如今数据被盗肆虐，蠕虫和病毒横行，为了适应网络安全，选择网络访问控制（NAC)技术构建网络成为必然。然而，网络访问控制并不简单，它含义深奥并包含一整套的方法。

对网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系，顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子，这些餐馆提供最简单的增值服务——上网。然而对其他环境如医院，这样的协议就过于简单了。

要为你的网络选择正确的网络访问控制类型，要知道两个前提条件。第一，要清楚网络访问控制所提供的服务，怎样提供这些服务，以及如何把这些服务纳入网络。第二点就是要有明确的、可执行的安全访问策略。网络访问控制不是创造策略，而是执行策略。没有这两点，公司网络安全问题仍旧会被认为仅仅是IT部门的职责（而这永远不是一件好事）。

对接入是开还是关？

在网络访问授权之前的有限接入，通常被称做“锁住状态”。它并不是说所有的关口都被阻止了，例如它允许你下载新的杀毒软件以升级。所以，在计划引进网络访问控制设置前，要理解并匹配准入的锁机方法。

早期的共享网络采用人为的方法，通过接入的路线和关口来限制共享，其中包括起始和终端IP地址、TCP协议、用户数据端口、IP端口以及MAC地址等。从网络建设的角度说，这需要一整套执行方法，网络访问控制方法将会自动完成一系列准入程序。另一种方法则是以分配实际LAN/VLAN来分离整个网络中被锁定的电脑，相对简单的就是用DHCP（即动态主机配置协议）来分配。这种方法不仅可以限制性设置机器到3 VLAN中，还能设置其他客户的信息如DNS。例如，所有网页都可以通过网络服务器的一个“接受”按钮全部放行。

在一些更为高级的开关设置中，网络访问控制系统可以同那些开关一起动态控制VLAN。默认条件下，所有受网络访问控制的网站端口都自动锁住，存在有限的接入权限。只有当系统检测到机器符合网络访问控制要求的时候，才会传输指令给这些端口解除锁定。网络访问控制设备安装在一个开关点（类似SPAN端口），向ARP传输信号要求通过网关。网络访问控制把MAC地址注入用户的ARP注册表作为网关，因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数，就会被允许通过正确的网关。

每种方法的保护都不一样。在DHCP方法中，明智的用户都会被分配一个有效的静态IP地址，也顺带通过VLAN验证。如果知道网关的正确MAC地址，就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。不过，大部分网络访问控制系统都有针对这些行为的专门措施。

接入网络的间隔距离也应该重点考虑。与端口控制的网络访问控制方法不同，在线网络访问控制对公司广域网线路和网络严格控制，但是相同方向通关则不受限制。简单说，如果A和B都在网络访问控制网关的同侧，它们就可以互相进入。

评估终端的安全

验证用户ID是网络访问控制系统中很严格的步骤。最简单的例子，就像在咖啡馆无线上网，只当用户遵守相关协时，才能被授权上网。

在一个简单的验证环境下，网络访问控制质询RADIUS服务器决定用户是否有权进入公司内部网和无线网。如果用户密码正确，那么就可以完全通关，反之默认状态下仅仅开放普通端口（如http、https等等，根据内部网安全政策认可。）对那些复杂的验证环境，如高级经理进入ERP系统，网站管理员进入服务器，保险调解员进入数据库，会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。