一個(gè)有效的NAC（網(wǎng)絡(luò)訪(fǎng)問(wèn)控制）方案，應(yīng)該可以提供一個(gè)可信任網(wǎng)絡(luò)架構(gòu)，這個(gè)架構(gòu)對(duì)威脅具有免疫性，以及恰當(dāng)使用的可控制性并能夠?yàn)樗杏脩?hù)保護(hù)數(shù)據(jù)和完整性。 　　
    NAC的一個(gè)關(guān)鍵特性是訪(fǎng)問(wèn)的安全性，可以通過(guò)限制哪些用戶(hù)擁有對(duì)系統(tǒng)的訪(fǎng)問(wèn)以及他們?nèi)绾瓮ㄟ^(guò)有線(xiàn)或無(wú)線(xiàn)的方法連接，來(lái)前攝性地防止安全性受到破壞。網(wǎng)絡(luò)訪(fǎng)問(wèn)控制幫助你保證只有授權(quán)的用戶(hù)可以獲得對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)。而且，它保證用戶(hù)只能訪(fǎng)問(wèn)被授權(quán)使用的資源。既然安全性是網(wǎng)絡(luò)管理人員們關(guān)心的一個(gè)主要問(wèn)題之一，因此企業(yè)根據(jù)權(quán)利和需要對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行有效的控制是非常必須的。
    例如，對(duì)一所醫(yī)院的醫(yī)生和護(hù)士來(lái)說(shuō)訪(fǎng)問(wèn)病人的記錄是合適的。而這種訪(fǎng)問(wèn)對(duì)于在自助餐廳的廚師來(lái)說(shuō)卻是不合適的。對(duì)于在你的網(wǎng)絡(luò)上沒(méi)有業(yè)務(wù)的人員來(lái)說(shuō)，給他們?nèi)魏蔚脑L(fǎng)問(wèn)都是不合適的。
    一個(gè)有效的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略應(yīng)該將那些不法之徒阻擋在外，并只能根據(jù)內(nèi)部人員的身份、所連接的地點(diǎn)、所連接的時(shí)間等，確保其訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。同時(shí)，一個(gè)有效的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制應(yīng)該使企業(yè)的網(wǎng)絡(luò)保持靈活性。
    下面我們看一些實(shí)現(xiàn)有效的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制的具體措施：
    選擇一個(gè)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法和一種客戶(hù)端技術(shù)
    一般說(shuō)來(lái)，你可以根據(jù)你的業(yè)務(wù)因素，從以下三種訪(fǎng)問(wèn)控制方法中進(jìn)行選擇以滿(mǎn)足你的網(wǎng)絡(luò)需要：
    ●IEEE 802.1X
    ●Web身份驗(yàn)證
    ●Mac身份驗(yàn)證
    選擇一個(gè)網(wǎng)絡(luò)架構(gòu)設(shè)備
    網(wǎng)絡(luò)架構(gòu)設(shè)備，如交換機(jī)、接入點(diǎn)和WAN路由器可以提供對(duì)RADIUS驗(yàn)證的支持，并且支持上述全部的驗(yàn)證形式。這些設(shè)備可以直接控制客戶(hù)端與網(wǎng)絡(luò)的連接?？紤]到不同邊緣設(shè)備的不同性能，任何增強(qiáng)安全策略的特定設(shè)備的能力都依賴(lài)于所用的訪(fǎng)問(wèn)控制方法以及客戶(hù)端是否在尋求一個(gè)有線(xiàn)或無(wú)線(xiàn)的連接。
    選擇RADIUS服務(wù)器
    遠(yuǎn)程身份驗(yàn)證撥入用戶(hù)服務(wù)(RADIUS)是一個(gè)工業(yè)標(biāo)準(zhǔn)協(xié)議，可以提供身份驗(yàn)證、授權(quán)和賬戶(hù)服務(wù);它用在提供用戶(hù)網(wǎng)絡(luò)訪(fǎng)問(wèn)的設(shè)備與對(duì)進(jìn)入的用戶(hù)進(jìn)行身份驗(yàn)證的設(shè)備之間。RADIUS定義了三種公共的部件：
    ●訪(fǎng)問(wèn)客戶(hù)
    ●網(wǎng)絡(luò)接入（訪(fǎng)問(wèn)）服務(wù)器
    ●RADIUS服務(wù)器
    即使你有多種多樣的應(yīng)用環(huán)境，你也只能在網(wǎng)絡(luò)中使用一種類(lèi)型的RADIUS服務(wù)器（例如，你可以使用微軟的IAS服務(wù)器或者FreeRADIUS）。在這方面，你應(yīng)該根據(jù)網(wǎng)絡(luò)中的所用的應(yīng)用環(huán)境選擇自己的RADIUS服務(wù)器。這也是對(duì)一個(gè)中央用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行投資（LDAP或者活動(dòng)目錄）的時(shí)機(jī)。
    選擇EAP方法（如果使用802.1x的話(huà)）
    只有在你使用802.1x訪(fǎng)問(wèn)控制方法時(shí)，可擴(kuò)展身份驗(yàn)證協(xié)議（EAP）的方法才具有重要意義。你需要考慮兩個(gè)因素：客戶(hù)對(duì)網(wǎng)絡(luò)的驗(yàn)證和網(wǎng)絡(luò)對(duì)客戶(hù)的驗(yàn)證。
    布置并安排網(wǎng)絡(luò)分段
    你要設(shè)計(jì)網(wǎng)絡(luò)分段，這些分段應(yīng)適合于你網(wǎng)絡(luò)的各種各樣的應(yīng)用環(huán)境。我們強(qiáng)烈建議你在網(wǎng)絡(luò)中的一個(gè)有限區(qū)域內(nèi)引入訪(fǎng)問(wèn)控制（例如，如從會(huì)議室開(kāi)始）。你會(huì)獲得經(jīng)驗(yàn)并由此全面鋪開(kāi)。
    集成所有的網(wǎng)絡(luò)段
    一旦你部署了網(wǎng)絡(luò)中各種不同的分段，你就可以通過(guò)將所有的分段集成到一個(gè)統(tǒng)一的總體中來(lái)實(shí)施優(yōu)化。
    考慮采用身份驅(qū)動(dòng)管理
    身份驅(qū)動(dòng)管理（IDM）提供了基于用戶(hù)身份而不是網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制，它允許你在網(wǎng)絡(luò)的中心設(shè)置一個(gè)網(wǎng)絡(luò)訪(fǎng)問(wèn)策略的實(shí)施，并將它動(dòng)態(tài)地運(yùn)用于網(wǎng)絡(luò)的邊緣。
    通過(guò)上述的措施你應(yīng)該已經(jīng)部署了一個(gè)比較健全的NAC方案。