什么是网络访问控制？

网络访问控制是将未经授权的用户和设备排除于专有网络之外的行为。允许企业之外的某些设备或用户偶尔访问网络的企业可使用网络访问控制确保这些设备满足公司的安全合规性法规。

使用非公司设备访问公司网络要想获得更多认可，企业需要特别关注网络安全性，包括允许访问的人员或设备。网络安全可保护网络的功能，确保只有授权用户和设备能够访问，而这些设备是无害的，用户也与声称的身份相符。

网络访问控制也称为 NAC，是网络安全性的一个方面。有许多可用的 NAC 工具，其功能通常由网络访问服务器执行。有效的网络访问控制仅允许获得授权且符合安全策略的设备访问，这意味着这些设备拥有所有必要的安全补丁程序和防入侵软件。网络运营商定义安全策略，确定哪些设备或应用遵守端点安全要求，将被允许访问网络。

网络访问控制的一项优势是，可要求用户进行多因素身份验证，这比根据 IP 地址或用户名密码组合确定用户身份要安全得多。

用户获得访问权限后，安全的网络访问控制还针对网络的不同部分分别提供额外一层保护，确保应用安全性。一些网络访问控制解决方案可能包含兼容的安全控制机制，例如加密和增加网络可见性。

如果企业的安全策略允许以下任意一种情况，则需要仔细考虑网络访问控制，以确保企业安全：

• 自带设备 (BYOD)：如果企业允许员工使用自己的设备，或将公司设备带回家，则需要考虑在防火墙之外如何确保网络安全。每个设备都会制造一个漏洞，让网络犯罪分子有机可乘，绕过传统安全控制机制。
• 非员工访问网络：一些企业需要为企业之外的人员或设备授予访问权限，不受相同安全控制措施的监控。供应商、访客和合同工可能都需要不时访问公司网络，但并不是每天都要访问网络的所有部分。
• 物联网设备的使用：物联网导致了设备激增，它们可能是传统安全控制机制的雷达检测不到的，通常位于公司楼宇之外，但仍连接到公司网络。如果没有足够的网络访问控制，网络犯罪分子可以轻松入侵这些被忽视的设备，找到通往网络心脏的道路。网络访问控制是边缘安全解决方案的重要部分。

网络访问控制的一项重要功能是限制特定用户和特定网络区域的网络访问。一名访客可能能够连接到公司网络，但不能访问任何内部资源。如果黑客获得第三方供应商网络的访问权限，并在供应商连接 Target 网络时进行攻击，这种安全控制机制会帮助 Target 避免 2013 年的攻击。

此外，网络访问控制还可防止员工未经授权访问数据。通过这种方式，需要访问公司内联网的员工仍然不会获得敏感的客户数据，除非工作需要，并已获得访问权限授权。

除了限制用户访问，网络访问控制还可阻止不遵守公司安全策略的端点设备访问网络，以确保病毒不能从企业外部的设备进入网络。公司开展业务使用的所有员工设备必须遵守公司安全策略，然后才允许其访问网络。