网络准入系统怎么跳过

网络接入控制（NAC）策略：保障企业网络安全的关键

随着信息技术的飞速发展，网络安全问题日益凸显。为此，思科发起了一项名为NAC的计划，得到多家厂商的支持。NAC的主要宗旨在于防止病毒、蠕虫等新型技术对企业网络构成威胁。通过NAC，企业只允许合法的、可信赖的终端设备（如PC、服务器、PDA）接入网络，从而大大提高了网络的安全性。

尽管多年来安全技术不断进步，耗资巨大，但病毒、蠕虫等恶意软件仍然是机构面临的主要挑战。据2005年CSI/FBI安全报告显示，这些恶意软件导致的安全频发，给机构带来了巨大的经济损失，包括系统瘫痪、数据损坏以及生产率下降等问题。

显然，传统的安全解决方案已无法应对这些挑战。开发出了全面的安全解决方案，将领先的防病毒、安全和管理解决方案相结合，确保网络环境中所有设备都符合安全策略。NAC允许企业分析和控制所有试图接入网络的设备，确保这些设备都符合企业的安全策略，如运行最新的安全保护措施。

虽然大多数机构采用身份管理、验证、授权和记帐（AAA）机制来验证用户身份并分配网络访问权限，但这些机制对验证用户终端设备的安全状况几乎无效。如果不准确评估设备状况，即使是最值得信赖的用户也可能无意间通过受感染的设备将网络在巨大风险之中。

NAC具有以下主要优点：

1. 通过确保所有用户网络设备都符合安全策略，提高网络的安全性，不受规模和复杂性的影响。机构可以积极抵御各种恶意软件的攻击，将注意力放在主动防御上。

2. 通过著名制造商的广泛部署与集成，扩展现有网络及防病毒、安全性和管理软件的价值。

3. 检测并控制所有试图接入网络的设备，无论其访问方式如何，提高企业网络的持久性和可扩展性。

4. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。

5. 降低识别、修复不符合策略和受感染系统的运营成本。

关于NAC的具体实现方式，常见的有五种准入控制：

1. 802.1x准入控制：优点是在支持802.1x协议的交换机上真正实现网络边界的保护；缺点是不兼容老旧交换机，且对终端的接入控制有限。

2. DHCP准入控制：优点是与老旧交换机兼容；缺点是对终端的控制力度不如802.1x强。

3. 网关型准入控制：这种控制更多关注终端出外网的行为，容易造成出口瓶颈效应。

4. MVG准入控制：支持市场上几乎所有交换机设备，但前提是需要相关技术支持。

5. ARP型准入控制：通过ARP欺骗实现，但这种方法容易造成网络堵塞，且在终端安装ARP防火墙后效果减弱。