网络接入控制工具锁定用户访问

网络接入控制(NAC)在应用到校园环境中的时候是独特的。首先，校园网络是非常开放的，数千名学生、员工和教师必须能够访问这个网络。在不利的方面，这种开放性使校园网络的专业人员晚上睡不着觉，担心是否有他们不需要的东西入侵了他们的校园网络。

　　加州South Orange县社区大学学区电信和网络经理Jeff Dorsz说，他经常对他的网络正在发生的事情感到担心。但是，由于许多网络接入控制都是基于代理的，也就是说要访问网络的每一个端点都要安装一个代理，因此他的选择是相对有限的。

　　他说，考虑到我们维护的信息的敏感程度和数量以及不断访问这个网络的学生和教师的数量，我们认识到我们需要采用新的安全政策。这种安全政策既不增加成本也不用担心安装和管理每一个端点的软件或者代理。

　　Dorsz说，他研究了一些基于代理解决方案和软件解决方案。但是，把这些应用到每一台机器是不现实的，因为这个学区网络为3.8万学生以及2500名教师和员工服务。让他们下载一个代理然后访问网络会遭到抵制。

　　Dorsz原来要安装一个内部防火墙。他说，我是使用老式防火墙的人。但是，进一步调查让他感到需要一种不仅能够进行身份识别而且在允许进入网络之前和之后还能进行检查的设备。

　　Dorsz说，这个计划最初是评估内部防火墙。但是，很快这个评估就涉及到了要求在连接前后对用户进行监督和控制的网络接入控制计划。我们不仅要进行身份识别然后让用户接入。我们还要监督用户的行为。我们要强制执行政策和控制恶意软件。

　　Dorsz评估了所有主要的网络接入控制经销商。但是，金融状况的限制和管理层的担心使他选择了Nevis Networks公司。他说，我主要担心问题是可管理性。许多不同的网络接入控制解决方案都很难管理。他重复说，许多解决方案是基于代理的。

　　Dorsz需要身份识别之前的控制、用户行为监视和强制执行基于身份识别的政策以及不影响网络性能和吞吐量的连接之前和连接之后的安全政策。

　　他说，因为我们的政策是根据用户和组定义建立的，如把教学和管理通讯分配到地区数据中心，我们认为绝对有必要让我们的强制执行政策系统与用户的身份联系起来。

　　在第一阶段，在这个地区的两个园区的主要地区办公室的用户将通过一台Nevis LANenforcer设备接入网络。这个设备能够区分学生、教师、管理人员和客人用户以便控制这些用户访问的区域。在第二阶段，South Orange县社区大学将通过在额外的局域网网段安装LANenforcer设备来实施数据中心保护计划，以保护存储敏感信息的关键的后端服务。

Dorsz还说，他现在不断实时监视网络查看事件报告，并且能够连续不断地监视用户的行动以便提高安全。

　　我们评估了传统防火墙供应商的各种选择和各种风格的网络接入控制解决方案。但是，成本因素、性能问题和可伸缩性的局限性等因素消除了这些选择。

　　虽然网络接入控制市场也许仍存在不确定性，但是，Dorsz有信心地认为，他选择的Nevis解决方案将帮助South Orange县社区大学适应市场的增长。

　　他说，我们需要对用户进行身份识别，我们需要建立可信赖的区域。我认为，这两个概念在不远的将来不会消失。