接入安全：SSL VPN与NAC间的PK

　　最近有用户发邮件向记者抱怨：在企业网安全接入部分，SSL VPN和NAC都提出过类似的安全评估与检查技术，但他无法搞清其中的异同。记者认为，不同的应用环境决定了两种技术的生存优势，建议用户可以从实现情况去比较，两者在细节上区别明显。

　　在记者看来，许多SSL VPN厂商把评估终端的安全性作为其网络授权过程的一部分，但是这并不意味着这类评估等同于NAC。

　　SSL VPN终端检查和NAC的目的是类似的：评估设备的安全状况，然后根据评估实施访问策略。多数做这件事的SSL VPN厂商采用可下载的代理软件完成这项工作，并辅之以用于需要网络层VPN接入的客户程序。这类代理采集有关设备配置的数据，并将数据转发给策略服务器。策略服务器决定设备状况是否允许进行访问，以及如果允许进行访问，可以访问什么。

　　这大致符合对NAC的描述，但无疑NAC更加严格。

　　在使用NAC时，传送方法包括802.1X、借助其他认证技术、使用要求允许扫描的强制网络门户等。但SSL VPN常常缺少丰富的选择。此外，作为一种采集有关配置和安全状况信息的手段，NAC厂商积极寻求与其他软件厂商结盟，如补丁管理厂商。最后，NAC需要支持各种操作系统，包括用于智能手机的代理。

　　事实上，SSL VPN完整性检查可以提供有效的保护。因为SSL接入控制可以适合于远程访问目的，而这完全取决于不同用户的需要。

　　需要指出的是，NAC和SSL VPN检查是彼此混合又带有各自的独立性。因此，记者希望用户注意对比它们的功能细节，这对于企业制定灵活的总体接入政策颇有价值。