【IT168专稿】根据公安部最近公布的调查数据显示，内网安全、计算机安全仍旧是企业安全的关键。两年前，思科、微软等业界领先公司相继提出了端点安全控制的技术体系架构，多种手段相互配合，自动应对多种安全威胁。但是部署端点安全控制方案会不会带来新的问题呢?

　　NAC系统不仅很好地实现了端点安全控制的设计初衷。同时思科NAC解决方案在细微之处周到的考虑，使得系统在兼容企业已有应用、提供全面安全控制、系统可扩展性和易维护性上都有着优异的表现。

　　细节一:多种验证手段确保NAC实施

　　NAC提供了NAC over 802.1x和L2-IP两种验证架构，以适应不同的企业应用环境。

　　NAC over 802.1x全面的安全保障

　　NAC over 802.1x可以提供一个全面的安全解决方案，一方面NAC借助802.1x可以根据计算机的健康状态决定是否允许其进入网络，同时还可以利用802.1x协议进行计算机和客户的身份识别、认证和授权。

　　NAC over 802.1x的工作原理见下图。

　　测试中，我们在模拟的环境中部署了ACS(ACS - Cisco Secure Access Control Server 思科安全访问控制服务器)、微软的活动目录(AD)控制器、CSA(CSA - Cisco Security Agent，思科安全代理)的MC(CSA MC - CSA Management Center CSA管理中心)、趋势科技的Office Scan杀毒软件策略服务器的服务器群，使用Catalyst 3750和6509交换机作为接入交换机，两台笔记本电脑模拟接入PC。

　　PC机按照ACS的要求，启动了Office Scan杀毒软件，打齐了所有的操作系统补丁，并且在计算机上部署了登录域所需要的数字证书。经过认证，ACS让交换机将连接计算机的端口联入VLAN 100，可以进行正常的通信。此时CTA(CTA - Cisco Trust Agent ，思科信任代理)软件提示用户，计算机健康状况良好。

　　当关闭了Office Scan杀毒软件客户端之后，重新接入网络，由于不符合ACS的安全策略，端口划入到隔离VLAN，计算机的通信受到了限制，CTA弹出对话框，告知计算机不健康。而此时计算机上的CSA软件也发挥了作用，一方面按照MC当初制定的策略限制了计算机上Outlook Express软件的启动，限制使用U盘，同时CSA会把PC上发生的安全事件通知MARS(Cisco Security Monitoring，Analysis and Response System，思科安全监控、分析和响应系统管理系统)，方便系统管理员进行监控统计。