網(wǎng)絡(luò)反病毒措施

你可能想要部署NAC來保證連接到企業(yè)網(wǎng)絡(luò)的計算機運行了最新的反病毒應(yīng)用。目的是盡可能最小化病毒在企業(yè)業(yè)網(wǎng)中暴發(fā)的可能。雖然并不是100%有效，但是反病毒軟件是極為流行的，并且在最近幾年很好地阻止了病毒的傳播。

當(dāng)你在終端完整檢查和修正中使用NAC時，你需要決定在終端用戶的機器違反反病毒策略并且NAC解決方案不能修復(fù)時應(yīng)該采取什么措施。終端用戶可能是一個客人或者是聯(lián)絡(luò)人，他沒有在電腦上安裝反病毒軟件。在這種情況下，除非他的電腦安裝上殺毒軟件——這一般是不可能發(fā)生的，否則修復(fù)是不可能的。比如，終端用戶可能沒有權(quán)限在電腦上安裝新的軟件，或者你的組織可能不想為這些用戶支持版權(quán)費用。

幸好，你可以找到一些反病毒系統(tǒng)，只要你在擴展你的NAC方案時整合了這些反病毒系統(tǒng)，它們就可以幫你處理這些問題。當(dāng)整合這些系統(tǒng)時，你會強制要求所有來自違反規(guī)定的系統(tǒng)的流量通過網(wǎng)絡(luò)的反病毒網(wǎng)關(guān)。在企業(yè)網(wǎng)絡(luò)中，你可以使用包含交換機、防火墻和其他網(wǎng)絡(luò)設(shè)備的配置。

因此，反病毒網(wǎng)關(guān)可以檢測所有用戶的流量，這樣你的組織就不需要在關(guān)于是否給違反終端安全策略的用戶激活檢查或限制訪問的問題上犯難了。

注意：要在不犧牲安全的前提下保持生產(chǎn)效率。如果你找到一個可以執(zhí)行這樣的反病毒整合的NAC方案，你可以在盡可能保持安全性的同時提供對于應(yīng)用和數(shù)據(jù)的完全訪問。

URL/Web過濾措施

URL/Web是一個流行的限制對特定Web內(nèi)容和網(wǎng)站訪問的技術(shù)。通常，這些系統(tǒng)監(jiān)控所有流出的Web流量和查閱由供應(yīng)商提供的分類列表來限制用戶訪問帶有禁止內(nèi)容的網(wǎng)站。在業(yè)務(wù)網(wǎng)絡(luò)限制訪問色情內(nèi)容是一個常見的例子。

這些系統(tǒng)有一天可能會成為NAC方案的一個關(guān)鍵部分。現(xiàn)在，除了維護一組URL/Web警察策略，組織可以制定具體到每一個用戶角色和職能的用戶和基于角色的策略。

比如，你的公司可能想要限制對于招聘網(wǎng)站的訪問以防止員工在上班時間找其它工作。同時，你可能有內(nèi)部招聘人員或人力資源人員需要訪問這些網(wǎng)站來完成他們的工作。通過利用企業(yè)LDAP目錄的組成員記錄，你可以保證需要訪問這些網(wǎng)站的人有恰當(dāng)?shù)脑L問級別，而其他大多數(shù)用戶是被限制的。當(dāng)然，如果你的大量用戶在工作時間嘗試訪問招聘網(wǎng)站，你可能有遠比限制訪問更大的問題需要擔(dān)心了。

VPN措施

NAC與SSL VPN共享許多通用的概念和策略。

一個VPN方案——不管是SSL VPN、IPSec VPN或者其它類型的VPN——都允許訪問企業(yè)網(wǎng)絡(luò)，即使用戶物理地不在企業(yè)網(wǎng)絡(luò)內(nèi)部。許多組織想要為本地用戶雇傭的遠程員工使用相同的NAC策略。

比如，如果NAC策略規(guī)定本地網(wǎng)絡(luò)的每一個用戶都必須使用來自一臺運行最新殺毒軟件的主機的密碼認證，這樣的策略確實只在全局應(yīng)用時有意義。通過允許遠程訪問用戶跳過這些策略，組織可以通過首先設(shè)計這些策略打開一個通道而暴露給預(yù)期防御的威脅。

通過整合一個VPN方案到NAC中，你可以擴展你的NAC部署來保證它為每一個網(wǎng)絡(luò)用戶執(zhí)行NAC策略，而不管用戶的物理位置。這種整合可能有很多種形式，但一般都可以使用一些在本章前面的“了解網(wǎng)絡(luò)”部分所提到的相同的API和標(biāo)準(zhǔn)。例如，有幾個主要的NAC方案包括一些同時為遠程和本地用戶設(shè)置和實施IPSec VPN策略的本地功能。

這個訪問控制的全局措施使你能夠集中地管理所有訪問控制策略，從而保證能夠一致地實施每一個策略。

應(yīng)用措施

沒有一個NAC供應(yīng)商發(fā)布了整合應(yīng)用的解決方案，但供應(yīng)商將最終創(chuàng)建這些類型的NAC擴展來無縫整合網(wǎng)絡(luò)策略（通過NAC）和應(yīng)用策略（通過應(yīng)用本身）。

注意：雖然大多數(shù)應(yīng)用有（而且一直都會有）認證，但NAC能夠為每一個應(yīng)用提供額外的信息，這樣應(yīng)用可以增加安全性并提供一個更好的總體方案。

例如，如果一個IDP/IPS系統(tǒng)發(fā)現(xiàn)一個網(wǎng)絡(luò)攻擊，并且NAC系統(tǒng)檢測到這個攻擊，那么NAC可以將這個信息提供給應(yīng)用，這樣應(yīng)用就能夠決定終端用戶是否應(yīng)該繼續(xù)訪問這個應(yīng)用。否則，如果終端用戶由于使用不符要求的終端主機而被允許以受限制訪問權(quán)限進入網(wǎng)絡(luò)，那么他/她可能仍然需要獲取特定應(yīng)用的訪問權(quán)限。然而，這個應(yīng)用能夠通過對該終端用戶進行更細粒度的內(nèi)部應(yīng)用控制來響應(yīng)這個信息，如在應(yīng)用本身限制特定的功能。例如，這個應(yīng)用可能提供只讀訪問，而不是讀/寫訪問。

【編輯推薦】

1. 整合NAC與網(wǎng)絡(luò)安全工具