你的防火墙够了吗?

    五、NAC：你的防火墙够了吗?

    网络访问控制(NAC)并不适合每个人，不过它是用于控制个人需要访问网络这种环境的一种宝贵工具。

    NAC对于那些受到严格监管的公司来说很重要。NAC能够在允许端点连接到公司网络之前，先对其进行全面的检查;这种检查有助于公司让监管部门对自己放心：监管部门要求执行相关政策，确保端点配置符合要求。

    大多数NAC平台不但能够执行这项功能，还能记录执行情况，众多法规要求做到这一点，比如支付卡行业(PCI)的标准以及《健康保险可携性及责任性法案》(HIPAA)。

    据Gartner声称，NAC特别擅于处理的一个问题就是对访客用户进行审查。Gartner的分析师Lawrence Orans在报告中说：“计划部署NAC的Gartner客户大多数声称，首先考虑的第一要务就是部署访客网络。2007年，许多把NAC看作是一项战略性安全流程的安全管理人员利用访客网络的近期效益，证明了有必要开始上马NAC项目。”

    如果公司有众多不同的全职员工、承包商和访客需要经常使用自己的网络，NAC就有助于保证他们用来连接网络的设备符合配置政策。对于未满足要求的机器，NAC可以进行修复或者隔离，或者允许它们访问资源有效的网段，这样它们造成的破坏也很有限。

    类似的是，需要按照部门或者工作职能对网络进行分段的公司可以使用NAC当中的授权控制功能，即可实现粒度相当细的分隔机制。

    弗雷斯特研究公司的分析师Rob Whitely说：“如果公司面临多项法规遵从要求(《萨班斯-奥克斯利法案》、PCI和HIPAA)、有着不同的员工队伍(员工、承包商、远程工人、合作伙伴和供应商)，而且在全球开展业务(需要按地区、业务部门及其他方面对网络环境进行分隔)，我们会看到NAC将掀起一场完美风暴。”

    Whitely表示，NAC最终会成为分层安全架构当中的一部分;这种架构不太依靠边界防火墙作为主要堡垒;而是主要依靠力求缓解威胁的多层安全。他说：“这只是消除边界(de-perimeterization)这个更大趋势中的一方面。NAC不是必要的，但是会成为这种新型安全架构的一个关键部分。”

    大多数网络没有NAC也能应付过去。这项技术减小了这种风险：受到危及的机器获得网络访问权;一旦这些机器以某种方式设法获得了许可权，就会带来破坏。但是它不能完全保证安全。NAC是应对传统的第三层防火墙无法处理的威胁而出现的;现在有些威胁是NAC无法处理的，不过它能做出重要贡献。

    Whiteley说：“问问自己：你的防火墙够了吗?如果答案是肯定的，NAC极有可能没有必要。它提供了额外的主机完整性检查功能;但是除了粒度更细的验证和授权机制，它提供不了太多的作用――NAC的这些机制其实完全是为了弥补如今防火墙的不足。”