从最终用户的角度看,网络接入控制的摆设应该是通明的,就像它在完全赖本人运转。跟着用户登录到这个网络,他们的系统应该悄然地在后台进行反省,看看他们能否契合内部平安政策。
网络接入控制诊断端点的例子包罗其当时补丁的程度和功用以及最新的杀毒软件和小我防火墙软件。只要在某些器械犯错时用户才晓得本人的系统不契合规则。然后,用户将被指导到内部网门户。用户将在那边晋级到适宜的平安程度。
关于小企业和大型企业来说,这种高度动态的平安程度将使他们取得很多益处。一个拥有网络接入控制功用的网络不只运转得更平安,并且效率更高,契合恪守律例的要求而且发生的服务台电话更少。
固然网络接入节制的益处是不言而喻的,然则,网络接入节制处理方案完成任务的办法是很复杂的,无论这种处理方案是基于硬件的、线路内部的、带外的、署理的照样没有署理的都是如斯。
我们起首看看基于硬件的办法是如何发扬效果的。这种方式的网络接入节制普通需求一台设备。这台设备在内部网络中运转或许在通信的带外运转。有些这类设备可以替代接入交换机,而有些这类设备在接入层和网络交换机之间任务。无论采用哪一种办法,都需求思索摆设、治理和运转转变等很多问题。
起首,基于硬件的网络接入节制处理方案有很多固有的缺陷。最首要的是它创立了这个网络上的一个单个的毛病点。这种设备还会影响网络通信,关于地舆上涣散的或许高度涣散的网络也许是不睬想的。不只需求每个当地都装置一台这种设备,并且还要进一步装置到网络上。这些办法为网络通信供应了较少的可见性。当你在一个大型子网上看不到或许不可以阻止一个入侵者的通信的时分,很难置信运用网络接入节制设备会更平安。
此外,带外的办法(如运用802.11的设备)经常需求更高程度的网络和服务器设置转变以及要跟踪的端口。这不只添加了网络治理本钱并且还进步了错误的风险。
接下来是遭到很多批判的基于署理的办法。没人情愿装置、晋级和维护另一个端点使用顺序。这是IT团队的一个额定担负,是惹起服务台电话骤增的催化剂。
由于署理位于端点上,运用署理的缺陷是它需求采用更高程度的搜检。这种搜检有助于改善平安。实际是,署理不是可用的推翻性的处理方案,特殊是在它进入网络通信的时分。这是由于署理是在后台悄然运转的,仅仅向政策服务器发送按期的更新,包管具体强迫执行平安政策。然则,让我们面临这个问题:没有人情愿装置另一个使用顺序,不论这个平安报答是何等高。
接下来是无署理的网络接入节制。无署理的网络接入节制的经常见办法包罗在答应端点设备进入网络之前对端点设备进行平安破绽扫描或许政策评价扫描,或许还进行这两项扫描。不必说,这种做法会添加忙碌的网络的担负。这个扫描的后果将发送到一个政策服务器,假如有需要的话,将对任何不恪守规则的系统取弥补办法。
无署理网络接入节制的潜力是分明的:不需求装置任何署理。遗憾的是它并非那样简略。老是有一些晦气的方面。无署理的办法不可以供应一个一致的办法来具体评价这个端点的形态。此外,身份是经过反省网络通信确定的,用户可以诈骗这个办法。
采用动态网络接入节制,有一些署理,然则,这些署理仅装置在必然比例的系统中。此外,这种办法也称作P2P网络接入,不需求对网络进行任何改动,也不需求在每一个系统上装置软件。这些署理有一局部是“强迫执行者”,要装置在可托赖的系统中,很像是警员军队。采用这种办法可以获得与署理有关的高程度的平安以及网络接入节制的悉数益处,没有基于硬件的网络接入设备的费事,也不必在每一个网络设备上装置软件。
例如,假定很多法律者装置到了一个局域网的台式电脑中,一个不成信任的系统试图要登录这个网络。这些法律者在对这个系统进行诊断之前将限制它的网络通信。
此外,假如有需要的话,这些署理要不时地与中心政策服务器进行联络。因而,一个系统可以完全隔离或许阻止拜访某一个网段,或许仅答应拜访互联网。