基于硬件的網(wǎng)絡(luò)接入控制、基于代理的軟件網(wǎng)絡(luò)接入控制、無代理的軟件網(wǎng)絡(luò)接入控制或者動(dòng)態(tài)網(wǎng)絡(luò)接入控制全都可以改善網(wǎng)絡(luò)安全。要選擇正確的解決方案，IT經(jīng)理需要考慮他們網(wǎng)絡(luò)接入控制部署的目標(biāo)，包括理想的安全水平和管理水平。網(wǎng)絡(luò)接入控制廠商InfoExpress公司首席執(zhí)行官、首席技術(shù)官和共同創(chuàng)始人Stacey Lum介紹了IT經(jīng)理需要了解什么知識(shí)才能確定適合自己環(huán)境類型的最佳網(wǎng)絡(luò)接入控制選擇。

網(wǎng)絡(luò)接入控制能夠改善安全是沒有爭(zhēng)議的。網(wǎng)絡(luò)接入控制能夠迅速判斷來自不應(yīng)該獲得接入批準(zhǔn)的那些系統(tǒng)的用戶，并且保證防火墻設(shè)置、殺毒軟件和補(bǔ)丁水平都保持最新的狀態(tài)。在使用正確的時(shí)候，網(wǎng)絡(luò)接入控制能夠創(chuàng)造一個(gè)沒有病毒感染的通訊流并且沒有與安全突破有關(guān)的許多其它風(fēng)險(xiǎn)的網(wǎng)絡(luò)。

很誘人，是嗎?是的。但是，沒有天上掉餡餅的好事。許多網(wǎng)絡(luò)接入控制解決方案都太昂貴以至于不能部署和管理。我們?cè)谶@篇文章中將告訴你需要了解什么知識(shí)來確定適合你的環(huán)境類型的最佳的網(wǎng)絡(luò)接入控制選擇。但是，在我們討論這個(gè)問題之前，我們需要簡(jiǎn)單再了解一下網(wǎng)絡(luò)接入控制的四種主要類型：基于硬件的網(wǎng)絡(luò)接入控制;基于代理的軟件網(wǎng)絡(luò)接入控制;無代理的軟件網(wǎng)絡(luò)接入控制;動(dòng)態(tài)網(wǎng)絡(luò)接入控制。

無論你選擇哪一種網(wǎng)絡(luò)接入控制解決方案，你都需要考慮你部署網(wǎng)絡(luò)接入控制的目標(biāo)，如安全與管理水平以及根據(jù)你的企業(yè)和網(wǎng)絡(luò)規(guī)模的其它因素。

網(wǎng)絡(luò)接入控制與地理分散的網(wǎng)絡(luò)

對(duì)于一個(gè)大型網(wǎng)絡(luò)，有許多部署、管理和運(yùn)營(yíng)的考慮。例如，位于交換機(jī)上游的基于硬件的線內(nèi)網(wǎng)絡(luò)接入控制解決方案產(chǎn)生一個(gè)潛在的單個(gè)故障點(diǎn)。如果這些解決方案跟不上目前高速的10G網(wǎng)絡(luò)干線的速度，這些解決方案就是破壞性的。

而且，線內(nèi)網(wǎng)絡(luò)接入控制解決方案對(duì)于地理上高度分散的或者高度分段的網(wǎng)絡(luò)也許都是不理想的。這種解決方案不僅需要在每一個(gè)地方都有一臺(tái)設(shè)備，而且這些方法提供的網(wǎng)絡(luò)通訊的可見性也非常差。

當(dāng)你看不到或者不能阻止一個(gè)大型子網(wǎng)上的入侵者的通訊的時(shí)候，相信你使用網(wǎng)絡(luò)接入控制獲得更大的安全性是沒有意義的。帶外的替代方法，如使用802.1x的選擇，經(jīng)常需要改變網(wǎng)絡(luò)和服務(wù)器的許多設(shè)置。他們需要額外的隔離網(wǎng)絡(luò)和每一臺(tái)交換機(jī)的端口的設(shè)置以及需要設(shè)置路由器和交換機(jī)的訪問規(guī)則。這不僅增加了管理成本，而且還增加了出現(xiàn)錯(cuò)誤的風(fēng)險(xiǎn)�；�于硬件的網(wǎng)絡(luò)接入控制顯然并不便宜，或者說并不是一種萬靈藥。

但是，基于硬件的網(wǎng)絡(luò)接入控制能夠提供高水平的安全，因?yàn)樗鼈兊闹攸c(diǎn)是網(wǎng)絡(luò)通訊，能夠發(fā)現(xiàn)在線路上運(yùn)行的安全漏洞。

在地理分散的網(wǎng)絡(luò)中采用基于軟件的方法，管理性的挑戰(zhàn)依然存在，但是，這些挑戰(zhàn)轉(zhuǎn)移到了端點(diǎn)，需要在每一個(gè)端點(diǎn)安裝一個(gè)軟件代理。雖然無代理的網(wǎng)絡(luò)接入控制方法能夠減輕這種管理負(fù)擔(dān)，但是，無代理的網(wǎng)絡(luò)接入控制不能提供一種一致的方法以全面地評(píng)估這個(gè)端點(diǎn)的狀態(tài)。這就意味著用重要的安全功能交換可管理性。

因?yàn)閯?dòng)態(tài)網(wǎng)絡(luò)接入控制只能利用一部分系統(tǒng)作為安全強(qiáng)制執(zhí)行者，動(dòng)態(tài)網(wǎng)絡(luò)接入控制實(shí)際上能夠幫助你利用分布式網(wǎng)絡(luò)的力量保護(hù)自己。

保證中小企業(yè)的安全

中小企業(yè)幾乎沒有專門的IT人員和專家來配置復(fù)雜的和帶外的方法，如802.1x網(wǎng)絡(luò)配置，以及在發(fā)生問題的時(shí)候正確地排除故障。此外，由于資源的局限性，中小企業(yè)經(jīng)常把IT團(tuán)隊(duì)的重點(diǎn)放在發(fā)展業(yè)務(wù)的IT計(jì)劃上。

這正是基于軟件的網(wǎng)絡(luò)接入控制要做的事情：在提高安全性的同時(shí)還能減輕安全和網(wǎng)絡(luò)團(tuán)隊(duì)的管理負(fù)擔(dān)。事實(shí)上，對(duì)于中小企業(yè)來說，在防御代理方面有許多可說的事情。例如，在端點(diǎn)能夠達(dá)到更高水平的審查，從而增強(qiáng)安全性。現(xiàn)實(shí)是，代理可以是現(xiàn)有的引起中斷最少的解決方案，特別是應(yīng)用到網(wǎng)絡(luò)通訊的時(shí)候，因?yàn)榇�理是在后臺(tái)悄悄地運(yùn)行的，只是定期地向政策服務(wù)器發(fā)送更新。因此，如果你是IT資源有限的中小企業(yè)，這個(gè)竅門就是找到最容易管理的、最節(jié)省成本的、基于軟件的網(wǎng)絡(luò)接入控制解決方案或者可用的動(dòng)態(tài)網(wǎng)絡(luò)接入控制解決方案。