网络访问控制实施攻略

　　共享网络就意味着风险：病毒侵入、数据被盗和网络瘫痪等，利用网络访问控制技术可以有效防范，确保网络安全。如今数据被盗肆虐，蠕虫和病毒横行，为了适应网络安全，选 择网络访问控制（NAC)技术构建网络成为必然。然而，网络访问控制并不简单，它含义深奥并包含一整套的方法。

　　对网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系，顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子，这些餐馆提供最简单的增值服务——上网。然而对其他环境如医院，这样的协议就过于简单了。

　　要为你的网络选择正确的网络访问控制类型，要知道两个前提条件。第一，要清楚网络访问控制所提供的服务，怎样提供这些服务，以及如何把这些服务纳入网络。第二点就是要有明确的、可执行的安全访问策略。网络访问控制不是创造策略，而是执行策略。没有这两点，公司网络安全问题仍旧会被认为仅仅是IT部门的职责（而这永远不是一件好事）。

　　对接入是开还是关？

　　在网络访问授权之前的有限接入，通常被称做“锁住状态”。它并不是说所有的关口都被阻止了，例如它允许你下载新的杀毒软件以升级。所以，在计划引进网络访问控制设置前，要理解并匹配准入的锁机方法。

　　早期的共享网络采用人为的方法，通过接入的路线和关口来限制共享，其中包括起始和终端IP地址、TCP协议、用户数据端口、IP端口以及MAC地址等。从网络建设的角度说，这需要一整套执行方法，网络访问控制方法将会自动完成一系列准入程序。另一种方法则是以分配实际LAN/VLAN来分离整个网络中被锁定的电脑，相对简单的就是用DHCP（即动态主机配置协议）来分配。这种方法不仅可以限制性设置机器到3 VLAN中，还能设置其他客户的信息如DNS。例如，所有网页都可以通过网络服务器的一个“接受”按钮全部放行。