)

　　第三方供應商軟件

　　建議的組件：

　　– 思科安全代理

　　– 思科安全監控、分析和響應系統(MARS)

　　– CiscoWorks安全和信息管理解決方案(SIMS)