基于代理和無(wú)代理的動(dòng)態(tài)網(wǎng)絡(luò)接入控制，對(duì)于動(dòng)態(tài)網(wǎng)絡(luò)接入控制中“動(dòng)態(tài)網(wǎng)絡(luò)接入控制”的設(shè)置問題，我們?cè)?jīng)探討過，動(dòng)態(tài)網(wǎng)絡(luò)接入控制已經(jīng)能解決大多數(shù)設(shè)置問題。

從最終用戶的角度看，動(dòng)態(tài)網(wǎng)絡(luò)接入控制的部署應(yīng)該是透明的，就像它在完全靠自己運(yùn)行。隨著用戶登錄到這個(gè)網(wǎng)絡(luò)，他們的系統(tǒng)應(yīng)該悄悄地在后臺(tái)進(jìn)行檢查，看看他們是否符合內(nèi)部安全政策。

動(dòng)態(tài)網(wǎng)絡(luò)接入控制診斷端點(diǎn)的例子包括其當(dāng)前補(bǔ)丁的水平和功能以及最新的殺毒軟件和個(gè)人防火墻軟件。只有在某些東西出錯(cuò)時(shí)用戶才知道自己的系統(tǒng)不符合規(guī)定。然后，用戶將被引導(dǎo)到內(nèi)部網(wǎng)門戶。用戶將在那里升級(jí)到合適的安全水平。

對(duì)于小企業(yè)和大型企業(yè)來(lái)說(shuō)，這種高度動(dòng)態(tài)的安全水平將使他們獲得許多好處。一個(gè)擁有動(dòng)態(tài)網(wǎng)絡(luò)接入控制功能的網(wǎng)絡(luò)不僅運(yùn)行得更安全，而且效率更高，符合遵守法規(guī)的要求并且產(chǎn)生的服務(wù)臺(tái)電話更少。

雖然動(dòng)態(tài)網(wǎng)絡(luò)接入控制的好處是顯而易見的，但是，動(dòng)態(tài)網(wǎng)絡(luò)接入控制解決方案完成工作的方法是比較復(fù)雜的，無(wú)論這種解決方案是基于硬件的、線路內(nèi)部的、帶外的、代理的還是沒有代理的都是如此。

基于硬件的動(dòng)態(tài)網(wǎng)絡(luò)接入控制

我們首先看看基于硬件的方法是如何發(fā)揮作用的。這種形式的動(dòng)態(tài)網(wǎng)絡(luò)接入控制一般需要一臺(tái)設(shè)備。這臺(tái)設(shè)備在內(nèi)部網(wǎng)絡(luò)中運(yùn)行或者在通訊的帶外運(yùn)行。有些這類設(shè)備可以取代接入交換機(jī)，而有些這類設(shè)備在接入層和網(wǎng)絡(luò)交換機(jī)之間工作。無(wú)論采用哪一種方法，都需要考慮部署、管理和運(yùn)行變化等許多問題。

首先，基于硬件的動(dòng)態(tài)網(wǎng)絡(luò)接入控制解決方案有許多固有的缺陷。最主要的是它創(chuàng)建了這個(gè)網(wǎng)絡(luò)上的一個(gè)單個(gè)的故障點(diǎn)。這種設(shè)備還會(huì)影響網(wǎng)絡(luò)通訊，對(duì)于地理上分散的或者高度分散的網(wǎng)絡(luò)也許是不理想的。

不僅需要每個(gè)地方都安裝一臺(tái)這種設(shè)備，而且還要進(jìn)一步安裝到網(wǎng)絡(luò)上。這些方法為網(wǎng)絡(luò)通訊提供了較少的可見性。當(dāng)你在一個(gè)大型子網(wǎng)上看不到或者不能阻止一個(gè)入侵者的通訊的時(shí)候，很難相信使用動(dòng)態(tài)網(wǎng)絡(luò)接入控制設(shè)備會(huì)更安全。此外，帶外的方法(如使用802.11的設(shè)備)常常需要更高水平的網(wǎng)絡(luò)和服務(wù)器設(shè)置變化以及要跟蹤的端口。這不僅增加了網(wǎng)絡(luò)管理成本而且還提高了錯(cuò)誤的風(fēng)險(xiǎn)。

基于代理和無(wú)代理的動(dòng)態(tài)網(wǎng)絡(luò)接入控制

接下來(lái)是受到許多批評(píng)的基于代理的方法。沒人愿意安裝、升級(jí)和維護(hù)另一個(gè)端點(diǎn)應(yīng)用程序。這是IT團(tuán)隊(duì)的一個(gè)額外負(fù)擔(dān)，是引起服務(wù)臺(tái)電話驟增的催化劑。因?yàn)榇砦挥诙它c(diǎn)上，使用代理的缺點(diǎn)是它需要采用更高水平的審查。這種審查有助于改善安全。

現(xiàn)實(shí)是，代理不是可用的顛覆性的解決方案，特別是在它進(jìn)入網(wǎng)絡(luò)通訊的時(shí)候。這是因?yàn)榇硎窃诤笈_(tái)悄悄運(yùn)行的，僅僅向政策服務(wù)器發(fā)送定期的更新，保證全面強(qiáng)制執(zhí)行安全政策。但是，讓我們面對(duì)這個(gè)問題：沒有人愿意安裝另一個(gè)應(yīng)用程序，不管這個(gè)安全回報(bào)是多么高。

接下來(lái)是無(wú)代理的動(dòng)態(tài)網(wǎng)絡(luò)接入控制。無(wú)代理的動(dòng)態(tài)網(wǎng)絡(luò)接入控制的常見方法包括在允許端點(diǎn)設(shè)備進(jìn)入網(wǎng)絡(luò)之前對(duì)端點(diǎn)設(shè)備進(jìn)行安全漏洞掃描或者政策評(píng)估掃描，或者同時(shí)進(jìn)行這兩項(xiàng)掃描。不用說(shuō)，這種做法會(huì)增加繁忙的網(wǎng)絡(luò)的負(fù)擔(dān)。這個(gè)掃描的結(jié)果將發(fā)送到一個(gè)政策服務(wù)器，如果有必要的話，將對(duì)任何不遵守規(guī)定的系統(tǒng)取補(bǔ)救措施。

無(wú)代理動(dòng)態(tài)網(wǎng)絡(luò)接入控制的潛力是明顯的：不需要安裝任何代理。遺憾的是它并非那樣簡(jiǎn)單。總是有一些不利的方面。無(wú)代理的方法不能提供一個(gè)一致的方法來(lái)全面評(píng)估這個(gè)端點(diǎn)的狀態(tài)。此外，身份是通過檢查網(wǎng)絡(luò)通訊確定的，用戶能夠欺騙這個(gè)方法。

動(dòng)態(tài)網(wǎng)絡(luò)接入控制

采用動(dòng)態(tài)網(wǎng)絡(luò)接入控制，有一些代理，但是，這些代理僅安裝在一定比例的系統(tǒng)中。此外，這種方法也稱作P2P網(wǎng)絡(luò)接入，不需要對(duì)網(wǎng)絡(luò)進(jìn)行任何改變，也不需要在每一個(gè)系統(tǒng)上安裝軟件。這些代理有一部分是“強(qiáng)制執(zhí)行者”，要安裝在可信賴的系統(tǒng)中，很像是警察部隊(duì)。

總?cè)丝谥兄挥泻苄”壤膱?zhí)法隊(duì)伍來(lái)保證每一個(gè)人都遵守法規(guī)。采用這種方法可以得到與代理有關(guān)的高水平的安全以及動(dòng)態(tài)網(wǎng)絡(luò)接入控制的全部好處，沒有基于硬件的網(wǎng)絡(luò)接入設(shè)備的麻煩，也不用在每一個(gè)網(wǎng)絡(luò)設(shè)備上安裝軟件。

例如，假設(shè)許多執(zhí)法者安裝到了一個(gè)局域網(wǎng)的臺(tái)式電腦中，一個(gè)不可信賴的系統(tǒng)試圖要登錄這個(gè)網(wǎng)絡(luò)。這些執(zhí)法者在對(duì)這個(gè)系統(tǒng)進(jìn)行診斷之前將限制它的網(wǎng)絡(luò)通訊。此外，如果有必要的話，這些代理要不斷地與中央政策服務(wù)器進(jìn)行聯(lián)系。

因此，一個(gè)系統(tǒng)能夠完全隔離或者阻止訪問某一個(gè)網(wǎng)段，或者僅允許訪問互聯(lián)網(wǎng)。正如你看到的那樣，動(dòng)態(tài)網(wǎng)絡(luò)接入控制系統(tǒng)的工作方式有很大的差別。重要的是你要評(píng)估你的選擇，找到對(duì)于你的網(wǎng)絡(luò)來(lái)說(shuō)最有效的、最節(jié)省成本的動(dòng)態(tài)網(wǎng)絡(luò)接入控制解決方案。