NAC的五大功能

　　Braunberg说，完整的NAC解决方案应该能够堵住五个漏洞。它应当执行准入前的检查、主机状况检查以及准入后的检查；还应当能够感知ID、感知基于ID的网络资源。

　　他说，总的来讲，没有一家厂商提供的非常好的解决方案能够提供同时涵盖这五个方面。不过通常而言，这项技术已经足够成熟，每一个特定方面都有非常强大的功能。眼下，Juniper公司的统一访问控制（Unified Access Control）产品的第二阶段是所有方案中涵盖方面最广的。

　　不过，如果企业想准备开展初期的NAC部署工作，未必需要全部涵盖NAC的这五个方面。Braunberg说：“我认为你用不着为了现在得益于NAC而着手解决所有这些方面。”

　　Gartner公司的Pescatore说，目前有三大类NAC技术，它们都具有不同的监控级别。首先，你可以从思科和微软等公司获得基础设施升级方案。他说，这些是最完整的NAC解决方案，不过许多公司不会一开始就采用如此广泛的部署方案，因为这种方案价格不菲，而且需要全面升级基础设施。

　　他说：“大多数企业不准备这么做。我们告诉客户‘如果你升级了自己的思科网络，才应当考虑这么做。’”

　　Pescatore说，你还可以获得软件代理方式的NAC，如反病毒软件、个人防火墙和配置管理工具。几家小厂商还生产NAC设备。这些设备不会解决NAC针对的每一个现有棘手问题，但是它们确实为将来进行更大范围的部署创造了条件。他建议：“你应当坐下来，弄清楚采用NAC的真正动机是什么。”

　　有些公司希望在允许设备访问网络之前，确定该设备是危险的还是没有安全漏洞的。而另一些公司不得不允许非员工和非员工的PC访问网络。

　　Pescatore说：“如果这就是你的全部动机，其实不需要全面升级所需各个方面的费用。”

　　其他公司的动机是出于担心多方面的安全问题。举例说，一家公司可能想允许非员工的PC访问网络，但也可能希望寻求能够监控网络、查找潜在安全威胁的工具。

　　他说：“你可以从小处着手，先做好访客访问网络方面的工作，然后扩大部署范围。如果网络小组明年要升级路由器和交换机，那么可以考虑思科的NAC和微软的NAP。”

　　有些公司仍对这个蓬勃发展而又充斥炒作的NAC技术市场的成熟程度提出了质疑，不过Pescatore指出，有几家公司如今使用各种类型的NAC，并没有出现什么大的问题。至于完整的NAC框架，他建议一小步一小步来实施。

　　他说：“许多公司把NAC用于访客访问，效果很好。真正的问题是，‘大爆炸’（big bang）方案很少起作用，除非你目前遇到了‘大爆炸’变化。”

　　不过，无论你从什么地方开始起步，任何规模的NAC部署“都不是一次性的投资。”