網絡訪問控制是將未經授權的用戶和設備排除在專用網絡之外的行為。允許組織外部的某些設備或用戶偶爾訪問網絡的組織可以使用網絡訪問控制來確保這些設備符合公司安全合規性法規。

越來越多地使用非公司設備訪問公司網絡要求企業特別注意 網絡安全，包括允許訪問的人員或內容。網絡安全保護網絡的功能，確保只有授權的用戶和設備才能訪問它，這些設備是干凈的，并且用戶是他們所說的那個人。

網絡訪問控制或 NAC 是網絡安全的一個方面。有許多 NAC 工具可用，并且這些功能通常由網絡訪問服務器執行。有效的網絡訪問控制將訪問權限限制在那些經過授權且符合安全策略的設備上，這意味著它們擁有所有必需的安全補丁和防入侵軟件。網絡運營商定義安全策略，決定哪些設備或應用程序符合端點安全要求并允許網絡訪問。

網絡訪問控制的優點是什么？

網絡訪問控制的一個優點是可以要求用戶通過多因素身份驗證進行身份驗證，這比基于 IP 地址或用戶名和密碼組合識別用戶安全得多。

安全網絡訪問控制還可以在用戶獲得訪問權限后圍繞網絡的各個部分提供額外級別的保護，從而確保 應用程序安全。一些網絡訪問控制解決方案可能包括兼容的安全控制，例如加密和增加的網絡可見性。

網絡訪問控制的常見用例有哪些？

如果一個組織的安全策略允許以下任何一種情況，他們需要仔細考慮網絡訪問控制以確保 企業安全：

• 自帶設備 (BYOD)：任何允許員工使用自己的設備或將公司設備帶回家的組織都需要超越防火墻來確保網絡安全。每個設備都會產生一個漏洞，使網絡犯罪分子有可能繞過傳統的安全控制。
• 非員工的網絡訪問：一些組織需要授予組織外部人員或設備的訪問權限，并且不受相同安全控制的約束。供應商、訪客和承包商都可能不時需要訪問公司網絡，但不需要訪問網絡的所有部分，也不是每天都需要訪問。
• 物聯網設備的使用：物聯網 導致 設備激增，這些設備可能不受傳統安全控制的影響，通常位于實體公司大樓之外，但仍連接到公司網絡。在沒有足夠的網絡訪問控制的情況下，網絡犯罪分子可以輕松利用這些被忽視的設備進入網絡核心。網絡訪問控制是邊緣安全解決方案的一個重要方面。

網絡訪問控制有哪些能力？

網絡訪問控制的一項重要功能是將網絡訪問限制為特定用戶和網絡的特定區域。因此，訪問者可能能夠連接到公司網絡，但不能訪問任何內部資源。這種類型的安全控制可以幫助 Target 避免 2013 年的攻擊，當時黑客獲得了第三方供應商網絡的訪問權限，并在供應商連接到其網絡時攻擊了 Target。

網絡訪問控制還可以防止員工未經授權訪問數據。這樣，需要訪問公司 Intranet 的員工仍然無法訪問敏感的客戶數據，除非他們的角色允許并且他們已獲得訪問權限。

除了限制用戶訪問之外，網絡訪問控制還阻止來自不符合公司安全策略的端點設備的訪問。這可確保病毒無法從源自組織外部的設備進入網絡。用于公司業務的所有員工設備都必須遵守公司安全策略，然后才能訪問網絡。

網絡訪問控制的重要性是什么？

網絡訪問控制不適用于每個組織，并且與一些現有的安全控制不兼容。但是對于有時間和人員正確實施網絡訪問控制的組織來說，它可以為有價值或敏感的資產提供更強大、更全面的保護層。

使用虛擬機作為其 數據中心一部分的 IT 部門 可以從網絡訪問控制中受益，但前提是他們對其余的安全控制保持警惕。虛擬化對 NAC 提出了特殊挑戰，因為虛擬服務器可以在數據中心周圍移動，并且動態虛擬局域網 (LAN) 可以隨著服務器的移動而變化。虛擬機的網絡訪問控制不僅會打開意外的安全漏洞，還會使組織難以遵守數據審計控制標準。這是因為傳統的安全方法通過其 IP 地址定位端點。虛擬機是動態的，并且會從一個地方移動到另一個地方，這使得它們的安全性更加復雜。

此外，虛擬機的啟動也非常容易和快速，這意味著沒有經驗的 IT 管理員可能會在沒有適當的網絡訪問控制的情況下啟動虛擬機。當虛擬機從靜止狀態恢復時，還會出現另一個漏洞。如果在服務器處于休眠狀態時出現了新補丁，則在重新部署機器時可能不會應用它們。越來越多的組織正在為其網絡安全控制添加應用程序安全性，以確保其網絡上的所有內容（直至應用程序級別）都是安全的。

網絡訪問控制有哪些類型？

有兩種基本類型的網絡訪問控制。兩者都是網絡安全的重要方面：

• 預準入：第一種類型的網絡訪問控制稱為預準入，因為它發生在授予對網絡的訪問權之前，即用戶或端點設備發起訪問網絡的請求。預準入網絡控制會評估訪問嘗試，并且僅在發出請求的設備或用戶能夠證明他們符合公司安全策略并被授權訪問網絡時才允許進入。
• 準入后：準入后網絡訪問控制發生在網絡內，當用戶或設備嘗試進入網絡的不同部分時。如果準入前網絡訪問控制失敗，則準入后網絡訪問控制可以限制網絡內的橫向移動并限制網絡攻擊造成的損害。用戶或設備必須在每次請求移動到網絡的不同部分時重新進行身份驗證。