基于代理和無代理的動態網絡接入控制，對于動態網絡接入控制中“動態網絡接入控制”的設置問題，我們曾經探討過，動態網絡接入控制已經能解決大多數設置問題。

從最終用戶的角度看，動態網絡接入控制的部署應該是透明的，就像它在完全靠自己運行。隨著用戶登錄到這個網絡，他們的系統應該悄悄地在后臺進行檢查，看看他們是否符合內部安全政策。

動態網絡接入控制診斷端點的例子包括其當前補丁的水平和功能以及最新的殺毒軟件和個人防火墻軟件。只有在某些東西出錯時用戶才知道自己的系統不符合規定。然后，用戶將被引導到內部網門戶。用戶將在那里升級到合適的安全水平。

對于小企業和大型企業來說，這種高度動態的安全水平將使他們獲得許多好處。一個擁有動態網絡接入控制功能的網絡不僅運行得更安全，而且效率更高，符合遵守法規的要求并且產生的服務臺電話更少。

雖然動態網絡接入控制的好處是顯而易見的，但是，動態網絡接入控制解決方案完成工作的方法是比較復雜的，無論這種解決方案是基于硬件的、線路內部的、帶外的、代理的還是沒有代理的都是如此。

基于硬件的動態網絡接入控制

我們首先看看基于硬件的方法是如何發揮作用的。這種形式的動態網絡接入控制一般需要一臺設備。這臺設備在內部網絡中運行或者在通訊的帶外運行。有些這類設備可以取代接入交換機，而有些這類設備在接入層和網絡交換機之間工作。無論采用哪一種方法，都需要考慮部署、管理和運行變化等許多問題。

首先，基于硬件的動態網絡接入控制解決方案有許多固有的缺陷。最主要的是它創建了這個網絡上的一個單個的故障點。這種設備還會影響網絡通訊，對于地理上分散的或者高度分散的網絡也許是不理想的。

不僅需要每個地方都安裝一臺這種設備，而且還要進一步安裝到網絡上。這些方法為網絡通訊提供了較少的可見性。當你在一個大型子網上看不到或者不能阻止一個入侵者的通訊的時候，很難相信使用動態網絡接入控制設備會更安全。此外，帶外的方法(如使用802.11的設備)常常需要更高水平的網絡和服務器設置變化以及要跟蹤的端口。這不僅增加了網絡管理成本而且還提高了錯誤的風險。

基于代理和無代理的動態網絡接入控制

接下來是受到許多批評的基于代理的方法。沒人愿意安裝、升級和維護另一個端點應用程序。這是IT團隊的一個額外負擔，是引起服務臺電話驟增的催化劑。因為代理位于端點上，使用代理的缺點是它需要采用更高水平的審查。這種審查有助于改善安全。

現實是，代理不是可用的顛覆性的解決方案，特別是在它進入網絡通訊的時候。這是因為代理是在后臺悄悄運行的，僅僅向政策服務器發送定期的更新，保證全面強制執行安全政策。但是，讓我們面對這個問題：沒有人愿意安裝另一個應用程序，不管這個安全回報是多么高。

接下來是無代理的動態網絡接入控制。無代理的動態網絡接入控制的常見方法包括在允許端點設備進入網絡之前對端點設備進行安全漏洞掃描或者政策評估掃描，或者同時進行這兩項掃描。不用說，這種做法會增加繁忙的網絡的負擔。這個掃描的結果將發送到一個政策服務器，如果有必要的話，將對任何不遵守規定的系統取補救措施。

無代理動態網絡接入控制的潛力是明顯的：不需要安裝任何代理。遺憾的是它并非那樣簡單。總是有一些不利的方面。無代理的方法不能提供一個一致的方法來全面評估這個端點的狀態。此外，身份是通過檢查網絡通訊確定的，用戶能夠欺騙這個方法。

動態網絡接入控制

采用動態網絡接入控制，有一些代理，但是，這些代理僅安裝在一定比例的系統中。此外，這種方法也稱作P2P網絡接入，不需要對網絡進行任何改變，也不需要在每一個系統上安裝軟件。這些代理有一部分是“強制執行者”，要安裝在可信賴的系統中，很像是警察部隊。

總人口中只有很小比例的執法隊伍來保證每一個人都遵守法規。采用這種方法可以得到與代理有關的高水平的安全以及動態網絡接入控制的全部好處，沒有基于硬件的網絡接入設備的麻煩，也不用在每一個網絡設備上安裝軟件。

例如，假設許多執法者安裝到了一個局域網的臺式電腦中，一個不可信賴的系統試圖要登錄這個網絡。這些執法者在對這個系統進行診斷之前將限制它的網絡通訊。此外，如果有必要的話，這些代理要不斷地與中央政策服務器進行聯系。

因此，一個系統能夠完全隔離或者阻止訪問某一個網段，或者僅允許訪問互聯網。正如你看到的那樣，動態網絡接入控制系統的工作方式有很大的差別。重要的是你要評估你的選擇，找到對于你的網絡來說最有效的、最節省成本的動態網絡接入控制解決方案。