計算機安全局和美國聯邦調查局（ FBI）公布的2005年CSI/FBI安全報告顯示，盡管安全技術已經經過了很多年的發展，很多機構花費在病毒、蠕蟲、間諜件及其它壞件防御方面的資金已經高達數百萬美元，但安全問題仍然是當今各機構面臨的頭號問題。

網絡病毒和蠕蟲的智能性越來越高，現在已經能夠針對預防措施進行變異，因而使防御工作越來越困難。另一方面，網絡的性質總在改變，尤其是經常抵御病毒或蠕蟲的邊緣位置，總處在變化之中。

思科安全技術部首席技術官 Bob Gleichauf說：“防御的要害在于周邊，但周邊概念正在消失。企業已經不再擁有純粹的專用網絡，除軍事網絡之外，幾乎都處在半專用半共用之間。客戶就是邊緣，無論是藍牙電話、與網絡遠程相連的PC，還是Windows筆記本電腦，都在傳輸信息。邊緣的增加為攻擊者提供了很多可趁之機。

設備情況如何？

盡管多數機構都使用身份治理以及驗證、授權和計費（ AAA）執行用戶驗證和網絡授權，但幾乎都無法核實用戶終端設備的安全狀況。假如不能準確評估設備的“狀況”，即使是最值得信任的用戶也有可能在不經意之間將網上的其他人置于非常危險的境地，遭到未采取防病毒措施或已受到感染的設備的攻擊。

增強策略執行

基于 Cisco NAC框架和IBM TIVOLI的治理式網絡接入

Cisco NAC型設備 思科無線接入點 企業資源

802.1X 兼容設備

802.1X 兼容性檢查 網絡接入

思科交換機 Cisco Secure Access Control Server

UDP/互聯網

思科VPN集中器

不兼容設備 兼容性治理

修復，更新 拯救

Tivoli Security Compliance Manager Tivoli PRovisioning Manager 隔離VLAN

Tivoli Security Compliance Manager

準入決策由 Cisco Secure ACS制定，由Tivoli Security Compliance Manager治理。

思科安全技術部營銷主管 Russell Rice說：“當員工在機場熱點或本地咖啡館中上網時，很可能會在瀏覽互聯網的過程中無意下載病毒。另外，員工還有可能錯誤地關閉了筆記本電腦上安裝的防病毒軟件，然后將該筆記本電腦帶回企業。因此，企業需要采取有效的方式來檢查設備的安全狀況。”

兩年前，思科啟動了網絡準入控制（ NAC）計劃，開始解決這些問題。NAC包含很多技術和解決方案，目的是利用網絡基礎設施對希望訪問網絡計算資源的所有設備實施安全防護檢查。實施了NAC的客戶能夠只訪問符合要求、值得信任的端點設備（PC、服務器和PDA等），同時能夠控制對不符合要求或不可治理的設備的訪問。

一開始， NAC只能在思科路由器上使用，包括思科集成多業務路由器、模塊化接入路由器、多服務接入路由器、7200系列路由器和VPN集中器。因此，NAC能夠擴展到遠程分支機構或遠程設備訪問，但無法部署到企業LAN和無線接入點上。

Rice說，現在，由于思科的NAC2增加了Cisco Catalyst交換機和無線解決方案，因而使NAC能夠在最需要它的企業LAN上派上用場。

Rice說：“當思科首次推出NAC時，其主要目的是降低將病毒或蠕蟲帶入網絡的危險。目前，這仍然是NAC的主要目的，但技術上已經有了很大的發展。利用NAC2，企業能夠只答應適當的人員和設備接入企業網，加強對企業網接入和業務策略的審核，從而降低企業資源受到侵犯的風險。”

由 60多家合作伙伴組成的生態系統——NAC廠商計劃，現在已經包含了開發用于評估非治理式和無代理資源的解決方案的廠商。Altiris、Symantec和Qualys已經推出了相關產品，并開始與已經參與計劃的很多廠商合作，包括領先的防病毒、修復和客戶安全提供商，例如Altiris、BigFix、Computer Associates、IBM、McAfee和Trend Micro。

思科為 NAC提供了兩種方法：基于設備的方法和基于架框架的方法，后者也稱為NAC框架。

Cisco Clean Access是一種設備，能夠為快速NAC部署提供自含式端點評估、策略治理和拯救服務，包括從Microsoft和領先防病毒廠商下載補丁和更新件。部署Cisco Clean Access設備的客戶已經超過了350名，最終用戶數量已超過了250萬。在最大的部署中，Cisco Clean Access設備需要為63,000名用戶提供服務。亞利桑那州大學的發言人說：“部署Cisco Clean Access設備之后，網絡安全事件從每年6,000件銳減為50件。”

NAC框架解決方案是一種企業級方法，它將NAC型網絡設備、服務和中心策略治理與來自領先防病毒、安全和治理廠商的解決方案結合在一起，提供了精細的準入控制治理。迄今為止，這種解決方案是長期企業級部署的最佳方案。

NAC框架包含四個組件：

• 端點安全軟件，為了將 NAC框架擴展到端點，各公司需要安裝Cisco Trust Agent軟件，該軟件包含開放式應用編程接口（API），并支持防病毒、防間諜件或個人防火墻等端點上原有的安全軟件，以便與NAC交互。
• 網絡接入設備，用于實施準入控制策略，包括路由器、交換機、無線接入點和安全設備。這些設備要求用戶提供主機證書，然后將這些信息發送到策略服務器，由策略服務器作出最后的決策。
• 策略服務，用于評估網絡設備發來的端點安全信息，并作出相應的訪問策略。作為 AAA RADIUS服務器的思科安全訪問控制服務器（ACS）是策略服務器系統的基礎。
• 治理系統，思科治理解決方案將提供相應的思科 NAC設備以及監控和報告運作工具。思科安全監控分析和響應系統（CS-MARS）已經得到了增強，能夠像CiscoWorks安全信息治理器解決方案（CiscoWorks SIMS）那樣，為NAC系統提供集中幫助桌面和排障支持。

IBM Tivoli軟件是已經與思科NAC框架集成在一起的很多安全應用之一。第53頁的圖1表明，NAC能夠與IBM的Tivoli身份治理和修復系統配合使用。利用Tivoli Security Compliance Manager，企業能夠為接入網絡的設備制定相應的策略。該策略信息將發送至Cisco Secure ACS，由Cisco Secure ACS作出網絡準入決策。每個終端設備上都需要運行Cisco Trust Agent，狀態信息將利用三種不同的技術——無線、802.1X或互聯網用戶電文協議（UDP）發送至思科網絡設備、接入點、思科交換機和思科VPN集中器。兼容性檢查由Cisco ACS立即執行。假如設備符合要求，能夠直接接入企業網絡。假如不符合要求，Cisco ACS只能將其轉至隔離LAN。在這個受限VLAN上，Tivoli Security Compliance Manager將利用Tivoli Provisioning Manager為設備“補安全課”。“補課”結束之后，思科網絡才答應設備接入安全的生產環境。