图3显示网络清单或者设备分类解决方案是如何适应典型的NAC部署的。如图3所显示，在大多数NAC解决方案中的策略服务器足够处理大多数管理的设备。这些设备一般都可以运行某种形式的NAC软件，同时NAC系统能够正确地扫描和认证它们，如802.1X。这个范畴的设备一般包括：

•运行各种操作系统的台式和笔记本电脑

•智能手机

•PDA

•激活802.1X的VoIP电话

图3：一个带有NAC的清单和设备分类示例

当你的组织需要处理还没有整合NAC解决方案的设备时，就可以使用网络清单解决方案。根据不同的组织类型，这些设备甚至比你的网络中的管理多得多。这些设备类型包括较老的和低端的设备

•VoIP电话和PDA

•打印机

•扫描仪

•安全摄影机

•视频会议设备

•HVAC系统

•医疗设备

详细目录系统绝对必须能够确定一个真正的未管理设备和一个看似为未管理设备的已管理设备之间的不同。比如，如果用户知道NAC授权打印机访问网络，那么一个不择手段的用户可能尝试通过伪装为网络上的打印机绕过NAC策略。例如，该用户可能通过克隆一个已知的打印机MAC地址来伪装成为一个打印机。一个好的网络清单系统具备监控主机行为和将其分辨为笔记本电脑而非打印机的功能，这意味着只有用户具备正确的身份认证，设备才可以连接到网络上，这样就断绝了用户绕过NAC策略的风险或跳过重要的身份认证和设备分类的步骤。

在大型的公司网络中，很多激活IP的设备并不具备恰当的软件来激活全面的NAC身份认证。

记住！网络清单解决方案必须了解这些设备，并将它们归档以便确定它们实际的类型，并将它们报告给NAC解决方案，这样NAC才可以决定它们将在网络中获得哪种访问级别。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点