网络访问控制实施攻略

公司使用安全性差的电脑上网不再是权宜之计。大部分网络访问控制操作都会对客户机评估风险，根据公司安全策略加强对危害点的控制。

通常有三种基本的安全状态评估：外部、内
部以及交互评估。外部评估包括中央服务器对客户机的扫描，有些网络访问控制系统使用许多Nessus扫描有问题的机器及恶意软件。但是用户若使用防火墙就会使得这种扫描的有效性减弱。

内部评估是使用代理服务器处理网关验证，检测用户分配的IP，并把这些结果反馈给网络访问控制系统。例如，在Windows界面，杀毒软件生成的注册key就可以被检测到。当然，可以想象的到，这种注册key可以人工嵌入。不管是哪种操作界面，代理都可以检测到本地机器中详细文件的存在。

分析交互数据则是一直比较反作用的方法。就像那些入侵—抵御工具，网络访问控制系统用这种方法扫描网站通信，盘查恶意信号。如果被网关通过的机器后来被检测到有恶意活动，就会立即关闭网关。IPS和网络访问控制的不同在于给客户自我纠正的机会。

比较高级的网络访问控制依靠操作系统鉴定使用哪种网关措施。一般来说，针对Windows的监测比其他浏览器要多一些，这是因为Windows的开发目标比其他操作系统都多一些。显而易见，不可能对Linux机器进行注册检验。

对把操作系统的检测，蒙混过关也是有可能的，这取决于使用的是哪种类型的检测方法。例如，如果检测是根据用户浏览器报告，终端用户可以轻易地改装机器，使之使用不同的操作系统。幸运的是，检测操作系统的方法论（例如检测TCP指纹）已经越来越精湛，大大降低了上述蠕虫嵌入的可能性。

不妨选择开放源代码

当然，许多网络访问控制能够上溯到最初的开放源代码的控制。当网络访问控制技术在主流商业市场上开始成型的时候，根据自己所需可以选择理想的开放源代码，并据此执行网络访问控制系统。

一般说来，商业系统与开放源代码副本相比有更多的特点，包括与它们相匹配的支持系统。当然，这并不意味着提供开放源代码可以被忽视，许多开放源代码系统都有高级的检测方法、验证以及保障能力。

执行开放源代码网络访问控制系统需要耐心，至少拥有Linux网络管理员的全部技能。这种操作通常建立在其他开放源代码包上，能够被安装在许多Linux机器上，并且文件数量比较少。也许用户在第一次尝试运行开放源代码失败，原因就在于错误地配置了附件包，而不是开放源代码网络访问控制软件本身。

最后的忠告是，问题不在于你的网络是否需要网络访问控制技术，而在于你在特殊情况下，哪种类型的网络才是最适合你的。无疑，网络访问控制还没有成为网站所注意的焦点。当考虑安全和隐私被放在最高的位置上时，网络访问控制才会被重视。（小丁编译）

链接

在用户接入网络之前要通过一些验证，要了解终端的状态与计算机接入状态，确保网络安全。

第一种验证就是类似餐馆的无线网络，如果顾客同意这种接入策略，他们的上网需求便可以得到满足。用户ID以及机器状态与此无关，这里只有一个状态，开或者是关。第二种验证要求检测用户ID。第三种验证是要求检测机器状态。这两种验证仅存在完全准许或者完全拒绝两种可能，绝无中间状态。当验证安全后，不同水平的用户被授予不同的准入权限。

内容导航

• 第1页：网络访问控制实施攻略
• 第2页：网络访问控制实施攻略(2)