?說到NAC網(wǎng)絡(luò)訪問控制，浮現(xiàn)在我們腦海中的應(yīng)該就是軟件+硬件的構(gòu)成方式，即用軟件作為核心的策略決策點(diǎn)，硬件作為策略執(zhí)行點(diǎn)，這也是標(biāo)準(zhǔn)的NAC構(gòu)成方式，縱觀業(yè)界的主流產(chǎn)品，無論Cisco的C-NAC、Juniper的UAC，還是國(guó)內(nèi)的銳捷GSN、H3C的EAD等等，均是如此架構(gòu)。

提到這種架構(gòu)，讓人最為頭大的莫過于部署，這里的部署，不是指整套解決方案的部署，而是對(duì)于核心軟件系統(tǒng)的部署，其難點(diǎn)來自于幾個(gè)方面：

1，TCO即總體擁有成本。凡NAC類產(chǎn)品，其技術(shù)含量較高，價(jià)格當(dāng)然也不菲，但對(duì)于一個(gè)用戶來說，該軟件的價(jià)格還不只是擁有它的TCO，既然是軟件架構(gòu)，那么一定需要一臺(tái)服務(wù)器嘍，動(dòng)輒幾萬塊的預(yù)算，不是小數(shù)目。有了服務(wù)器還不行，還要操作系統(tǒng)和數(shù)據(jù)庫，目前很多NAC軟件都是基于Windows Server和SQL Server的，這兩個(gè)東西也不便宜，微軟零售價(jià)最便宜的Windows Server版本要6000塊左右，而SQL Server更是達(dá)到了可怕的15萬之巨。這樣算來，一套NAC軟件的TCO就已達(dá)到了二三十萬了，遠(yuǎn)不是僅僅該軟件本身所體現(xiàn)出來的那十幾萬元。

2，部署實(shí)施復(fù)雜度。裝這個(gè)軟件跟裝一般的軟件區(qū)別不大，面對(duì)一個(gè)空服務(wù)器，你少不了安裝操作系統(tǒng)、數(shù)據(jù)庫和調(diào)試的時(shí)間，不要小看這些時(shí)間，基本上2個(gè)小時(shí)是少不了的，前提還是不要出什么問題，例如驅(qū)動(dòng)問題之類的。然后才是裝NAC管理軟件，這樣算來，基本上一天時(shí)間還是要的。

3，維護(hù)復(fù)雜。對(duì)于NAC軟件系統(tǒng)的維護(hù)，由于其構(gòu)建在服務(wù)器、操作系統(tǒng)和數(shù)據(jù)庫之上，因此也變得繁復(fù)了很多，大部分問題都不是軟件本身的，而是由操作系統(tǒng)或者數(shù)據(jù)庫配置不當(dāng)，或者漏洞之類導(dǎo)致的，所以維護(hù)變成了一個(gè)龐大的工程。

4，安全堪憂。說起來NAC本身是做安全的，但NAC軟件本身的安全又怎么負(fù)責(zé)呢，一個(gè)開放的服務(wù)器，如果有多名管理員的話，那風(fēng)險(xiǎn)就太大了，隨便誰對(duì)服務(wù)器做了什么不當(dāng)?shù)呐渲?#xff0c;都會(huì)導(dǎo)致NAC服務(wù)器的宕機(jī)，其后果就是全部無法上網(wǎng)，影響巨大啊。

上述四條，其實(shí)也是很多用戶畏懼NAC，不敢上NAC的原因，也是NAC在中國(guó)叫好不叫座的一個(gè)重要因素。

其實(shí)，想要解決上述問題，沒有想象那么難，思路很簡(jiǎn)單——硬件化，而硬件化的過程也很簡(jiǎn)單：

1，將NAC軟件切換到開源數(shù)據(jù)庫和操作系統(tǒng)

2，將全套軟件連同操作系統(tǒng)和數(shù)據(jù)庫灌入工控機(jī)/服務(wù)器中，打包交付給客戶

經(jīng)過以上兩步，NAC軟件瞬間完成了硬件化，上述四個(gè)問題得到了有效的解決，部署速度大幅提升，難度大幅下降，TCO大幅降低。

當(dāng)然，硬件化的產(chǎn)品也有其局限性，那就是性能局限，所以一個(gè)硬件平臺(tái)，只能適用于一定數(shù)量的用戶范圍，當(dāng)然，基于802.1X協(xié)議的認(rèn)證體系，其本身對(duì)于服務(wù)器的壓力還是很小的，所以現(xiàn)在主流的平臺(tái)，帶機(jī)數(shù)都能達(dá)到上千的水準(zhǔn)。

以上就是NAC硬件化的思路，歡迎大家討論

總結(jié)

以上是生活随笔為你收集整理的安全也要“易”，谈NAC的硬件化的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。