网络反病毒措施

　　你可能想要部署NAC来保证连接到企业网络的计算机运行了最新的反病毒应用。目的是尽可能最小化病毒在企业业网中暴发的可能。虽然并不是100%有效，但是反病毒软件是极为流行的，并且在最近几年很好地阻止了病毒的传播。

　　当你在终端完整检查和修正中使用NAC时，你需要决定在终端用户的机器违反反病毒策略并且NAC解决方案不能修复时应该采取什么措施。终端用户可能是一个客人或者是联络人，他没有在电脑上安装反病毒软件。在这种情况下，除非他的电脑安装上杀毒软件——这一般是不可能发生的，否则修复是不可能的。比如，终端用户可能没有权限在电脑上安装新的软件，或者你的组织可能不想为这些用户支持版权费用。

　　幸好，你可以找到一些反病毒系统，只要你在扩展你的NAC方案时整合了这些反病毒系统，它们就可以帮你处理这些问题。当整合这些系统时，你会强制要求所有来自违反规定的系统的流量通过网络的反病毒网关。在企业网络中，你可以使用包含交换机、防火墙和其他网络设备的配置。

　　因此，反病毒网关可以检测所有用户的流量，这样你的组织就不需要在关于是否给违反终端安全策略的用户激活检查或限制访问的问题上犯难了。

　　注意：要在不牺牲安全的前提下保持生产效率。如果你找到一个可以执行这样的反病毒整合的NAC方案，你可以在尽可能保持安全性的同时提供对于应用和数据的完全访问。

　　URL/Web过滤措施

　　URL/Web是一个流行的限制对特定Web内容和网站访问的技术。通常，这些系统监控所有流出的Web流量和查阅由供应商提供的分类列表来限制用户访问带有禁止内容的网站。在业务网络限制访问色情内容是一个常见的例子。

　　这些系统有一天可能会成为NAC方案的一个关键部分。现在，除了维护一组URL/Web警察策略，组织可以制定具体到每一个用户角色和职能的用户和基于角色的策略。

　　比如，你的公司可能想要限制对于招聘网站的访问以防止员工在上班时间找其它工作。同时，你可能有内部招聘人员或人力资源人员需要访问这些网站来完成他们的工作。通过利用企业LDAP目录的组成员记录，你可以保证需要访问这些网站的人有恰当的访问级别，而其他大多数用户是被限制的。当然，如果你的大量用户在工作时间尝试访问招聘网站，你可能有远比限制访问更大的问题需要担心了。

　　VPN措施

　　NAC与SSL VPN共享许多通用的概念和策略。

　　一个VPN方案——不管是SSL VPN、IPSec VPN或者其它类型的VPN——都允许访问企业网络，即使用户物理地不在企业网络内部。许多组织想要为本地用户雇佣的远程员工使用相同的NAC策略。

　　比如，如果NAC策略规定本地网络的每一个用户都必须使用来自一台运行最新杀毒软件的主机的密码认证，这样的策略确实只在全局应用时有意义。通过允许远程访问用户跳过这些策略，组织可以通过首先设计这些策略打开一个通道而暴露给预期防御的威胁。

　　通过整合一个VPN方案到NAC中，你可以扩展你的NAC部署来保证它为每一个网络用户执行NAC策略，而不管用户的物理位置。这种整合可能有很多种形式，但一般都可以使用一些在本章前面的“了解网络”部分所提到的相同的API和标准。例如，有几个主要的NAC方案包括一些同时为远程和本地用户设置和实施IPSec VPN策略的本地功能。

　　这个访问控制的全局措施使你能够集中地管理所有访问控制策略，从而保证能够一致地实施每一个策略。

　　应用措施

　　没有一个NAC供应商发布了整合应用的解决方案，但供应商将最终创建这些类型的NAC扩展来无缝整合网络策略（通过NAC）和应用策略（通过应用本身）。

　　注意：虽然大多数应用有（而且一直都会有）认证，但NAC能够为每一个应用提供额外的信息，这样应用可以增加安全性并提供一个更好的总体方案。

　　例如，如果一个IDP/IPS系统发现一个网络攻击，并且NAC系统检测到这个攻击，那么NAC可以将这个信息提供给应用，这样应用就能够决定终端用户是否应该继续访问这个应用。否则，如果终端用户由于使用不符要求的终端主机而被允许以受限制访问权限进入网络，那么他/她可能仍然需要获取特定应用的访问权限。然而，这个应用能够通过对该终端用户进行更细粒度的内部应用控制来响应这个信息，如在应用本身限制特定的功能。例如，这个应用可能提供只读访问，而不是读/写访问。