教你如何选择网络准入控制产品

最近频繁发生的重大网络安全事件引起了人们对网络安全的特别关注，尤其是网络内部的安全威胁。越来越多的网络管理者将终端网络准入控制系统纳入采购日程。 由于网络准入控制系统本身的复杂性，我们应该如何有效地选择国内外的各种准入控制产品？以下四条黄金法则为选择依据： 一、适应性高，不惊动网络 一般来说，考虑到需要部署访问控制系统的单位，信息建设已经达到了一定的高度，网络环境已经建成，有各种网络设备和复杂的终端设备。作为网络准入控制系统的选择，为了适应各种复杂的网络环境，应考虑产品是否支持多种强制性的网络接入技术和多样化的异构终端识别（如智能手机、平板电脑、字符终端、网络打印机等）。因此，准入控制产品的选择必须能够适应用户的各种信息系统环境，准入控制系统制造商应能够在各种环境下提供准入控制方案，尽量避免大规模的网络转换。 二、框架先进，控制力强 现在各厂家都介绍了很多网络准入控制的技术解决方案，那么我们首先要知道现有的网络准入控制框架是什么呢？他们的优缺点是什么？未来网络准入控制的发展趋势是什么？ 根据美国著名的研究机构Gartner研究，他们把一切都NAC制造商和技术统一分类分析，提出三个NAC技术框架理论： 1.基于端点系统的架构--Software-base NAC；主要用于桌面制造商的产品ARP软件防火墙等技术干扰终端代理软件。 2.基于基础网络设备联动的架构mdash;Infrastructure-base NAC；主要由各种网络设备制造商和造商和一些桌面管理制造商组成.1X、PORTAL、EOU等技术。 3.基于应用设备的架构mdash;Appliance-base NAC；主要是专业准入控制厂家，如ForeScout、盈高科技、Sysgate SNAC。战略路由，MVG、VLAN控制等技术。 这三个框架的进化和发展现在完全基于Software-base目前，用户不再接受架构、范围和控制有限；大多数网络设备制造商现在主要提倡Infrastructure-base该架构可以促进其网络设备的市场销售，但对网络设备的要求很高，需要特定的型号和制造商的设备。存在相互设置壁垒的问题；现在国外比较新兴Appliance-base 架构的NAC设备，这种NAC设备对网络设备的类型和型号几乎没有要求，可以在降低部署难度的同时实现良好的控制。 目前，市场认可度较好NAC方案，是Appliance-base NAC，即第三代准入系统架构。 三、高可靠性，保证业务连续性 一旦用户建立了网络准入控制系统，就意味着所有终端每天都进入网络，这取决于网络准入控制系统的解决方案。目前市场上的网络准入控制方案包括纯软件、纯硬件和软硬件。软件系统通常安装在用户提供的服务器上，价格相对便宜，但性能和稳定性仅限于服务器和操作系统；硬件系统稳定性高，性能可控，但价格通常较高。建议用户根据自己的网络规模和重要性做出合理的选择。 此外，无论选择哪种方案，都必须有一个完美的逃生方案，有Fail-Open模有单点故障。由于网络准入控制系统的建设影响业务的连续性，导致正常办公业务无法开展。 四、配套服务完善，响应及时 建设网络准入控制项目不同于部署网关产品，只部署在一点，需要改变，只是改变一点。网络准入控制系统的部署与网络中的每个终端和用户有关。缺乏部署经验和盲目部署必然会导致广泛的问题。因此，要建设网络准入控制项目，必须有经验丰富、风险管理良好的专业技术服务团队支持。 在项目建设初期，需要能够规划出适合用户网络的准入控制解决方案。从安全、管理、管理、项目建设成本、风险控制等方面。项目实施时，需要有一套完整的项目建设计划和配套的项目管理体系。项目运行后，必须有及时响应的客服系统。在准入控制项目中，技术服务水平尤为突出。 内网安全的基础是屏蔽所有不安全的设备和人员接入网络，规范用户接入网络的权限。只有选择合适的准入控制产品，有效控制和管理终端访问，才能从源头上消除内网的安全威胁，让管理员放心。