完美经验助你实现局域网访问控制

　　网络访问控制(NAC)和LAN产品必须与你的交换机和路由器进行交互，同样也需要与其他网络连接的设备和资源进行交互。举个例子来说，有的客户一直在强调，能够保留他们现有网络对他们来说是多么重要，因为他们已经花了大量的投资在上面。如果仅仅是为了实施一个网络访问控制，就让他们进行重大的网络修改，确实有些浪费投资。IXPUB技术博客&O MOj^%N!s)N"f3d.?

_,KF#}'Be7590422　　我们还注意到，许多客户忽视了利用局域网升级的时间同时实施网络访问控制安全项目的建设。这实际上是一个既省时又经济的办法，因为它实际上将两个项目化为一个项目。不过我们同时也看到很多客户案例，它们没有经过重大的网络改造就可以在局域网中实现网络访问控制。

*g,[!k(qz}7UO~7590422　　实际上，不管你是否正处于一个网络升级的阶段，都有一些好的方法供你选择。IXPUB技术博客8]$SWvW

4z@,Fl2})R\7590422　　如果你的局域网升级刚刚完成，那么就看一下通过什么方法对现有网络产生影响最小但又能实现绝大多数控制。现在的多数安全设备基本上可以支持任何现有的局域网架构。IXPUB技术博客G$y5k?o(m{-a

Ct%d%~.|8ImX7590422　　如果你正要进行局域网升级，那更简单了，在进行网络升级的过程中，同时考虑网络访问控制设计。安全交换机已经在市场上出现，它们一般都包含完整的基于身份的控制功能。

0E2H rL,Y:{%^I#A|7590422　　如果你的网络升级已经过去好多年，可以寻找一些可以满足将来网络升级后安全需求的安全设备，这样即使将来网络进行了升级，你的投资也没有浪费。

F Y/u2j Tk;o7590422　　许多局域网安全解决方案可以在局域网中的多个位置实施，但是多数被设计放在：局域网的边缘，靠近用户实施;在两个网段或两类网络的连接处;靠近数据中心，以保护服务器。IXPUB技术博客)Yy1q PA;||

BEpA~D[7590422　　一般情况下，客户会选择它们的最有价值的位置，在那儿开始部署。举个例子来说，如果它们最担心访问者通过会议室的开放端口进入局域网，它们将会首先在这些网口上部署访问控制技术。如果它们最担心临时人员通过VPN从远程访问总部的网络和数据，它们将对VPN增加基于角色和基于策略的访问控制。

1{K Z,^2KR7590422　　考虑一下以下网络位置哪个是你最希望加固的地方：无线区域;会议室;网络边缘;数据中心;VPN网络。IXPUB技术博客3y SnQ|
g"U8J

　　现在，你可能已经收集好了关于局域网安全访问控制解决方案所需要的信息，现在是时候进行试验部署了。IXPUB技术博客C!yS0r%D%^i^

K!h)wV7qBm N7590422控制策略试运行技巧IXPUB技术博客hs"F0lZ*_

　　因为策略是你成功实现局域网安全访问控制的基础，你需要通过试验来对它们进行验证，确信在你选择的安全和网络访问控制平台中，你可以轻松的创建并实施安全策略。通过厂商的演示你可能会觉得这是一件非常容易的事情，但是你需要在无需帮助的情况下自己重复进行这些步骤，以确保在厂商工程师离开后，你自己能熟练使用这个工具。

　　而且，尽管在实验室中的测试结果非常成功，你还是需要在真正的局域网中对它进行相关测试。尤其是当你试图应用基于身份的控制的时候，你需要让真实的用户来完成他们真实的工作来测试其功能。通过在监视模式下运行一个产品，你可以看到是否存在没有真正阻挡用户通信的策略存在。

　　在进行试运行的过程中，不仅仅要让IT员工参加，还要争取让来自不同业务部门具有不同权限级别的用户参与进来，为了确保你可以得到一个你正在考察的产品的全面的了解，确认下面的任务应该是你测试工作的一部分：试验你现在需要的功能;试验你将来希望应用的功能，因为你不会希望被一个产品捆住手脚;经过来自厂商的最初的安装和培训后，你应该独自来负责和推动试验工作的进行。

Um]O-h$\_7590422　　在你的行业市场领域看看是否有人已经应用了这个产品，满意的客户将会非常乐意与你交流，并分享他们的经验，无论是好的还是坏的。通过一段时间的专门试运行安全项目，可以加速企业整体安全项目的完成时间，并可以帮助它们达到最初的目标。IXPUB技术博客t Qq H9Y

Q6` O5^?/E7590422用户目录信息和其他实施问题

　　对很多客户来说，网络访问控制(NAC)实施和用户目录信息清理通常是并行运行的。没有精确的身份和角色信息，网络设备就没有应用控制策略的基础，因此网络和用户信息目录团队需要关注他们的被认证的用户的记录的组隶属关系是准确的。根据实际案例证明，那些前期花费了时间来校正这些数据准确性的客户，一般都能够正确的运用安全策略，而且他们的技术支持人员很少接到要求解决访问问题的电话。IXPUB技术博客,V-}b5zr'K-U

C:kF+r|&K7590422　　诸如目录清理之类的工作的最有力的表现形式之一就是一个完整的身份和访问管理项目。那些将这些项目与网络访问控制项目联合实施的用户一般能够有效的在整个企业中创建和发布策略。在部署之中，网络访问控制(NAC)部分负责网络级别用户的设置和取消设置，而身份和访问管理平台是在应用程序级别进行设置和取消设置，两者是互相补充的关系。

　　一旦你的用户数据库建立就绪，而且也选择了你的局域网安全解决方案，你就可以开始创建一个最低限度需求来控制访问了。多数用户可以分三个阶段来全面部署访问控制项目。第一阶段可以简单的应用认证控制和状态检查;第二阶段，IT人员与业务部门建立可以在将来应用更多控制但又不会对现在的工作带来重大影响的策略;IXPUB技术博客%f |!o5n~
e

9L:Y6@V6|ig;t0S7590422　　我们还建议您亲自来实施这些项目，而不要让厂商来替你完成所有事情。当然，最初肯定需要厂商的帮助，但是你应该尽可能早的来亲自进行实施，因为这样你对系统会有更深的认识。IXPUB技术博客S'r:y(O1R1?

?]kx__:L5p7590422　　在你建立其最初的控制后，让它们在你的网络中运行一段时间，然后使用监视工具来看以下局域网中都发生了什么。你的网络安全平台应该能够立即告诉你问题在哪儿。举个例子说，统计功能是否正常?是否有太多的人违反一个访问策略?如果有很多人违反一个访问策略，那可能是这个策略不准确，一般不会有这么多的人同时试图访问他们不能够访问的信息。

　　确信你能够将一个告警对应到一个明确的策略上，然后与业务部门共同研究，确认他们给你正确的访问信息，然后你将其转成正确的策略。业务部门表达访问需求的错误或遗漏往往是造成错误策略的主要原因。在通过监视模式下对这些策略进行一段时间的监视后，你可以确认这些策略的正确性，然后你就可以真正去阻挡不合法的访问行为了。IXPUB技术博客T+U3k*xS9_ bvNZt

Jxh9S@+I i^n(t7590422　　你需要与业务部门一起制定好合适的安全策略，考虑哪些数据是最敏感的，是必须被保护的，另外在创建新的策略后，对于违反策略的行为仅仅进行记录，而不要阻止它们。对策略进行调查。是策略不正确，还是用户确实做了他们不应该做的事情?IXPUB技术博客 IE[T`8s%J~

/ZQ\:eI'jJ7590422　　结论

　　如果你按照“计划、测试然后部署”的合理逻辑来计划你的局域网安全架构和产品的话，你将能够驾驭这些复杂的项目。关键是：一个深思熟虑的局域网安全架构的得出，一个完美的分阶段部署，监视变化和检查IT和业务之间交流无误的能力，以及反复完善的积极态度。具备了上述条件，你就可以控制谁可以进入你的局域网以及他们进来后可以做什么，就可以让你公司的重要信息和其他资源得到完美的保护。IXPUB技术博客#sPM&m4L