網絡接入控制優化方案是非常值得我們探究的問題，可能好多人還不了解網絡接入控制，沒有關系，看完本文你肯定有不少收獲，希望本文能教會你更多東西�；�于硬件的網絡接入控制、基于代理的軟件網絡接入控制、無代理的軟件網絡接入控制或者動態網絡接入控制全都可以改善網絡安全。要選擇正確的解決方案，IT經理需要考慮他們網絡接入控制部署的目標，包括理想的安全水平和管理水平。網絡接入控制廠商InfoExpress公司首席執行官、首席技術官和共同創始人Stacey Lum介紹了IT經理需要了解什么知識才能確定適合自己環境類型的最佳網絡接入控制選擇。

網絡接入控制能夠改善安全是沒有爭議的。網絡接入控制能夠迅速判斷來自不應該獲得接入批準的那些系統的用戶，并且保證防火墻設置、殺毒軟件和補丁水平都保持最新的狀態。在使用正確的時候，網絡接入控制能夠創造一個沒有病毒感染的通訊流并且沒有與安全突破有關的許多其它風險的網絡。

很誘人，是嗎?是的。但是，沒有天上掉餡餅的好事。許多網絡接入控制解決方案都太昂貴以至于不能部署和管理。我們在這篇文章中將告訴你需要了解什么知識來確定適合你的環境類型的最佳的網絡接入控制選擇。但是，在我們討論這個問題之前，我們需要簡單再了解一下網絡接入控制的四種主要類型：基于硬件的網絡接入控制;基于代理的軟件網絡接入控制;無代理的軟件網絡接入控制;動態網絡接入控制。無論你選擇哪一種網絡接入控制解決方案，你都需要考慮你部署網絡接入控制的目標，如安全與管理水平以及根據你的企業和網絡規模的其它因素。

網絡接入控制與地理分散的網絡

對于一個大型網絡，有許多部署、管理和運營的考慮。例如，位于交換機上游的基于硬件的線內網絡接入控制解決方案產生一個潛在的單個故障點。如果這些解決方案跟不上目前高速的10G網絡干線的速度，這些解決方案就是破壞性的。

而且，線內網絡接入控制解決方案對于地理上高度分散的或者高度分段的網絡也許都是不理想的。這種解決方案不僅需要在每一個地方都有一臺設備，而且這些方法提供的網絡通訊的可見性也非常差。

當你看不到或者不能阻止一個大型子網上的入侵者的通訊的時候，相信你使用網絡接入控制獲得更大的安全性是沒有意義的。帶外的替代方法，如使用802.1x的選擇，經常需要改變網絡和服務器的許多設置。他們需要額外的隔離網絡和每一臺交換機的端口的設置以及需要設置路由器和交換機的訪問規則。這不僅增加了管理成本，而且還增加了出現錯誤的風險�；�于硬件的網絡接入控制顯然并不便宜，或者說并不是一種萬靈藥。但是，基于硬件的網絡接入控制能夠提供高水平的安全，因為它們的重點是網絡通訊，能夠發現在線路上運行的安全漏洞。

在地理分散的網絡中采用基于軟件的方法，管理性的挑戰依然存在，但是，這些挑戰轉移到了端點，需要在每一個端點安裝一個軟件代理。雖然無代理的網絡接入控制方法能夠減輕這種管理負擔，但是，無代理的網絡接入控制不能提供一種一致的方法以全面地評估這個端點的狀態。這就意味著用重要的安全功能交換可管理性。因為動態網絡接入控制只能利用一部分系統作為安全強制執行者，動態網絡接入控制實際上能夠幫助你利用分布式網絡的力量保護自己。

保證中小企業的安全

中小企業幾乎沒有專門的IT人員和專家來配置復雜的和帶外的方法，如802.1x網絡配置，以及在發生問題的時候正確地排除故障。此外，由于資源的局限性，中小企業經常把IT團隊的重點放在發展業務的IT計劃上。

這正是基于軟件的網絡接入控制要做的事情：在提高安全性的同時還能減輕安全和網絡團隊的管理負擔。事實上，對于中小企業來說，在防御代理方面有許多可說的事情。例如，在端點能夠達到更高水平的審查，從而增強安全性。現實是，代理可以是現有的引起中斷最少的解決方案，特別是應用到網絡通訊的時候，因為代理是在后臺悄悄地運行的，只是定期地向政策服務器發送更新。因此，如果你是IT資源有限的中小企業，這個竅門就是找到最容易管理的、最節省成本的、基于軟件的網絡接入控制解決方案或者可用的動態網絡接入控制解決方案。

理想的安全水平

不管你的企業和網絡規模有多大，你都需要用理想的安全水平去權衡成本與可管理性。這是普遍的現象，因為內部文化、容忍風險的限度或者這個企業是否處在管理非常嚴格的行業等因素都決定了企業應該采取更高水平的安全，還是選擇管理的方便性。

例如，如果安全是唯一的考慮的話，基于硬件的802.1x(帶外的)解決方案也許是最佳的選擇。雖然無代理的網絡接入控制避開了安裝和維護代理的需求，但是，它也付出了代價。無代理的方法不能提供一種一致的方法來全面評估端點的狀態。此外，由于通過檢查網絡通訊可以確定身份，用戶可能會欺騙這個系統。動態網絡接入系統也許會提供管理性和安全之間的正確的平衡。

網絡接入控制的成本

無論你是一家地理上分散的零售商、制造商或者金融服務公司，管理每一個地方的網絡接入控制設備很快將變得非常昂貴。考慮一下，每一個基于硬件的網絡接入控制設備都需要大約2萬美元。此外，那個設備還需要為初次安裝和配置這個設備的專家支付旅差費和工時費。然后，還有持續不斷的維護和更新的費用負擔。

在某些情況下，根據你的架構的性質，如果不對你的網絡配置進行重大的和有風險的修改，遠程管理也許就不能實現。如果你要降低成本，基于軟件的網絡接入控制解決方案也許是一個可行的選擇。

合作

根據你的需求，把網絡接入控制作為一個全面的IT安全解決方案的一部分進行實施也許是最佳的選擇。許多大型基礎設施廠商已經與安全廠商合作以便用最好的安全技術提供他們的服務。

正如你看到的那樣，在你采用網絡接入控制之前你有需要事情要考慮。我們希望這篇文章能夠幫助你簡化這些選擇。無論你選擇什么類型的解決方案，你最終都將扣動扳機和開始部署。那是你需要一個部署戰略的時候。網絡接入控制最好是分階段地實施。這就是說要逐步地部署網絡接入控制設備，逐步地解決一個具體的需求或者保證某一個站點的安全或者保證一個網段的安全。隨著你更加熟悉這個網絡接入控制解決方案，你可以在整個企業部署這個解決方案。在開始的時候，你要計劃一個合理的時間數量來監視它的工作情況，向管理員提供一些時間讓他們了解網絡接入控制對系統和你的網絡的影響。

此外，在你啟用任何強制政策功能之前，你要保證你有一個很好的補救措施戰略。你會簡單地以不符合系統要求封鎖人們進入網絡嗎?你會很好地與補丁管理軟件結合在一起嗎?你還需要知道你將在什么地方存儲你的補救措施文件和不符合要求的任何系統的指令。

盡管由于某些網絡接入控制解決方案部署得不夠好導致網絡接入控制正面臨市場上的某種程度的抵制，考察網絡接入控制比以往任何時候都重要。網絡接入控制解決方案最近不僅取得了一些進步，而且失敗的解決方案的許多問題是由于沒有全面地思考網絡解決控制從而選擇了錯誤的解決方案，太匆忙地進入了部署階段或者試圖以非常快的速度做太多的事情。現在，你知道如何把事情做得更好了。