如今數據被盜肆虐，蠕蟲和病毒橫行，為了適應網絡安全，選擇網絡訪問控制（NAC)技術構建網絡成為必然。然而，網絡訪問控制并不簡單，它含義深奧并包含一整套的方法。

對網絡訪問控制的政策執行與公司的業務流程密切相關。比如說一些餐館的無線網絡就是最簡單的網絡訪問控制體系，顧客在接入網絡之前就必須接受相關的協議。這只是網絡訪問控制最簡單的例子，這些餐館提供最簡單的增值服務——上網。然而對其他環境如醫院，這樣的協議就過于簡單了。

要為你的網絡選擇正確的網絡訪問控制類型，要知道兩個前提條件。第一，要清楚網絡訪問控制所提供的服務，怎樣提供這些服務，以及如何把這些服務納入網絡。第二點就是要有明確的、可執行的安全訪問策略。網絡訪問控制不是創造策略，而是執行策略。沒有這兩點，公司網絡安全問題仍舊會被認為僅僅是IT部門的職責（而這永遠不是一件好事）。

對接入是開還是關？

在網絡訪問授權之前的有限接入，通常被稱做“鎖住狀態”。它并不是說所有的關口都被阻止了，例如它允許你下載新的殺毒軟件以升級。所以，在計劃引進網絡訪問控制設置前，要理解并匹配準入的鎖機方法。

早期的共享網絡采用人為的方法，通過接入的路線和關口來限制共享，其中包括起始和終端IP地址、TCP協議、用戶數據端口、IP端口以及MAC地址等。從網絡建設的角度說，這需要一整套執行方法，網絡訪問控制方法將會自動完成一系列準入程序。另一種方法則是以分配實際LAN/VLAN來分離整個網絡中被鎖定的電腦，相對簡單的就是用DHCP（即動態主機配置協議）來分配。這種方法不僅可以限制性設置機器到3 VLAN中，還能設置其他客戶的信息如DNS。例如，所有網頁都可以通過網絡服務器的一個“接受”按鈕全部放行。

在一些更為高級的開關設置中，網絡訪問控制系統可以同那些開關一起動態控制VLAN。默認條件下，所有受網絡訪問控制的網站端口都自動鎖住，存在有限的接入權限。只有當系統檢測到機器符合網絡訪問控制要求的時候，才會傳輸指令給這些端口解除鎖定。網絡訪問控制設備安裝在一個開關點（類似SPAN端口），向ARP傳輸信號要求通過網關。網絡訪問控制把MAC地址注入用戶的ARP注冊表作為網關，因此會強制客戶把所有非本地通信傳輸給網絡訪問控制。一旦機器通過網絡訪問控制的參數，就會被允許通過正確的網關。

每種方法的保護都不一樣。在DHCP方法中，明智的用戶都會被分配一個有效的靜態IP地址，也順帶通過VLAN驗證。如果知道網關的正確MAC地址，就可以通過人工創建通過網關的ARP迂回擺脫ARP中毒。不過，大部分網絡訪問控制系統都有針對這些行為的專門措施。

接入網絡的間隔距離也應該重點考慮。與端口控制的網絡訪問控制方法不同，在線網絡訪問控制對公司廣域網線路和網絡嚴格控制，但是相同方向通關則不受限制。簡單說，如果A和B都在網絡訪問控制網關的同側，它們就可以互相進入。

評估終端的安全

驗證用戶ID是網絡訪問控制系統中很嚴格的步驟。最簡單的例子，就像在咖啡館無線上網，只當用戶遵守相關協時，才能被授權上網。

在一個簡單的驗證環境下，網絡訪問控制質詢RADIUS服務器決定用戶是否有權進入公司內部網和無線網。如果用戶密碼正確，那么就可以完全通關，反之默認狀態下僅僅開放普通端口（如http、https等等，根據內部網安全政策認可。）對那些復雜的驗證環境，如高級經理進入ERP系統，網站管理員進入服務器，保險調解員進入數據庫，會有專門的用戶認證政策。LDAP接口或者動態IP服務器終端用戶可以授權用戶進入應用系統。