詳細講解網絡訪問控制策略的應用

網絡訪問控制代表著一種安全產品，其目標可分減少零日攻擊風險、增強策略以及身份和訪問管理，網絡訪問控制還有助于企業(yè)與外部的規(guī)章和內部的策略保持一致性，并可以保護網絡資源免受不斷發(fā)展的網絡威脅的危害。

移動設備的網絡訪問控制(NAC)策略

從iPhone到Droid、BlackBerry以及Nexus One，似乎每周都會有一個新的移動設備誕生，而且公司員工正試圖在這些設備發(fā)布15分鐘后就把它們接入公司的無線網絡。一個企業(yè)如何應對移動設備引起的風險，在將這些設備引入到企業(yè)網絡中后又該如何進行控制呢？

如果你已經在你的環(huán)境中使用了網絡訪問控制，那么你可能對筆記本電腦或者臺式電腦的身份驗證過程比較熟悉：

1. 用戶試圖把一個新的設備接入網絡。

2. 網絡訪問控制服務器檢測到新設備，并確定它還沒有被驗證。

3. 提示客戶在終端上安裝一個網絡訪問控制客戶端。

4. 網絡訪問控制客戶端把用戶的身份證書提供給網絡訪問控制服務器，用于身份驗證。

5. 網絡訪問控制客戶端執(zhí)行一個客戶端安全狀態(tài)評估，并把它提供給網絡訪問控制服務器。

6. 如果有需要的話，網絡訪問控制服務器將使用身份證書和評估結果來確定這個設備可以獲得哪種網絡訪問權限。

不幸的是，當智能手機、平板電腦或者類似的“低能終端”設備試圖接入網絡的時候，這個過程在第三步就停止了，因為想要在這些小玩意上安裝網絡訪問控制客戶端是不可能的。而在這種情況下，網絡訪問控制系統(tǒng)通常會求助于以下兩種方法：

采用“強制網絡門戶(captive portal)”的方法，即網絡訪問控制設備截取用戶的網頁請求，并重新引導用戶到一個基于網絡的身份認證頁面。一旦用戶通過驗證，這個設備就被賦予了訪問網絡的權利，從而允許那些通過了驗證的用戶把任何移動設備接入到網絡上。

另一個方法則是把通過驗證的無線設備的MAC地址列入白名單。這涉及到更多的管理開銷，因為每次部署一個新設備都需要你的IT員工把每個設備的MAC地址添加到網絡訪問控制系統(tǒng)中。然而，這個白名單選項的確給了企業(yè)對網絡訪問更大程度的控制。

這兩個方法的缺點是：網絡訪問控制系統(tǒng)沒有檢測這類設備安全狀態(tài)的能力，這就極大地減少了網絡訪問控制可以像在筆記本/臺式電腦環(huán)境中那樣所提供的傳統(tǒng)功能。

充分利用移動網絡訪問控制

那么，企業(yè)應該如何利用其現有的網絡訪問控制基礎設施來保證移動設備的安全呢？我建議使用一個三管齊下的方法，這個方法關鍵在于對公司擁有的設備和個人擁有的設備進行區(qū)分。你的利益可能會有所不同，這取決于企業(yè)的安全需要，但是這個框架為你提供了一個起點，你可以利用它來構建一個合適的移動網絡控制策略以及同你業(yè)務環(huán)境相關的控制。

限制對公司擁有的智能手機的完全無線網絡訪問。在那些由你的IT員工擁有并由其管理的設備上你可以具備安全保密水平，但你永遠不能在個人設備上保證這樣的水平。出于這個原因，我鼓勵對這些公司擁有并管理的設備進行完全網絡訪問限制。執(zhí)行這個要求的最簡單辦法是使用上述的MAC白名單方法。

用移動設備管理對網絡訪問控制進行補充。雖然網絡訪問控制產品通常不允許你為了更徹底的控制智能手機訪問，而進入智能手機的配置設置，但是移動設備管理軟件卻可以做到。我建議部署這些產品的其中一個來作為網絡訪問控制的補充，并用它在公司所擁有的設備上來執(zhí)行加密、屏幕鎖定以及其它安全設置。

考慮為個人擁有的設備配置一個隔離網絡。在很多環(huán)境中，實用性要求允許個人擁有的設備訪問網絡。如果你的企業(yè)屬于這種情況，那么你可能需要把這些設備放置在一個具有限制性訪問權限的單獨的隔離網絡上。雖然你可能會允許個人擁有的設備自由地訪問因特網，但是你應該謹慎地控制(如果有的話)它們可以訪問公司的哪些資源。畢竟，你肯定不想將商業(yè)機密置于一個不屬于你的手機上。

網絡訪問控制策略的應用的敘述就結束了，上述三個步驟提供了一個基本的框架，你可以按照它來設計滿足你商業(yè)需求的智能電話管理策略。

【編輯推薦】

◆網管軟件專區(qū)

◆網絡管理者最易犯的十大低級錯誤

◆網絡管理基礎知識：網路管理模式

◆學習高效網絡管理技巧三招五式

◆IT運維管理專區(qū)