现在有些网络管理员正在对网络访问控制（NAC）产品进行评估，有人建议他们的信息主管（CIO）和首席信息安全官制定一些选型指南。目前NAC已经有了多种用途，但也存在不少潜在的难题。公司应当为NAC定义一个主要的用途，制定充分利用NAC其它用途的计划，并确定一个强制性协议。否则，就会有选错厂商或产品的危险。

　　当2005年NAC被过分宣传之后，有些信息主管和员工可能已经厌倦了NAC。许多IT部门领教过NAC的苦头：难部署、对网络和用户有阻碍、对设备的管理利少弊多。无疑NAC在校园里很有用，能够承受大量使用笔记本电脑的用户冲击，它对于一般的大公司而言没有多大吸引力。厂商们要么推迟NAC计划，要么改弦更张、关门大吉或被其他公司收购。

　　但自打网络访问控制技术在大约六年前有声有色地初次登场后，它经历了一场个性化的改变。当时蠕虫病毒是最新病毒，而NAC产品则是解决方案的一部分。按照Gartner公司分析师Lawrence Orans的说法，今天的NAC一切以用户为中心，特别专注于不断增长的需要访问公司网络的外部用户。此外，公司还必须应对使用个人设备的公司员工。“电脑随身带”（Bring Your Own Computer）之风已经从校园蔓延到了公司。

　　Orans说：“网络管理员们对建立控制网络接入的策略十分感兴趣，我每年要与上千名网络管理员交谈，他们中没有一个说不想对设备或终端对网络的访问加以更多的控制。NAC仍然具有巨大的活力。”

　　网络访问控制的4个主要用途

　　Gartner公司指出了NAC的四个常见的用途，最新的调查显示它们在NAC用户中十分流行：

• Guest networking，79%
• 终端基本信息监测，15%
• 身份审核网络，5%
• 监控与防范，1%

　　到目前为止，部署NAC的最普遍的初始动因是Guest networking接入，大部分情况仅允许客户访问互联网。这种情况经常出现在公共区域的无线网络上。终端基本信息监测是网络连接前的诊断，检查终端设备是否安装了补丁、杀病毒软件、个人防火墙以及公司策略规定的其它检查。

　　“在开始部署NAC之前，你必须先想好了部署方法。不能仅考虑你要完成的第一件事，你还必须考虑最后如何在四个用途方面都得到掌控，”Orans说。

　　Orans表示：这一点十分重要。因为在有些部署中，要想增加更多的NAC特性并非易事。例如，许多NAC用户问他们在构建Guest networking时能否使用MAC地址来作为身份认证的条件，MAC地址被视为计算机的唯一硬件编号。

　　“对于Guest networking来说这是个绝好的解决方案：如果你的MAC地址不在数据库中，那么你就不能接入Guest networking，”他说。“但问题在于，事实上你不能在MAC地址基础上建立终端设备的基本信息库，”这是NAC代理程序任务。

　　政府、军队和财政机构越来越关注网络的可视性，他们将NAC用于身份识别目的，Orans说。根据SerchCIO.com的案例研究公布的详细情况，大学作为NAC最积极的用户，不论是在有线网络还是无线网络也都使用了NAC的这个功能，同时还使用了基本信息监测和隔离功能。

　　例如，拥有强大的终端基础信息解决方案的厂商并不是身份识别网络的最佳选择（反之亦然），Orans说。最好的解决途径是，首先根据你的NAC的主要用途来做出决定，然后把最能满足这个用途的厂商都列入候选名单。