什么是网络访问控制？

网络访问控制有哪些优势？

网络访问控制的一项优势是，可要求用户进行多因素身份验证，这比根据 IP 地址或用户名密码组合确定用户身份要安全得多。

用户获得访问权限后，安全的网络访问控制还针对网络的不同部分分别提供额外一层保护，确保应用安全性。一些网络访问控制解决方案可能包含兼容的安全控制机制，例如加密和增加网络可见性。

网络访问控制的常见应用场景有哪些？

如果企业的安全策略允许以下任意一种情况，则需要仔细考虑网络访问控制，以确保企业安全：

• 自带设备 (BYOD)：如果企业允许员工使用自己的设备，或将公司设备带回家，则需要思考在防火墙之外如何确保网络安全。每个设备都会制造一个漏洞，让网络犯罪分子有机可乘，绕过传统安全控制机制。
• 非员工访问网络：一些企业需要为企业之外的人员或设备授予访问权限，不受相同安全控制机制的监控。供应商、访客和合同工可能都需要不时访问公司网络，但并不是每天都要访问网络的所有部分。
• 使用 IoT 设备：物联网导致了设备激增，它们可能是传统安全控制机制的雷达检测不到的，通常位于公司楼宇之外，但仍连接到公司网络。如果没有足够的网络访问控制，网络犯罪分子可以轻松入侵这些被忽视的设备，找到通往网络心脏的道路。网络访问控制是边缘安全解决方案的重要部分。

网络访问控制有哪些功能？

网络访问控制的一项重要功能是限制特定用户和特定网络区域的网络访问。一名访客可能能够连接到公司网络，但不能访问任何内部资源。如果黑客获得第三方供应商网络的访问权限，并在供应商连接 Target 网络时进行攻击，这种安全控制会帮助 Target 避免 2013 年的攻击。

此外，网络访问控制还可防止员工未经授权访问数据。通过这种方式，需要访问公司内联网的员工仍然不会获得敏感的客户数据，除非工作需要，并已获得访问权限授权。

除了限制用户访问，网络访问控制还可阻止不遵守公司安全策略的端点设备访问网络，以确保病毒不能从企业外部的设备进入网络。公司开展业务使用的所有员工设备必须遵守公司安全策略，然后才允许其访问网络。

网络访问控制的重要性何在？

网络访问控制并不适用于每个企业，也无法与一些现有的安全控制机制兼容。但对于在时间和人员方面均有能力实施网络访问控制的企业而言，它可针对高价值或敏感资产提供更强大、更全面的保护层。

数据中心如果包含虚拟机，IT 部门就能得益于网络访问控制，但要对安全控制机制的其余部分保持警惕。虚拟化可为 NAC 带来特别的挑战，因为虚拟服务器可在数据中心内移动，而动态虚拟局域网 (LAN) 可随着服务器的移动而改变。虚拟机的网络访问控制不仅可能造成意外的安全漏洞，它还会为遵守数据审核控制标准的企业带来挑战。这是因为传统的安全方法是通过 IP 地址确定端点位置的。而虚拟机是动态的，会不停移动，使它更加难以保护。

此外，虚拟机还可快速方便地启动，这意味着经验不足的 IT 管理员可能会在适当的网络访问控制未全部就位的情况下启动虚拟机。如果要从静止状态恢复虚拟机，就会出现另一个漏洞。如果服务器处于静态时出现新的补丁程序，重新部署虚拟机时可能不会应用它们。越来越多的企业在将应用安全性添加到其网络安全控制机制中，以确保网络中的一切，直到应用层都是安全的。

网络访问控制有哪些类型？

网络访问控制有两种基本类型，均是网络安全性的重要部分：

• 预准入：第一类网络访问控制称为预准入，因为它发生在授予网络访问权限之前，用户或端点设备发出网络访问请求时。预准入网络控制会评估访问企图，发出请求的设备或用户只有证明能够遵守公司安全策略，且获得了访问网络的授权，才允许进入。
• 后准入：当用户或设备尝试进入网络的另一部分时，后准入网络访问控制在网络内部进行。如果预准入网络访问控制失败，后准入网络访问控制可限制网络中的横向移动，并限制网络攻击的危害。用户或设备每次请求移动到网络中的另一部分时，都必须重新进行身份验证。