本文主要給大家詳細的介紹了對于思科NAC網(wǎng)絡，如何進行設置，并且給我們介紹了NAC的優(yōu)勢以及它的實施選項，相信看過此文會對你有所幫助。

思科網(wǎng)絡準入控制(NAC) 進行了專門設計，可確保為訪問網(wǎng)絡資源的所有終端設備(如PC、筆記本電腦、服務器、智能電話或PDA等)提供足夠保護，以防御網(wǎng)絡安全威脅。作為著名防病毒、安全性和管理產(chǎn)品制造商共同參與的市場領先的計劃，NAC引起了媒體、分析公司及各規(guī)模機構(gòu)的廣泛關(guān)注。

本文將解釋作為基于策略的安全戰(zhàn)略的一部分，NAC將發(fā)揮怎樣的關(guān)鍵作用，同時描述并定義可用的NAC方法。

NAC的優(yōu)勢

據(jù)2005 CSI/FBI安全報告稱，雖然安全技術(shù)多年來一直在發(fā)展且安全技術(shù)的實施更是耗資數(shù)百萬美元，但病毒、蠕蟲、間諜軟件和其他形式的惡意軟件仍然是各機構(gòu)現(xiàn)在面臨的主要問題。機構(gòu)每年遭遇的大量安全事故造成系統(tǒng)中斷、收入損失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問題，給機構(gòu)帶來了巨大的經(jīng)濟影響。

顯然，僅憑傳統(tǒng)的安全解決方案無法解決這些問題。思科系統(tǒng)公司? 開發(fā)出了將領先的防病毒、安全和管理解決方案結(jié)合在一起的全面的安全解決方案，以確保網(wǎng)絡環(huán)境中的所有設備都符合安全策略。NAC允許您分析并控制試圖訪問網(wǎng)絡的所有設備。通過確保每個終端設備都符合企業(yè)安全策略(例如運行最相關(guān)的、最先進的安全保護措施)，機構(gòu)可大幅度減少甚至是消除作為常見感染源或危害網(wǎng)絡的終端設備的數(shù)量。

大幅度提高網(wǎng)絡安全性

雖然大多數(shù)機構(gòu)都使用身份管理及驗證、授權(quán)和記帳(AAA) 機制來驗證用戶并為其分配網(wǎng)絡訪問權(quán)限，但這些對驗證用戶終端設備的安全狀況幾乎不起任何作用。如果不通過準確方法來評估設備‘狀況’，即便是最值得信賴的用戶也有可能在無意間通過受感染的設備或未得到適當保護的設備，將網(wǎng)絡中所有用戶暴露在巨大風險之中。

NAC是構(gòu)建在思科系統(tǒng)公司?領導的行業(yè)計劃之上的一系列技術(shù)和解決方案。NAC使用網(wǎng)絡基礎設施對試圖訪問網(wǎng)絡計算資源的所有設備執(zhí)行安全策略檢查，從而限制病毒、蠕蟲和間諜軟件等新興安全威脅損害網(wǎng)絡安全性。實施NAC的客戶能夠僅允許遵守安全策略的可信終端設備(PC、服務器及PDA等)訪問網(wǎng)絡，并控制不符合策略或不可管理的設備訪問網(wǎng)絡。

NAC的優(yōu)勢設計集成在網(wǎng)絡基礎設施之中，因此是獨一無二的。那么，為何要在網(wǎng)絡上(而不是其他位置)實施策略符合性和驗證戰(zhàn)略呢？

1. 機構(gòu)感興趣或關(guān)心的每個比特的數(shù)據(jù)都通過網(wǎng)絡傳輸。

2. 機構(gòu)感興趣或關(guān)系的每個設備都與相同的網(wǎng)絡相連接。

3. 對網(wǎng)絡實施準入控制使機構(gòu)能夠部署盡量廣泛的安全解決方案，包含盡可能多的網(wǎng)絡設備。

4. 這個戰(zhàn)略利用機構(gòu)的現(xiàn)有基礎設施、安全性和管理部署，因此最大限度地降低了IT開銷。

通過運行NAC，只要終端設備試圖連接網(wǎng)絡，網(wǎng)絡訪問設備(LAN、WAN、無線或遠程訪問設備)都將自動申請已安裝的客戶端或評估工具提供終端設備的安全資料。隨后將這些資料信息與網(wǎng)絡安全策略進行比較，并根據(jù)設備對這個策略的符合水平來決定如何處理網(wǎng)絡訪問請求。網(wǎng)絡可以簡單地準許或拒絕訪問，也可通過將設備重新定向到某個網(wǎng)段來限制網(wǎng)絡訪問，從而避免暴露給潛在的安全漏洞。此外，網(wǎng)絡還能隔離的設備，它將不符合策略的設備重新定向到修補服務器中，以便通過組件更新使設備達到策略符合水平。

NAC執(zhí)行的某些安全策略符合檢查包括：

判斷設備是否運行操作系統(tǒng)的授權(quán)版本。

通過檢查來查看操作系統(tǒng)是否安裝了適當補丁，或完成了最新的熱修復。

判斷設備是否安裝了防病毒軟件以及是否帶有最新的系列簽名文件。

確保已打開并正在運行防病毒技術(shù)。

判斷是否已安裝并正確配置了個人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件。

檢查設備的企業(yè)鏡像是否已被修改或篡改。

NAC隨后根據(jù)上述問題的答案做出基于策略的明智的網(wǎng)絡準入決策。

實施NAC解決方案的某些優(yōu)勢包括：

1. 幫助確保所有的用戶網(wǎng)絡設備都符合安全策略，從而大幅度提高網(wǎng)絡的安全性，不受規(guī)模和復雜性的影響。通過積極抵御蠕蟲、病毒、間諜軟件和惡意軟件的攻擊，機構(gòu)可將注意力放在主動防御上(而不是被動響應)。

2. 通過著名制造商的廣泛部署與集成來擴展現(xiàn)有思科網(wǎng)絡及防病毒、安全性和管理軟件的價值。

3. 檢測并控制試圖連接網(wǎng)絡的所有設備，不受其訪問方法的影響(如路由器、交換機、無線、VPN和撥號等)，從而提高企業(yè)永續(xù)性和可擴展性。

4. 防止不符合策略和不可管理的終端設備影響網(wǎng)絡可用性或用戶生產(chǎn)率。

5. 降低與識別和修復不符合策略的、不可管理的和受感染的系統(tǒng)相關(guān)的運行成本。

NAC實施選項

思科同時提供基于產(chǎn)品和架構(gòu)的NAC框架方法，以滿足任何機構(gòu)的功能和運行要求，無論是簡單的安全策略要求，還是涉及到大量安全供應商的、與企業(yè)桌面系統(tǒng)管理解決方案相關(guān)的、復雜的安全實施要求。