病毒、蠕蟲和間諜軟件等新興網(wǎng)絡安全威脅繼續(xù)損害客戶利益并使機構損失大量的金錢、生產(chǎn)率和機會。與此同時，移動計算的普及進一步加劇了威脅。移動用戶能夠從家里或公共熱點連接互聯(lián)網(wǎng)或辦公室網(wǎng)絡 — 常在無意中輕易地感染病毒并將其帶進企業(yè)環(huán)境，進而感染網(wǎng)絡。

　　網(wǎng)絡準入控制(NAC) 進行了專門設計，可確保為訪問網(wǎng)絡資源的所有終端設備(如PC、筆記本電腦、服務器、智能電話或PDA等)提供足夠保護，以防御網(wǎng)絡安全威脅。作為著名防病毒、安全性和管理產(chǎn)品制造商共同參與的市場領先的計劃，NAC引起了媒體、分析公司及各規(guī)模機構的廣泛關注。

　　本文將解釋作為基于策略的安全戰(zhàn)略的一部分，NAC將發(fā)揮怎樣的關鍵作用，同時描述并定義可用的NAC方法。

　　NAC的優(yōu)勢

　　據(jù)2005 CSI/FBI安全報告稱，雖然安全技術多年來一直在發(fā)展且安全技術的實施更是耗資數(shù)百萬美元，但病毒、蠕蟲、間諜軟件和其他形式的惡意軟件仍然是各機構現(xiàn)在面臨的主要問題。機構每年遭遇的大量安全事故造成系統(tǒng)中斷、收入損失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問題，給機構帶來了巨大的經(jīng)濟影響。

　　顯然，僅憑傳統(tǒng)的安全解決方案無法解決這些問題。思科系統(tǒng)公司開發(fā)出了將領先的防病毒、安全和管理解決方案結合在一起的全面的安全解決方案，以確保網(wǎng)絡環(huán)境中的所有設備都符合安全策略。NAC允許您分析并控制試圖訪問網(wǎng)絡的所有設備。通過確保每個終端設備都符合企業(yè)安全策略(例如運行最相關的、最先進的安全保護措施)，機構可大幅度減少甚至是消除作為常見感染源或危害網(wǎng)絡的終端設備的數(shù)量。

　　大幅度提高網(wǎng)絡安全性

　　雖然大多數(shù)機構都使用身份管理及驗證、授權和記帳(AAA) 機制來驗證用戶并為其分配網(wǎng)絡訪問權限，但這些對驗證用戶終端設備的安全狀況幾乎不起任何作用。如果不通過準確方法來評估設備‘狀況’，即便是最值得信賴的用戶也有可能在無意間通過受感染的設備或未得到適當保護的設備，將網(wǎng)絡中所有用戶暴露在巨大風險之中。

　　NAC是構建在思科系統(tǒng)公司領導的行業(yè)計劃之上的一系列技術和解決方案。NAC使用網(wǎng)絡基礎設施對試圖訪問網(wǎng)絡計算資源的所有設備執(zhí)行安全策略檢查，從而限制病毒、蠕蟲和間諜軟件等新興安全威脅損害網(wǎng)絡安全性。實施NAC的客戶能夠僅允許遵守安全策略的可信終端設備(PC、服務器及PDA等)訪問網(wǎng)絡，并控制不符合策略或不可管理的設備訪問網(wǎng)絡。

　　NAC設計集成在網(wǎng)絡基礎設施之中，因此是獨一無二的。那么，為何要在網(wǎng)絡上（而不是其他位置）實施策略符合性和驗證戰(zhàn)略呢？

　　1. 機構感興趣或關心的每個比特的數(shù)據(jù)都通過網(wǎng)絡傳輸。

　　2. 機構感興趣或關系的每個設備都與相同的網(wǎng)絡相連接。

　　3. 對網(wǎng)絡實施準入控制使機構能夠部署盡量廣泛的安全解決方案，包含盡可能多的網(wǎng)絡設備。

　　4. 這個戰(zhàn)略利用機構的現(xiàn)有基礎設施、安全性和管理部署，因此最大限度地降低了IT開銷。

　　通過運行NAC，只要終端設備試圖連接網(wǎng)絡，網(wǎng)絡訪問設備(LAN、WAN、無線或遠程訪問設備)都將自動申請已安裝的客戶端或評估工具提供終端設備的安全資料。隨后將這些資料信息與網(wǎng)絡安全策略進行比較，并根據(jù)設備對這個策略的符合水平來決定如何處理網(wǎng)絡訪問請求。網(wǎng)絡可以簡單地準許或拒絕訪問，也可通過將設備重新定向到某個網(wǎng)段來限制網(wǎng)絡訪問，從而避免暴露給潛在的安全漏洞。此外，網(wǎng)絡還能隔離的設備，它將不符合策略的設備重新定向到修補服務器中，以便通過組件更新使設備達到策略符合水平。

　　NAC執(zhí)行的某些安全策略符合檢查包括：

　　判斷設備是否運行操作系統(tǒng)的授權版本。

　　通過檢查來查看操作系統(tǒng)是否安裝了適當補丁，或完成了最新的熱修復。

　　判斷設備是否安裝了防病毒軟件以及是否帶有最新的系列簽名文件。

　　確保已打開并正在運行防病毒技術。

　　判斷是否已安裝并正確配置了個人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件。

　　檢查設備的企業(yè)鏡像是否已被修改或篡改。

　　NAC隨后根據(jù)上述問題的答案做出基于策略的明智的網(wǎng)絡準入決策。

　　實施NAC解決方案的某些優(yōu)勢包括：

　　1. 幫助確保所有的用戶網(wǎng)絡設備都符合安全策略，從而大幅度提高網(wǎng)絡的安全性，不受規(guī)模和復雜性的影響。通過積極抵御蠕蟲、病毒、間諜軟件和惡意軟件的攻擊，機構可將注意力放在主動防御上（而不是被動響應）。

　　2. 通過著名制造商的廣泛部署與集成來擴展現(xiàn)有思科網(wǎng)絡及防病毒、安全性和管理軟件的價值。

　　3. 檢測并控制試圖連接網(wǎng)絡的所有設備，不受其訪問方法的影響(如路由器、交換機、無線、VPN和撥號等)，從而提高企業(yè)永續(xù)性和可擴展性。

　　4. 防止不符合策略和不可管理的終端設備影響網(wǎng)絡可用性或用戶生產(chǎn)率。

　　5. 降低與識別和修復不符合策略的、不可管理的和受感染的系統(tǒng)相關的運行成本。NAC實施選項

　　思科同時提供基于產(chǎn)品和架構的NAC框架方法，以滿足任何機構的功能和運行要求，無論是簡單的安全策略要求，還是涉及到大量安全供應商的、與企業(yè)桌面系統(tǒng)管理解決方案相關的、復雜的安全實施要求。

　　NAC產(chǎn)品‘Cisco Clean Access’通過自帶的終端評估、策略管理和修補服務支持快速部署。此外，NAC框架還將智能網(wǎng)絡基礎設施與50多家著名防病毒產(chǎn)品制造商提供的解決方案以及其他安全和管理軟件解決方案集成在一起。　　

　　NAC產(chǎn)品

　　通過Cisco Clean Access產(chǎn)品系列提供的NAC產(chǎn)品，利用自帶的終端評估、策略管理和修補服務支持快速部署。 這種可快速部署的“一體化解決方案”技術可自動檢測、隔離并清潔試圖訪問網(wǎng)絡的已感染終端或易受攻擊的有線或無線終端。

　　Cisco Clean Access提供三種關鍵的保護功能：

　　在驗證授權點識別用戶、用戶設備及其在網(wǎng)絡中的作用。

　　使用掃描和分析技術評估終端的安全狀態(tài)，或使用輕型代理進行更深入的狀態(tài)評估，以檢查安全漏洞。

　　通過阻止、隔離和修復不符合策略的終端等方法在網(wǎng)絡中執(zhí)行安全策略。

　　Cisco Clean Access還提供以下實施優(yōu)勢：

　　可擴展性—Cisco Clean Access可直接部署，用于滿足網(wǎng)絡準入需求，同時設計并評估NAC框架，這是因為Cisco Clean Access組件可集成到更廣泛的NAC框架架構中。

　　快速部署—Cisco Clean Access是現(xiàn)成的“緊縮型” 套裝解決方案，針對防病毒、防間諜軟件和Microsoft更新提供預裝支持。

　　靈活性—Cisco Clean Access支持運行多個桌面操作系統(tǒng)的混合網(wǎng)絡基礎設施。

　　最適合部署Cisco Clean Access的網(wǎng)絡包含以下特征：

　　非802.1x LAN 環(huán)境

　　無線、分支、遠程或簡單的LAN環(huán)境

　　集中的IT環(huán)境和管理

　　有不可管理的計算機需訪問網(wǎng)絡(如客人、承包商或學生)

　　混合(多廠商)網(wǎng)絡基礎設施

　　NAC框架解決方案

　　NAC也可作為基于架構的框架解決方案提供，能同時利用現(xiàn)有的思科網(wǎng)絡技術庫和其他制造商提供的安全性和管理解決方案部署。

　　NAC框架解決方案提供以下優(yōu)勢：

　　可評估使用所有訪問方法，包括LAN、無線、遠程訪問和WAN的所有終端，來進行全面控制

　　終端可視性和控制確保可管理的、不可管理的、訪客和惡意設備均符合企業(yè)安全策略

　　終端控制的全程支持可自動執(zhí)行終端的評估、驗證、授權和修補流程

　　將集中策略管理、智能網(wǎng)絡設備及網(wǎng)絡服務與幾十家著名防病毒、安全和管理供應商提供的解決方案結合在一起，以提供精確的準入控制管理

　　基于標準的、靈活的API允許多個第三方參與整體解決方案，從而支持豐富的合作伙伴和技術生態(tài)系統(tǒng)

　　最適合部署NAC框架的網(wǎng)絡包含以下特征：

　　大型企業(yè)部署

　　復雜的LAN/WAN/無線環(huán)境

　　完全或主要基于思科技術的LAN/WAN/無線基礎設施

　　與NAC合作伙伴安全和管理解決方案存在運行上的互操作性

　　已實施或計劃實施IP電話

　　已實施或計劃實施802.1X

　　投資保護

　　思科提供最全面的準入控制產(chǎn)品和解決方案來滿足任何機構的功能需求。鑒于許多機構的需求都在不斷變化，因此，現(xiàn)在安裝的Cisco Clean Access產(chǎn)品組件可用于支持隨后的的NAC框架實施。

　　無論您決定使用哪種方法，思科NAC技術都能保護您在相應網(wǎng)絡技術上的投資。同時，互操作性和功能兼容性可確保從Cisco Clean Access平穩(wěn)過渡到NAC框架技術，以利用更多的優(yōu)勢和功能。

　　規(guī)劃、設計并部署有效的NAC解決方案

　　為了幫助確保成功部署思科NAC技術，思科高級服務機構提供以下需求分析、規(guī)劃、設計和實施服務： 

　　NAC就緒評估—分析部署要求并評估網(wǎng)絡設備、運行和架構是否為支持NAC準備就緒。NAC有限部署—提供有限部署解決方案的安裝和配置服務，允許您的工作人員測試NAC并獲得實踐經(jīng)驗。

　　NAC設計開發(fā)—幫助您的團隊制訂具體的設計方案，以便將NAC集成到您的網(wǎng)絡基礎設施中。

　　NAC實施工程—支持您的團隊制訂具體的安裝、配置、集成和管理方案，并提供現(xiàn)場安裝、配置和測試服務，以幫助確保將部署平穩(wěn)地集成到您的生產(chǎn)環(huán)境中，從而實現(xiàn)全面實施。

　　一旦NAC部署完畢，思科技術支持服務機構便與您的內(nèi)部工作人員一起工作，以確保思科產(chǎn)品的高效運行、持續(xù)提供高可用性、以及安裝最新的系統(tǒng)軟件。

　　我接下來應開展哪些工作？

　　1. 即刻部署Cisco Clean Access。Cisco Clean Access使您能夠立刻獲得準入控制解決方案的優(yōu)勢。

　　2. 決定您是否需要基于架構的NAC框架解決方案。通過運行Cisco Clean Access，您可開始評估是否還需要滿足基于架構的方法要求。當您在選擇部署任何NAC解決方案時，必須考慮多個因素，包括作為部署目的地的網(wǎng)絡以及正在部署它的機構類型等。

　　3. 考慮尋求某些幫助。思科高級服務機構可幫您設計、實施、集成并部署定制的NAC解決方案。

　　4. 利用您的Cisco Clean Access投資。Cisco Clean Access組件可全面集成到NAC框架解決方案中。

　　NAC技術

　　NAC設備組件

　　Cisco Clean Access包含以下組件： 

　　Cisco Clean Access Server，評估設備并基于終端的策略符合情況授予訪問權限

　　Cisco Clean Access Manager，集中管理Cisco Clean Access解決方案，包括執(zhí)行策略和修補服務

　　Cisco Clean Access Agent，可選的免費軟件，提供更嚴格的終端策略符合評估，并同時簡化可管理與不可管理環(huán)境中的修補流程

　　Cisco Clean Access通過以下技術支持無線訪問： 

　　所有的802.11 Wi-Fi接入點，包括Cisco Aironet接入點 

　　提供支持NAC的IEEE 802.1X請求系統(tǒng)的所有Wi-Fi客戶設備

　　NAC框架的組件

　　NAC框架提供以下技術支持： 

　　為園區(qū)LAN、WAN、VPN和無線接入點提供廣泛的網(wǎng)絡設備支持

　　連接第三方主機評估工具，用于評估無人值守的、“無代理的”和其他非響應型設備，且能夠?qū)γ總€設備應用不同的策略

　　為思科可信代理提供廣泛的平臺支持

　　通過遠遠超越防病毒和基本操作系統(tǒng)補丁的應用和操作系統(tǒng)狀態(tài)檢查，來擴展多廠商集成功能

　　NAC框架得到以下技術的支持： 

　　思科路由器：Cisco 83x、18xx、28xx 和 38xx系列集成多業(yè)務路由器；1701、1711、1712、1721、1751、1751-V和1760模塊化接入路由器；2600XM、2691、3640 和 3660-ENT多業(yè)務接入路由器以及72xx 系列路由器

　　思科交換機：

　　- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720，安裝Cisco Catalyst OS 和 Cisco IOSreg; 軟件或者混合應用(Supervisor Engine 32 和 720上支持Cisco IOS軟件)

　　- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE，安裝Cisco IOS軟件

　　- Cisco Catalyst 4948 和 4948-10GE

　　- Cisco Catalyst 3550、3560 和3750，安裝Cisco IOS IP Base和IP Services版本

　　- Cisco Catalyst 2940、2950、2955、2960、2970

　　思科無線接入點：Cisco Aironet接入點、連接思科無線局域網(wǎng)控制器的Cisco Aironet輕型接入點、Cisco Catalyst 6500系列無線局域網(wǎng)服務模塊(WLSM)、所有的Cisco Aironet、思科兼容產(chǎn)品、提供支持NAC的IEEE 802.1X請求系統(tǒng)的Wi-Fi客戶設備

　　Cisco VPN 3000系列集中器

　　思科可信代理

　　思科安全訪問控制服務器(ACS)

　　第三方供應商軟件

　　建議的組件：

　　– 思科安全代理

　　– 思科安全監(jiān)控、分析和響應系統(tǒng)(MARS)

　　– CiscoWorks安全和信息管理解決方案(SIMS)