在你在自己的網(wǎng)絡(luò)上實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制（Network Admission Control，簡稱NAC）之前，你首先需要清楚你要進(jìn)行什么操作；在多數(shù)情況下，NAC可能是一個(gè)大型的復(fù)雜項(xiàng)目，而不管你要實(shí)施哪家廠商的產(chǎn)品。筆者將以思科的NAC產(chǎn)品為例，將其實(shí)施步驟分解為五步，并討論一些你需要關(guān)注的問題。
　
第一步：實(shí)施之前首先需要定義目標(biāo)
　
現(xiàn)在幾乎人人都在談?wù)揘AC，不過千萬不可貿(mào)然行事。首先，在投入時(shí)間和金錢之前，先問自己如下幾個(gè)問題，只有這樣你才能更好地定義自己的目標(biāo)：
　
需要保障安全的是什么對象？
　
我們在什么地方缺乏安全性，思科的NAC如何幫助我們解決這些問題？
　
實(shí)施一個(gè)思科NAC解決方案的總體影響是什么？除了保障PC（或其它的任何目標(biāo)）的安全，對幫助臺的工作人員、終端用戶、在外的銷售人員、遠(yuǎn)程訪問用戶會(huì)有什么影響？
　
實(shí)施思科的NAC方案的益處與由此引起的影響孰輕孰重？
　
在這個(gè)時(shí)點(diǎn)上你真得需要采用NAC嗎？對于任何專家來說，何時(shí)實(shí)施NAC都是一個(gè)難以回答的問題。當(dāng)然，NAC目前提供了一些重要特性，而且它毫無疑問地會(huì)使你的網(wǎng)絡(luò)更安全。然而，NAC的技術(shù)性能與特性仍處于初期階段。
　
你需要審視是什么驅(qū)使你決定實(shí)施NAC.不要因?yàn)檫@是一種趨勢而采用它，要確信這項(xiàng)技術(shù)適合你公司的需要，并且能夠解決安全問題，而不會(huì)給用戶或管理員帶來太多的負(fù)擔(dān)。
　
此外，還要記住，你可能沒有足夠的信息來獲知實(shí)施這樣一種大型方案所帶來的影響。例如，可能你并不知道定期外出的銷售人員會(huì)從副總裁的辦公室連接到你的網(wǎng)絡(luò)中。如果你實(shí)施了思科的NAC，而副總裁卻大發(fā)雷霆，因?yàn)槟銓?shí)施了這種新的安全措施，結(jié)果他最喜歡的銷售人員無法訪問互聯(lián)網(wǎng)，你該怎么辦？這些問題總是令人難堪，因此要在其發(fā)生這前盡力阻止其發(fā)生。
　
第二步：定義NAC項(xiàng)目的實(shí)施范圍
　
在將任何資金投到一個(gè)思科NAC項(xiàng)目之前，你的思科銷售商應(yīng)能夠?yàn)槟闾峁┠硞�(gè)工作范圍，它應(yīng)該一步一步地告訴你思科的NAC項(xiàng)目將包含哪些東西。
　
將工作范圍與它可能為企業(yè)帶來的利益、需要和弊端相比較�？紤]這個(gè)范圍適合你的需要嗎？你正在進(jìn)行的工作能夠真得能為你解決問題嗎？
　
第三步：你的NAC系統(tǒng)將如何設(shè)計(jì)？
　
一旦你認(rèn)為自己不是為了趕時(shí)髦而購買這種最新的最流行的方案，就要問一下自己，應(yīng)該如何設(shè)計(jì)NAC的實(shí)施。因?yàn)樗伎芅AC可在網(wǎng)絡(luò)中的不同點(diǎn)上實(shí)施，所以公司提前知道其執(zhí)行點(diǎn)應(yīng)該在什么地方是很重要的。一般說來，NAC可被部署在三個(gè)點(diǎn)上：內(nèi)聯(lián)（inline）、帶外（out-of-band）、軟件代理。
　
實(shí)際上，執(zhí)行點(diǎn)的問題是伴隨著NAC實(shí)施的最重大的設(shè)計(jì)問題之一。例如，如果一家公司將其NAC系統(tǒng)設(shè)計(jì)為“內(nèi)聯(lián)式”，而NAC設(shè)備失效，那么此設(shè)備后面的所有計(jì)算機(jī)將再也不能訪問網(wǎng)絡(luò)了。IT管理人員應(yīng)該準(zhǔn)備好相關(guān)的文件材料和人員培訓(xùn)，要知道一旦發(fā)生這種情況應(yīng)采取哪些措施。
　
最后，要考慮哪種類型的NAC設(shè)計(jì)能夠滿足你的安全需要，并且盡可能地不打擾終端用戶。例如，你可以采用思科、Nevis、Vernier等廠商提供的“內(nèi)聯(lián)式”方案，或者采用ForeScout提供的“帶外”方案。另外一方面，你還可以用來自思科、InfoExpress、Elemental等公司的軟件代理來部署NAC.筆者以為，思科的內(nèi)聯(lián)式設(shè)計(jì)目前更為流行，因?yàn)槠湎鄬Χ�言部署和管理起來都不太�?fù)雜�！�

第四步：分析和測試你的NAC選擇
　
除非你過去實(shí)施過NAC，與僅僅自己動(dòng)手摸索、操作相比，觀察分析和分析白皮書的幫助作用可能并不太大。因此，在你將其在自己的網(wǎng)絡(luò)上測試之前，你不應(yīng)該購買一個(gè)NAC方案。你的思科產(chǎn)品銷售商應(yīng)在這方面提供幫助。
　
一旦你已經(jīng)測試了一個(gè)NAC方案，就需要確定它會(huì)執(zhí)行你要求的任何事情。例如，NAC解決方案應(yīng)該能夠運(yùn)行一次預(yù)準(zhǔn)入檢查、后準(zhǔn)入檢查、主機(jī)地位檢查。此外，一個(gè)NAC方案還應(yīng)該能夠用現(xiàn)有的架構(gòu)確認(rèn)你的網(wǎng)絡(luò)資源。例如，一個(gè)NAC解決方案應(yīng)該能夠用Windows的活動(dòng)目錄來確認(rèn)用戶和計(jì)算機(jī)。
　
要問一下自己實(shí)施一個(gè)NAC方案對你的真正含義。任何一種在全公司實(shí)施的產(chǎn)品（它可能要涉及到每一個(gè)設(shè)備）將會(huì)相當(dāng)昂貴。實(shí)施的成本將依賴于你作出的設(shè)計(jì)選擇，因此一定要確保你用所實(shí)施的方法衡量自己的設(shè)計(jì)選擇。例如，部署軟件代理可能要比基于硬件的方法花費(fèi)更少。
　
另一方面，在網(wǎng)絡(luò)中插入一個(gè)獨(dú)立的NAC設(shè)備可能不會(huì)花費(fèi)太多時(shí)間，但其配置成本卻可能很高，因此需要準(zhǔn)備一個(gè)備份單元，以應(yīng)對主要單元失效的問題。
　
小型測試的例子可能有：
　
為來賓網(wǎng)絡(luò)設(shè)置一個(gè)NAC解決方案：對于臨時(shí)來訪的銷售人員等，需要訪問一個(gè)用思科NAC設(shè)備保障其安全的網(wǎng)絡(luò)。因此，其計(jì)算機(jī)就可以用最新的反病毒定義、操作系統(tǒng)補(bǔ)丁等檢查。
　
為一小組節(jié)點(diǎn)設(shè)置一個(gè)NAC解決方案：用此方法，在將一個(gè)NAC方案在整個(gè)系統(tǒng)中實(shí)施之前，你就可以看出一個(gè)插入式NAC是怎樣的。
　
僅為無線用戶設(shè)置一個(gè)NAC：如果你有大量的無線用戶，就應(yīng)當(dāng)通過這些用戶的子集實(shí)施測試。
　
第五步：在網(wǎng)絡(luò)中實(shí)施NAC
　
在所有的正確計(jì)劃之后，你決定在你的網(wǎng)絡(luò)中實(shí)施NAC結(jié)構(gòu)，不過還有一些問題需要考慮：
　
誰來實(shí)施？是組織中的擁有NAC經(jīng)驗(yàn)的任何人嗎？或者你要依賴于一個(gè)外部的公司來實(shí)施？
　
NAC如何適應(yīng)你的網(wǎng)絡(luò)安全策略？為強(qiáng)化安全，NAC的實(shí)施必須與對網(wǎng)絡(luò)安全的改變保持一致和統(tǒng)一；你絕對不希望人們想方設(shè)法繞過NAC和你設(shè)置的安全措施。
　
你如何展開NAC系統(tǒng)的部署？
　
這種實(shí)施對用戶的總體影響是什么？
　
最后，實(shí)施計(jì)劃看起來是什么樣子？實(shí)施計(jì)劃適合你最初的需要嗎？誰來評審計(jì)劃以確保它的簡易可行？此計(jì)劃是基于所執(zhí)行的動(dòng)態(tài)測試嗎？
　
在任何生產(chǎn)性網(wǎng)絡(luò)上實(shí)施NAC不是一個(gè)簡單任務(wù)，因此你需要保障你的實(shí)施計(jì)劃得到了測試并如計(jì)劃進(jìn)行。
　
結(jié)束語
　
當(dāng)然，這些措施并不限于思科的NAC，而是幾乎可適用于任何NAC解決方案。雖然NAC是一個(gè)十分時(shí)髦的詞，但你要保障不是因?yàn)樗�流行才采用。你需要確信你的網(wǎng)絡(luò)真得存在安全問題，而這種NAC的實(shí)施能夠真正地解決這些問題。你不妨問一下自己本文中所提出的問題，并試著用其保障NAC方案的實(shí)施獲得成功。