網絡反病毒措施

你可能想要部署NAC來保證連接到企業網絡的計算機運行了最新的反病毒應用。目的是盡可能最小化病毒在企業業網中暴發的可能。雖然并不是100%有效，但是反病毒軟件是極為流行的，并且在最近幾年很好地阻止了病毒的傳播。

當你在終端完整檢查和修正中使用NAC時，你需要決定在終端用戶的機器違反反病毒策略并且NAC解決方案不能修復時應該采取什么措施。終端用戶可能是一個客人或者是聯絡人，他沒有在電腦上安裝反病毒軟件。在這種情況下，除非他的電腦安裝上殺毒軟件——這一般是不可能發生的，否則修復是不可能的。比如，終端用戶可能沒有權限在電腦上安裝新的軟件，或者你的組織可能不想為這些用戶支持版權費用。

幸好，你可以找到一些反病毒系統，只要你在擴展你的NAC方案時整合了這些反病毒系統，它們就可以幫你處理這些問題。當整合這些系統時，你會強制要求所有來自違反規定的系統的流量通過網絡的反病毒網關。在企業網絡中，你可以使用包含交換機、防火墻和其他網絡設備的配置。

因此，反病毒網關可以檢測所有用戶的流量，這樣你的組織就不需要在關于是否給違反終端安全策略的用戶激活檢查或限制訪問的問題上犯難了。

注意：要在不犧牲安全的前提下保持生產效率。如果你找到一個可以執行這樣的反病毒整合的NAC方案，你可以在盡可能保持安全性的同時提供對于應用和數據的完全訪問。

URL/Web過濾措施

URL/Web是一個流行的限制對特定Web內容和網站訪問的技術。通常，這些系統監控所有流出的Web流量和查閱由供應商提供的分類列表來限制用戶訪問帶有禁止內容的網站。在業務網絡限制訪問色情內容是一個常見的例子。

這些系統有一天可能會成為NAC方案的一個關鍵部分。現在，除了維護一組URL/Web警察策略，組織可以制定具體到每一個用戶角色和職能的用戶和基于角色的策略。

比如，你的公司可能想要限制對于招聘網站的訪問以防止員工在上班時間找其它工作。同時，你可能有內部招聘人員或人力資源人員需要訪問這些網站來完成他們的工作。通過利用企業LDAP目錄的組成員記錄，你可以保證需要訪問這些網站的人有恰當的訪問級別，而其他大多數用戶是被限制的。當然，如果你的大量用戶在工作時間嘗試訪問招聘網站，你可能有遠比限制訪問更大的問題需要擔心了。

VPN措施

NAC與SSL VPN共享許多通用的概念和策略。

一個VPN方案——不管是SSL VPN、IPSec VPN或者其它類型的VPN——都允許訪問企業網絡，即使用戶物理地不在企業網絡內部。許多組織想要為本地用戶雇傭的遠程員工使用相同的NAC策略。

比如，如果NAC策略規定本地網絡的每一個用戶都必須使用來自一臺運行最新殺毒軟件的主機的密碼認證，這樣的策略確實只在全局應用時有意義。通過允許遠程訪問用戶跳過這些策略，組織可以通過首先設計這些策略打開一個通道而暴露給預期防御的威脅。

通過整合一個VPN方案到NAC中，你可以擴展你的NAC部署來保證它為每一個網絡用戶執行NAC策略，而不管用戶的物理位置。這種整合可能有很多種形式，但一般都可以使用一些在本章前面的“了解網絡”部分所提到的相同的API和標準。例如，有幾個主要的NAC方案包括一些同時為遠程和本地用戶設置和實施IPSec VPN策略的本地功能。

這個訪問控制的全局措施使你能夠集中地管理所有訪問控制策略，從而保證能夠一致地實施每一個策略。

應用措施

沒有一個NAC供應商發布了整合應用的解決方案，但供應商將最終創建這些類型的NAC擴展來無縫整合網絡策略（通過NAC）和應用策略（通過應用本身）。

注意：雖然大多數應用有（而且一直都會有）認證，但NAC能夠為每一個應用提供額外的信息，這樣應用可以增加安全性并提供一個更好的總體方案。

例如，如果一個IDP/IPS系統發現一個網絡攻擊，并且NAC系統檢測到這個攻擊，那么NAC可以將這個信息提供給應用，這樣應用就能夠決定終端用戶是否應該繼續訪問這個應用。否則，如果終端用戶由于使用不符要求的終端主機而被允許以受限制訪問權限進入網絡，那么他/她可能仍然需要獲取特定應用的訪問權限。然而，這個應用能夠通過對該終端用戶進行更細粒度的內部應用控制來響應這個信息，如在應用本身限制特定的功能。例如，這個應用可能提供只讀訪問，而不是讀/寫訪問。

【編輯推薦】

1. 整合NAC與網絡安全工具