基于硬件的網(wǎng)絡(luò)接入控制、基于代理的軟件網(wǎng)絡(luò)接入控制、無代理的軟件網(wǎng)絡(luò)接入控制或者動態(tài)網(wǎng)絡(luò)接入控制全都可以改善網(wǎng)絡(luò)安全。要選擇正確的解決方案，IT經(jīng)理需要考慮他們網(wǎng)絡(luò)接入控制部署的目標，包括理想的安全水平和管理水平。網(wǎng)絡(luò)接入控制廠商InfoExpress公司首席執(zhí)行官、首席技術(shù)官和共同創(chuàng)始人Stacey Lum介紹了IT經(jīng)理需要了解什么知識才能確定適合自己環(huán)境類型的最佳網(wǎng)絡(luò)接入控制選擇。

網(wǎng)絡(luò)接入控制能夠改善安全是沒有爭議的。網(wǎng)絡(luò)接入控制能夠迅速判斷來自不應(yīng)該獲得接入批準的那些系統(tǒng)的用戶，并且保證防火墻設(shè)置、殺毒軟件和補丁水平都保持最新的狀態(tài)。在使用正確的時候，網(wǎng)絡(luò)接入控制能夠創(chuàng)造一個沒有病毒感染的通訊流并且沒有與安全突破有關(guān)的許多其它風險的網(wǎng)絡(luò)。

很誘人，是嗎?是的。但是，沒有天上掉餡餅的好事。許多網(wǎng)絡(luò)接入控制解決方案都太昂貴以至于不能部署和管理。我們在這篇文章中將告訴你需要了解什么知識來確定適合你的環(huán)境類型的最佳的網(wǎng)絡(luò)接入控制選擇。但是，在我們討論這個問題之前，我們需要簡單再了解一下網(wǎng)絡(luò)接入控制的四種主要類型：基于硬件的網(wǎng)絡(luò)接入控制;基于代理的軟件網(wǎng)絡(luò)接入控制;無代理的軟件網(wǎng)絡(luò)接入控制;動態(tài)網(wǎng)絡(luò)接入控制。

無論你選擇哪一種網(wǎng)絡(luò)接入控制解決方案，你都需要考慮你部署網(wǎng)絡(luò)接入控制的目標，如安全與管理水平以及根據(jù)你的企業(yè)和網(wǎng)絡(luò)規(guī)模的其它因素。

網(wǎng)絡(luò)接入控制與地理分散的網(wǎng)絡(luò)

對于一個大型網(wǎng)絡(luò)，有許多部署、管理和運營的考慮。例如，位于交換機上游的基于硬件的線內(nèi)網(wǎng)絡(luò)接入控制解決方案產(chǎn)生一個潛在的單個故障點。如果這些解決方案跟不上目前高速的10G網(wǎng)絡(luò)干線的速度，這些解決方案就是破壞性的。

而且，線內(nèi)網(wǎng)絡(luò)接入控制解決方案對于地理上高度分散的或者高度分段的網(wǎng)絡(luò)也許都是不理想的。這種解決方案不僅需要在每一個地方都有一臺設(shè)備，而且這些方法提供的網(wǎng)絡(luò)通訊的可見性也非常差。

當你看不到或者不能阻止一個大型子網(wǎng)上的入侵者的通訊的時候，相信你使用網(wǎng)絡(luò)接入控制獲得更大的安全性是沒有意義的。帶外的替代方法，如使用802.1x的選擇，經(jīng)常需要改變網(wǎng)絡(luò)和服務(wù)器的許多設(shè)置。他們需要額外的隔離網(wǎng)絡(luò)和每一臺交換機的端口的設(shè)置以及需要設(shè)置路由器和交換機的訪問規(guī)則。這不僅增加了管理成本，而且還增加了出現(xiàn)錯誤的風險。基于硬件的網(wǎng)絡(luò)接入控制顯然并不便宜，或者說并不是一種萬靈藥。

但是，基于硬件的網(wǎng)絡(luò)接入控制能夠提供高水平的安全，因為它們的重點是網(wǎng)絡(luò)通訊，能夠發(fā)現(xiàn)在線路上運行的安全漏洞。

在地理分散的網(wǎng)絡(luò)中采用基于軟件的方法，管理性的挑戰(zhàn)依然存在，但是，這些挑戰(zhàn)轉(zhuǎn)移到了端點，需要在每一個端點安裝一個軟件代理。雖然無代理的網(wǎng)絡(luò)接入控制方法能夠減輕這種管理負擔，但是，無代理的網(wǎng)絡(luò)接入控制不能提供一種一致的方法以全面地評估這個端點的狀態(tài)。這就意味著用重要的安全功能交換可管理性。

因為動態(tài)網(wǎng)絡(luò)接入控制只能利用一部分系統(tǒng)作為安全強制執(zhí)行者，動態(tài)網(wǎng)絡(luò)接入控制實際上能夠幫助你利用分布式網(wǎng)絡(luò)的力量保護自己。

保證中小企業(yè)的安全

中小企業(yè)幾乎沒有專門的IT人員和專家來配置復(fù)雜的和帶外的方法，如802.1x網(wǎng)絡(luò)配置，以及在發(fā)生問題的時候正確地排除故障。此外，由于資源的局限性，中小企業(yè)經(jīng)常把IT團隊的重點放在發(fā)展業(yè)務(wù)的IT計劃上。

這正是基于軟件的網(wǎng)絡(luò)接入控制要做的事情：在提高安全性的同時還能減輕安全和網(wǎng)絡(luò)團隊的管理負擔。事實上，對于中小企業(yè)來說，在防御代理方面有許多可說的事情。例如，在端點能夠達到更高水平的審查，從而增強安全性。現(xiàn)實是，代理可以是現(xiàn)有的引起中斷最少的解決方案，特別是應(yīng)用到網(wǎng)絡(luò)通訊的時候，因為代理是在后臺悄悄地運行的，只是定期地向政策服務(wù)器發(fā)送更新。因此，如果你是IT資源有限的中小企業(yè)，這個竅門就是找到最容易管理的、最節(jié)省成本的、基于軟件的網(wǎng)絡(luò)接入控制解決方案或者可用的動態(tài)網(wǎng)絡(luò)接入控制解決方案。