我们知道防火墙可以帮助企业阻止来自网络黑客的攻击，但如果攻击是你自己的用户发起的呢——恶意的或意外的？你该怎么办！一旦一个不知情的员工他的个人电脑感染了病毒，在接入公司网络时，就会影响公司网络，为此加州北部的一家信用社使用了网络访问控制（NAC）设备以便在病毒爆发之前来避免来自内部的威胁。

　　“有统计数字显示，企业所受到的威胁主要来自内部，因为他们有更多访问您设备的机会，” John Shields说到。John Shields是Patelco Credit Union的CIO和高级副总裁。Patelco Credit Union在旧金山有50个分行。“我们主要关心的是[为访问控制]厂商或访问者，或确保人们不会从外面带入一些不好的东西。”

　　在Shields设想购买NAC设备之前，信用社的部分网络团队人员已经非常熟悉使用一些土方法来监测网络访问了，但其公司的CTO表示，这些办法不是都有效。

　　“我们做了一些特别的事情——在网络上检测新设备——但正如我所说，那只是临时性的，对用户不是很方便，” Shields说。“使用NAC设备给我们带来了更加精简和实用的解决办法，而在以前，我们是没有办法真正地在一个端口采取一些行动的。”

　　大约两年以前，一名员工从家里带来了一个已经感染了蠕虫病毒的笔记本电脑。我们无法阻止用户感染设备，在网络中释放蠕虫，Shields说。

　　“它对我们的内部服务器会有一些损失，”他说。

　　但是，内部威胁来源可能不止信用社的500名员工，Shields说。承包商和供应商往往也会要求网络访问，这需要Shields的网络团队通过建立一个受限访问的物理独立网络使他们进行访问。

　　“建立的这个网络是一个完全独立的网络，它增加了我们的成本和管理开销，”他说。“这时我们意识到我们需要一个网络访问控制设备来控制——到交换机上的端口级——谁有权访问以及一旦他们获得了连接可以访问的内容。

　　NAC设备有助于控制和转移游客访问

　　作为一个使用思科路由器和交换机的长期客户，Shields认为网络巨头的网络访问控制设备部署太困难了，并且在他的网络上覆盖智能设备时存在一些缺陷，如专门的收据打印机。

　　“这些产品中的部分在安装和运行时真的很麻烦，”他说。“即使思科的基础设施，端点安全[有其NAC设备]都需要专门的软件，而且这只适用于个人电脑和桌面型设备。”

　　越简单的东西，他的网络工作人员更能处理，Shields转向了独立的NAC厂商ForeScout Technologies，用它的NAC设备CounterACT。该产品不需要在基础设施配置变更或1500个端点保护，他说。

　　有了合适的NAC设备，Patelco的供应商和用户就可以自动重定向到一个不同的虚拟局域网（VLAN）或者绕过只有互联网接入的网络，Shields说到。

　　“我们数据中心中的两种系统可以看到所有流量的来源和去向，”他说。“我们可以看到哪些设备与哪些服务器会话，如果一个系统访问的内容多于它允许的或它试图访问超过它所能访问的内容我们都会知道。”

　　网络安全人士把目光投向由内部员工制造的内部安全已经有一段时间了，但现在偶尔的内部人员——承包商，审计师，外包公司——也对安全构成了威胁，据ForeScout公司营销总监Jack Marsal说到。

　　“世界是不断变化的，企业是在一直发展的，网络已经可以容纳越来越多的商务访问者了，” Marsal说。 “企业想知道的就是，这些不明身份的人，未知的计算机是如何影响他们的安全的。”

　　NAC设备为入侵者拉响警报

　　Patelco不再遭受破坏了，但Shields说，NAC设备使系统管理员忙于处理警报——如果一个端点没有最新的Windows安全补丁，他们也会知道，以便使信用社能够确保其符合规定的标准。

　　“基于我们目前针对设备的企业政策，我们可以运行一个报告，并发送所有不符合标准的设备名单”，Shields说。“我们有立即警报，再加上一段时间，我们可以运行报告，来进行再三的检查。”

　　虽然他希望看到ForeScout能推出更新更快——他们通常是两个星期后，在微软提出一个新补丁后，Shields说，其很少的管理和维护NAC设备需求让人印象深刻。

　　“[该NAC设备]会说，‘这个设备会与六个不同IP的[地址]会话，[通常] 是我们一个工作人员在一个路由器或多个路由器上的工作，” Shields说。“我们还没有看到一个真实案例，但如果它是一种蠕虫病毒，你就会看到一个类似的模式。”

更多阅读：

网络访问控制(NAC)详解手册