NAC问题重重

    NAC不是没有问题——它既有实际存在的问题，也有感觉存在的问题。NAC部署需要的绝不仅仅是为网络添加某个新硬件。大量工作需要确定访问策略、它们应该作用于哪些用户或者用户组。NAC部署会带来如何为用户配置方面的变化，还会带来支持部门必须解决的新问题。此外，NAC部署会带来其他操作问题，尤其是诸如部署补丁和新的应用程序此类的相关问题。而在有些情况下，如果补救机制是NAC架构的一部分，它可以简化部署补丁及应用程序的过程，因为两者部署可能是补救流程的一方面。

    实施NAC面临三大问题，那就是NAC与其他网络产品的兼容问题、需要在安全性和工作效率之间进行折衷考虑；以及加大了技术支持部门的负担——这三大问题都是切实存在的，应当在评估阶段得到审查。值得关注的是，正在规划但还没有开始实施的人员比已经实施了NAC的人员更担心下面这点：NAC其实无法改善本公司的总体安全状况。在这方面，有两个因素极有可能起到了作用：虽然已实施这项技术的人似乎比较满意，但至少可能性同样大的是，没有及早采用该技术的人员因NAC未能满足一些关键要求（他们感觉是这样）而避而远之。不过，实施人员的满意度比较高，这让我们认为：对大多数公司而言，感觉存在的问题是可以得到解决的。

    虽然许多公司正在实施NAC，但不少公司的实施不是非常普遍。成本和复杂性无疑是阻碍NAC得到采用的最主要的两个因素。在今年的调查中，60%以上的调查对象提到成本是三大障碍之一。尽管成本仍是人们最担心的问题，不过与2006年的85%相比还是有所减少。人们不像过去那样担心成本，这可能与有大量的实际实施案例作为指导有关。也有可能是由于可选的架构方案数量更多了，有些方案的部署成本远远低于第一批NAC架构。提到担心复杂性问题的调查对象比例基本上未变，两次调查都大约为60%。下一个最经常提到的采用NAC面临的障碍就是市场和产品欠成熟，有35%的调查对象提到了它。

    实际部署

    NAC部署确实很复杂。虽然在去年有56%的部署规划人员以为部署可能用不了六个月时间，而今年完成部署的人当中只有38%在六个月内完成了部署。部署时间用了7到12个月、13到24个月及超过24个月的调查对象三者比例大致一样，共占剩下的62%。不过，就重大的IT项目而言，NAC的部署比较快。

    现在有四种方法可以部署NAC。各有优缺点，没有哪种方法成为首选的架构。基于安全交换机的系统需要得到网络边缘处所有交换机的支持，另外还要添加策略评估设备和操作控制台。这种系统是思科网络准入控制（CNAC）架构的基础。它似乎广为人知、得到公认，48%的调查对象表示他们愿意升级自己的局域网交换基础设施。虽然这是一种广为人知的架构，但无疑也是广泛实施起来成本最高的一种，以至于思科本身如今在出售基于设备的带外解决方案。

    带内系统是最受人们青睐的，60%以上的人表示他们会为网络添加嵌入式设备（即带内设备）。这种系统的优点是，能够评估所有网络流量，因而与带外系统相比，攻击者想绕过带内系统的难度大得多。它们还能监控异常行为，而出现异常行为可能表明存在攻击——其他解决方案不具有这种功能。从理论上来说，嵌入式系统能够跟踪用户活动，一直跟踪到应用层。这多少可以解释该系统为什么比较受到欢迎，因为它们有助于实现其他技术无法实现的细粒度访问控制级别。而至于缺点方面，这种系统带来了新的单一故障点和潜在瓶颈——厂商们迫切希望缓解这个问题。当前的设计效果很好，而且基于高度可靠的硬件，具有冗余风扇和电源等特性。

    带外设备使用各种方法来执行策略。因为这种设备并不是直接控制流量，所以不少人认为带外解决方案很容易被攻击者绕过。虽然确实如此，但这种系统的部署成本通常比较低，因为许多不包括按用户数量收取的许可费，也不受到大量网络流量的影响。大约45%的调查对象表示愿意使用带外产品。微软公司的网络访问保护（Network Access Protection）是这种架构的最知名典例。

    最后，出现了一种新的基于主机的产品。这种系统独立于网络设计，甚至独立于网络的存在。它们就如同个人防火墙，只不过这种系统评估的是主机状态，而不是入站网络流量的状态。调查显示，47%的人愿意实施这种解决方案。

    虽然大多数公司可能会从某一种架构入手，但使用若干种架构也许更可取，这完全有可能。举例说，一所大学可能会倾向于在学生宿室使用成本较合理的带外系统，而选择较为可靠的带内产品来满足处理学术和行政管理数据的要求。