【IT168专稿】思科NAC设备（以前称为Cisco Clean Access）是一款部署简便的网络准入控制(NAC)产品，使网络管理员能在允许用户进入网络前，对有线、无线和远程用户及其机器进行验证、授权、评估和修补。它能识别笔记本电脑、台式机等联网设备和其他公司资产是否符合网络安全策略，并在许可它们接入网络前修复安全漏洞。

　　产品概述
　　思科NAC设备是一个端到端网络注册和策略执行解决方案，使网络管理员能在允许用户进入网络前，对用户及其机器进行验证、授权、评估和修补。这款先进的网络安全产品能够：

　　 确认用户、用户设备和他们在网络中的角色。这是在验证时实施的第一步，此时恶意代码还无法造成破坏。
　　 评估机器是否符合安全策略。安全策略可根据用户类型、设备类型或操作系统的不同而不同。
　　 通过阻止、隔离和修复不符合安全策略的机器，来执行安全策略。机器被重导向到一个隔离区，在管理员的指导下进行修补。

　　思科NAC设备能对各种设备执行状态评估和修补服务，与以下因素无关：
　　 设备类型。思科NAC设备能在所有联网设备上执行安全策略，包括Windows、Mac或Linux机器；笔记本电脑；台式机；个人数字助理(PDA)；以及公司资产，如打印机和IP电话等。
　　 设备拥有者。思科NAC设备能向公司、员工、合同商和访客的系统应用安全策略。
　　 设备接入方式。思科NAC设备能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。

　　思科NAC设备具有为所有运行环境执行策略的独特能力，无需其他独立产品或模块。

　　功能和优势
　　配备思科NAC设备的网络主要能受益于：
　　 因将安全策略符合性作为接入网络的先决条件，实现了健康网络状态
　　 主动防御病毒、蠕虫、间谍软件和其他恶意应用
　　 通过定期评估和修补，最大限度地减少了用户机器上的安全漏洞
　　 能自动修复和更新用户机器，大幅节约了成本

　　通过单一登录实现了验证集成
　　思科NAC设备能作为多种验证形式的验证代理，在本地与Kerberos、LDAP、RADIUS、Active
　　Directory、S/Ident等集成。为了尽量方便最终用户，思科NAC设备支持VPN客户端、无线客户端和Windows Active Directory域的单一登录。管理员通过使用基于角色的访问控制，能维护具有不同许可级别的多个用户档案。

　　安全漏洞评估
　　思科NAC设备能够扫描所有Windows、Mac OS和Linux操作系统及机器，以及非PC联网设备，如游戏控制台、PDA、打印机和IP电话。它能执行整个网络的扫描或按需进行定制扫描。思科NAC设备能根据注册表项设置、运行的服务或系统文件来检查任意应用。

　　设备隔离
　　思科NAC设备能将不符合策略的机器隔离，防止感染传播，并使机器能访问修补资源。使用小至/30的子网或隔离VLAN，都能实现隔离。

　　自动安全策略更新
　　自动安全策略更新是思科标准软件维护产品包的一部分，为大多数常用网络接入标准提供了预定义策略，包括检查关键操作系统升级、常用防病毒软件病毒定义更新以及常用防间谍软件定义更新等策略。这简化了网络管理员的管理，他们能利用思科NAC设备持续保持最新策略。

　　集中管理
　　思科NAC设备基于Web的管理控制台允许管理员为每个角色定义所需的扫描类型，以及恢复时所需的相关修补产品包。一个管理控制台能管理多个服务器。

　　修补和维修
　　隔离操作使设备访问修补服务器，该服务器提供操作系统补丁和更新、病毒定义文件，或思科安全代理等终端安全解决方案。管理员能通过可选代理自动修补，也能自行定义一系列修补命令。

　　灵活的部署模式
　　思科NAC设备提供了最广泛的部署模式，能适用于任意客户网络。客户能将该产品作为虚拟或实际IP网关，部署在边缘或中央，提供第二层或第三层客户端接入，带内或带外处理网络流量。

　　部署模式
　　思科NAC设备提供了多种部署方式，能够最好地满足客户网络的需要。