【IT168 技术】随着信息技术的不断发展，各国家、单位和个人也更加注重对信息的安全防护。各种安全设备(防火墙、IPS等)都纷纷部署网络中来保障信息的安全，但是依然无法阻止公司内部机密信息的泄漏和病毒的肆意扩散。据美国FBI&CSI联合调查统计，85%的安全威胁来自公司内部，如何阻止内部安全威胁让公司各层领导头疼不已。

　　与此同时，市场上开始出现各类针对内网安全的产品，其中，网络准入控制产品也逐步被人熟知起来，它起到一个内网安全大门的作用，能够阻挡不合法的终端(数据)进入内网。选择一个合适的网络准入产品对内网管理起到事半功倍的效果。

　　目前市场上的网络准入产品主要从三个大的方向来实现网络准入控制的：基于网络设备准入类、基于网关设备准入类和干扰准入类。以下进行简单介绍三个方向产品的优劣，以便管理员选择适合的网络准入产品。

　　基于网络设备准入类

　　在网络入口处进行准入控制，准入控制力度最高，主要有802.1x和思科的EOU准入技术的产品。

　　802.1X 准入产品

　　802.1X是IEEE制定关于用户接入网络的认证标准，所以市场上的交换机均能满足此技术 ，另802.1x是二层协议，不需要到达三层，对产品的整体性能要求不高。802.1x常用到EAP(扩展认证协议)，可以提供良好的扩展性和适应性。目前国内安全厂商主要采用VLAN 动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权给客户端。

　　该类产品不足之处对VPN、WLAN、专线等环境不支持，且大部分厂商无法解决HUB环境准入认证问题。

　　EOU准入产品

　　EOU是思科公司私有的准入控制技术。由于EOU技术工作在3层，采用UDP封装，所以在很多地方比二层协议更灵活，如在灾备，设备例外，认证放行等特性上都较为灵活，且能很好的解决HUB环境准入认证问题，部分设备还能够支持NAT环境下的准入认证。如果环境允许，建议使用此类产品。

　　此类产品不足之处是只能在思科3550以上的交换机才能使用，有一定的局限性。