来源：安全中国

没有哪个网络是无懈可击的：恶意软件不断潜入，无论是通过移动员工、访客或者承包商的笔记本电脑，还是通过下载可疑内容的最终用户。网关处或者桌面电脑上的反病毒软件有助于你控制计算机，但访客和没有得到管理的服务器仍然问题重重。咱们还是实话实说吧：有时候，攻击者就是比我们聪明。可不，连遵循最佳实践的公司同样遭到袭击。

    我们所指的不仅仅需要安全方面的最佳实践。保护网络远离恶意主机最终是一项桌面管理功能。NAC的作用就是强制实施你的安全策略，提供一种执行机制，有助于确保计算机配置合理。如果IT人员权衡了众多因素，比如用户是否登录、他所用计算机的补丁级别；反恶意软件或者桌面防火墙软件是否安装、运行、版本最新，就能确定要不要根据情况来限制对网络资源的访问。如果某主机没有符合你定义的策略，就被引导到补救服务器，或者放到访客虚拟局域网（VLAN）上。

    还记得Slammer病毒吗？假若企业采取如下策略——一旦发现运行MSDE 2000的主机未打上补丁，就拒绝其访问网络，那么Slammer病毒带来的可怕后果就会小得多。

    虽然NAC大有希望，但它并非灵丹妙药。解决Slammer病毒的方案是要么给易受攻击的系统及时打上补丁，要么从网络上移除访问MSDE的权限。但如果你的NAC系统没有检查MSDE等应用系统及其补丁级别，就无法阻止易受攻击的节点访问网络。

    总体架构

　　所有NAC产品都有三个基本部分：访问请求者（AR）、策略决策点（PDP）和策略执行点（PEP）。请参阅下面的“总体NAC框架”图。厂商们对这些部分使用各自的名称，但我们使用可信计算组织（Trusted Computing Group）下属可信网络连接（Trusted Network Connect）工作组定义的术语，因为它们相当清楚。

框架总结

    PDP和PEP的单独功能可包含在一台服务器上，也可分散在多台服务器之间，这取决于厂商的实施方案；不过一般而言，AR负责请求访问，PDP负责指定策略，而PEP负责执行策略。

    AR是试图访问网络的节点，它可以是由NAC系统管理的任何设备，包括工作站、服务器、打印机、照相机及具有IP功能的其他设备。 ARM可能自行执行主机评估，也有可能由另外某个系统来评估主机。不管在什么情况下，AR的评估结果发送到PDP。PDP是核心部分。根据AR的状况和公司定义的策略，PDP确定应当授予哪种访问权。在许多情况下，NAC产品管理系统可能充当PDP。PDP常常依赖后端系统（包括反病毒、补丁管理或者用户目录），以便帮助确定主机的条件。举例说，反病毒软件管理器会确定主机的反病毒软件和特征版本是不是最新，然后通知PDP。

    一旦PDP确定运用哪个策略，就会把访问控制决策传送给PEP以便执行。PEP可能是网络设备，比如交换机、防火墙或者路由器；可能是管理动态主机配置协议（DHCP）或者地址解析协议（ARP）的带外设备；也可能是AR上的代理本身。

[1] [2] [3] [4] 下一页