完美经验助你实现局域网访问控制

　　在任何局域网安全项目中要采取的第一步是，识别并区分业务部门的资源访问需求。以下是一些最常见的需要明确的问题，可以供你参考，根据你自己的实际情况来选择：

　　•控制谁能访问局域网;

　　•降低非企业员工将能够访问敏感数据的风险：限制客人只可以访问互联网，而不能访问企业局域网上的资源。对资源进行控制，设定哪一个软件开发者、设计者或其他长期的非员工人员可以访问哪些资源。

　　•为不同的员工设定不同的访问权限。限制每个人只能访问他们需要的数据和应用程序。

　　•控制那些非计算机的网络设备的使用，诸如打印机、VoIP电话、数码相机等等。

　　•防范恶意软件攻击。

　　•实现对政府和行业标准的支持，并让业务组的人也了解这些要求。

　　讨论上述问题的目的是确定企业局域网的当前和长远目标。也就是你需要详细研究网络访问控制(NAC)问题的全面设置，决定谁可以登录到局域网中，并限制他们能够访问的内容。

　　举个例子来说，在项目一开始的时候，多数企业客户一般会先选择分离并限制客人的访问权限。然后其中多数企业计划在以后增加更多细化的控制，尤其是基于角色或基于策略的访问控制，来限制它们员工的访问权限。

　　在制定了你的网络访问控制优先权后，接下来，你需要在整个局域网安全计划中为不同的终端分配不同的角色。

　确定终端策略

　　局域网安全的一个关键因素是允许控制(admission control)，也就是说，你需要决定是否给予某一个终端访问局域网的权限。多数客户希望保护它们的局域网(和计算机终端)远离病毒和恶意软件，许多人使用终端验证或“状态检查”软件来确认任何试图访问局域网的设备已经被合适的进行了打补丁和升级处理。以下是一些关于状态检查的一些问题：

　　首先要了解你的终端上运行的软件，比如终端计算机上的反病毒软件，你可能希望你的访问控制能与终端上已有软件能够和平共处，不互相冲突。

　　尽管目前微软的网络访问保护(NAP)解决方案至今还没有部署(它需要依靠微软将在2008年第一季度发布的Longhorn服务器)，考虑到微软的Vista系统进入企业是早晚的事，你可能希望你的网络访问控制平台可以处理微软的NAP终端软件所中继的信息。

　　另外，你需要考虑那些无法安装一个代理的终端如何处理，诸如打印机、VoIP电话、数码相机等。这些设备将需要使用诸如基于MAC地址的认证形式，因为它们不能运行一个终端代理软件。

　　现在你已经定义了你的需求，并确定了你的终端策略，现在是时候来看一下你现有的网络，并制定一个需要进行改变的网络计划了。

按需定制 了解你的网络

　　网络访问控制(NAC)和LAN产品必须与你的交换机和路由器进行交互，同样也需要与其他网络连接的设备和资源进行交互。举个例子来说，有的客户一直在强调，能够保留他们现有网络对他们来说是多么重要，因为他们已经花了大量的投资在上面。如果仅仅是为了实施一个网络访问控制，就让他们进行重大的网络修改，确实有些浪费投资。

　　我们还注意到，许多客户忽视了利用局域网升级的时间同时实施网络访问控制安全项目的建设。这实际上是一个既省时又经济的办法，因为它实际上将两个项目化为一个项目。不过我们同时也看到很多客户案例，它们没有经过重大的网络改造就可以在局域网中实现网络访问控制。想自己动手组装电脑吗？想了解市场行情吗？来技术无忧DIY资讯一切烦脑都没有！