网络准入控制 

网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。

简介

准入控制能够在用户访问网络之前确保用户的身份是信任关系。但是，识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略，用户有权进入网络，但是他们所使用的计算机可能不适合接入网络，为什么会出现这种情况。因为笔记本电脑等移动计算设备在工作环境中的普及提高了用户的生产率，但是，这也会产生一定的问题：这些计算设备很容易在外部感染病毒或者蠕虫，当它们重新接入企业网络的时候，就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作，造成停机，业务中断和不断地打补丁。利用网络准入控制，企业能够减少病毒和蠕虫对企业运作的干扰，因为它能够防止易损主机接入正常网络。在主机接入正常网络之前，NAC能够检查它是否符合企业制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

网络准入控制的作用

网络准入控制的作用是检查设备的“状态”。终端NAC代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息，并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。

网络准入控制的特点

a. 控制范围大——它能够检测主机用于与网络连接的所有接入方法，包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入；
b. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起，对终端准入进行主机健康检查。
c.控制力度强——通常采用在网络层面上的隔离、修复区方法。在终端接入网络访问业务数据之前就可以进行相应的控制。