什么是网络访问控制?

网络访问控制是将未经授权的用户和设备排除于专有网络之外的行为。允许企业之外的某些设备或用户偶尔访问网络的企业可使用网络访问控制确保这些设备满足公司的安全合规性法规。

使用非公司设备访问公司网络要想获得更多认可,企业需要特别关注网络安全性,包括允许访问的人员或设备。网络安全可保护网络的功能,确保只有授权用户和设备能够访问,而这些设备是无害的,用户也与声称的身份相符。

 

网络访问控制也称为 NAC,是网络安全性的一个方面。有许多可用的 NAC 工具,其功能通常由网络访问服务器执行。有效的网络访问控制仅允许获得授权且符合安全策略的设备访问,这意味着这些设备拥有所有必要的安全补丁程序和防入侵软件。网络运营商定义安全策略,确定哪些设备或应用遵守端点安全要求,将被允许访问网络。

网络访问控制有哪些优势?

网络访问控制的一项优势是,可要求用户进行多因素身份验证,这比根据 IP 地址或用户名密码组合确定用户身份要安全得多。

 

用户获得访问权限后,安全的网络访问控制还针对网络的不同部分分别提供额外一层保护,确保应用安全性。一些网络访问控制解决方案可能包含兼容的安全控制机制,例如加密和增加网络可见性。

 

网络访问控制的常见应用场景有哪些?

如果企业的安全策略允许以下任意一种情况,则需要仔细考虑网络访问控制,以确保企业安全:

  • 自带设备 (BYOD):如果企业允许员工使用自己的设备,或将公司设备带回家,则需要思考在防火墙之外如何确保网络安全。每个设备都会制造一个漏洞,让网络犯罪分子有机可乘,绕过传统安全控制机制。
  • 非员工访问网络:一些企业需要为企业之外的人员或设备授予访问权限,不受相同安全控制机制的监控。供应商、访客和合同工可能都需要不时访问公司网络,但并不是每天都要访问网络的所有部分。
  • 使用 IoT 设备物联网导致了设备激增,它们可能是传统安全控制机制的雷达检测不到的,通常位于公司楼宇之外,但仍连接到公司网络。如果没有足够的网络访问控制,网络犯罪分子可以轻松入侵这些被忽视的设备,找到通往网络心脏的道路。网络访问控制是边缘安全解决方案的重要部分。

 

网络访问控制有哪些功能?

网络访问控制的一项重要功能是限制特定用户和特定网络区域的网络访问。一名访客可能能够连接到公司网络,但不能访问任何内部资源。如果黑客获得第三方供应商网络的访问权限,并在供应商连接 Target 网络时进行攻击,这种安全控制会帮助 Target 避免 2013 年的攻击。

 

此外,网络访问控制还可防止员工未经授权访问数据。通过这种方式,需要访问公司内联网的员工仍然不会获得敏感的客户数据,除非工作需要,并已获得访问权限授权。

 

除了限制用户访问,网络访问控制还可阻止不遵守公司安全策略的端点设备访问网络,以确保病毒不能从企业外部的设备进入网络。公司开展业务使用的所有员工设备必须遵守公司安全策略,然后才允许其访问网络。

 

网络访问控制的重要性何在?

网络访问控制并不适用于每个企业,也无法与一些现有的安全控制机制兼容。但对于在时间和人员方面均有能力实施网络访问控制的企业而言,它可针对高价值或敏感资产提供更强大、更全面的保护层。

 

数据中心如果包含虚拟机,IT 部门就能得益于网络访问控制,但要对安全控制机制的其余部分保持警惕。虚拟化可为 NAC 带来特别的挑战,因为虚拟服务器可在数据中心内移动,而动态虚拟局域网 (LAN) 可随着服务器的移动而改变。虚拟机的网络访问控制不仅可能造成意外的安全漏洞,它还会为遵守数据审核控制标准的企业带来挑战。这是因为传统的安全方法是通过 IP 地址确定端点位置的。而虚拟机是动态的,会不停移动,使它更加难以保护。

 

此外,虚拟机还可快速方便地启动,这意味着经验不足的 IT 管理员可能会在适当的网络访问控制未全部就位的情况下启动虚拟机。如果要从静止状态恢复虚拟机,就会出现另一个漏洞。如果服务器处于静态时出现新的补丁程序,重新部署虚拟机时可能不会应用它们。越来越多的企业在将应用安全性添加到其网络安全控制机制中,以确保网络中的一切,直到应用层都是安全的。

 

网络访问控制有哪些类型?

网络访问控制有两种基本类型,均是网络安全性的重要部分:

  • 预准入:第一类网络访问控制称为预准入,因为它发生在授予网络访问权限之前,用户或端点设备发出网络访问请求时。预准入网络控制会评估访问企图,发出请求的设备或用户只有证明能够遵守公司安全策略,且获得了访问网络的授权,才允许进入。
  • 后准入:当用户或设备尝试进入网络的另一部分时,后准入网络访问控制在网络内部进行。如果预准入网络访问控制失败,后准入网络访问控制可限制网络中的横向移动,并限制网络攻击的危害。用户或设备每次请求移动到网络中的另一部分时,都必须重新进行身份验证。

VMware 网络访问控制相关产品、解决方案和资源

领先的企业级网络连接和安全性虚拟化平台

VMware NSX Data Center 提供完整的 L2-L7 网络和安全虚拟化平台,支持像从单一窗口管理单个条目一样轻松管理整个网络。

网络和安全转型

在企业网络连接和安全方面更进一步。通过从数据中心扩展到云环境再到边缘网关的软件层,将分布式环境中的所有对象连接起来

VMware 企业级安全解决方案

借助 VMware 解决方案将安全机制内置于您的基础架构中,从而为您的网络和工作负载提供原生安全性。为应用提供自适应保护,无论其位于何处或...

VMware SD-WAN by VeloCloud

各企业都在转变他们构建和利用网络和基础架构的方式,向在云端提供的、软件定义的模式转变。这样一来,各企业便可以...

由 AirWatch 提供技术支持的 Workspace ONE Unified Endpoint Management (UEM)

Workspace ONE 对每个端点(包括桌面、移动、强固型和 IoT 端点)进行新式无线管理,降低成本并提升安全性,并确保每一层的企业级安全性...