2008-01-28 09:39 文章来源：网界网

NAC

不再是一场表演赛

关于网络接入控制（NAC），有些事情我们已经可以确定。一、NAC很热。二、NAC很难。

IT管理者希望保障用户的系统在出现差错后能够恢复原状，不至于影响整个公司的业务。IT管理者希望与接入网络的访客签订保障契约，确保其不会做出危害网络的行为或窃取机密信息。IT管理者希望确保用户能够被适当地授权，且只能访问他们工作所需要的应用。

困难的部分在于要考虑如何才能实现上述这一切，或者实现其中之一部分。

现在已经有了很多相互竞争的标准和方法，你可以尝试某一种而放弃其他的。比如说，你可以使用可信任计算集团（TCG）的可信任网络连接（TNC）架构。已经有很多厂商在提供支持TNC架构的点产品。但思科没有。

因为思科有它自己的CNAC架构。思科既有支持整体架构产品，也有支持单点的产品。让人不解的是，思科现有的MAC设备及其NAC架构使用不同的客户端软件来评估网络端点的安全状况。这种做法在用户中间引起了相当的混乱，思科不得不在去年8月试图统一这种双轨策略，发布了被称为oneNAC的产品组合。

还有微软。微软甚至都不使用NAC这一术语。微软感觉有必要使用自己的术语——网络接入保护或NAP。微软提出这一术语的时间相当早，但要实际推出相应的产品已证明并非一件易事。

微软的NAP策略服务器在Windows Server 2008交付之前是不会上市的。所以，企业目前尚无法部署完全成熟的微软NAP架构。

那么，用户该怎么做呢？是跟着TCG走，跟着思科走，还是等着微软？

《Network World》已经进行了数次NAC产品的测试，结果发现它们都能正常工作，而且可以互操作。如果你现在就需要NAC，这里可以给出一些选择。

首先，我们测试了基于思科架构和TCG架构的NAC解决方案，测试了30款用于终端用户认证、端点安全、安全策略强制执行和管理的产品。结论是，无论你选择TCG还是思科，都可以正常工作。

如果企业尚未准备好部署完全成熟的NAC架构，只是想用NAC设备堵堵漏洞的话，那么可选的产品就更多。我们测试了13款NAC点产品，结果发现，尽管每一款产品都有各自的优缺点，但一般而言，NAC点产品已完全可用。

IT管理者需要关注的问题是：我需要用NAC来实现什么目的？实现目的的最佳方式是什么？

NAC承诺的是对接入之前的控制，换句话说，已受到病毒感染的设备是不能接入网络的，同时要确保未受到认证的用户不能接入网络。然而对NAC工具的一种更有趣的使用却是对接入之后的控制——要保证端点在接入网络之后始终遵从安全策略，保证用户只能做允许他们做的事情。

IT管理者需要分析他们的需要，考察时间帧，然后决定要采用点产品还是架构产品。此外，如果采用架构产品，最好选择一种架构。这样的决策虽然不易做出，但却是IT管理者必须要尽快解决而不是拖到以后解决的事情。

1 2 3 4 5 6 7 8

责任编辑：程永来

文章评论

更多关于虚拟化,绿色IT,802.11n,iSCSI 的文章