[图片说明] NAC不仅是道门	· NAC不仅是道门 · Computex Taipei 2008创新设计 · 每周一课：销售回款有术 · 2008年5月国内笔记本市场研究报

如果方案商希望从以产品为导向转向以应用为导向，NAC是一个不错的切入点

【电脑商网专稿】一家帐篷生产工厂在多大程度上依赖网络？如果在五年前，甚至三年前，可能有些人认为这个问题有些可笑，但随着企业信息化的提高，ERP等应用系统的逐步上马，普通企业的业务流程对网络依赖程度越来越高。在这种背景下，企业不如考虑上一套NAC（网络接入控制）系统。

NAC一词由网络厂商率先提出，其核心思想是从终端着手，通过管理员指定的安全策略，对接入企业局域网的终端进行安全性检测，自动拒绝不安全的主机接入。通俗地解释，如果你的笔记本电脑无法在另一家企业登录网络，你千万不要觉得奇怪，很可能是这家企业已经应用了NAC解决方案。如今，NAC已不是某一厂商的专利，其概念被大多数IT企业接受。

流派纷呈

虽然NAC涵盖的内容基本相同，但不同厂商对NAC有着不同的称谓，思科、惠普ProCurve称之为NAC；Juniper称之为UAC、微软称之为NAP。为什么对同一种产品却有如此多的名称，这正反映出NAC市场流派纷呈，厂商为实现NAC采用了不同的技术手段。

不同的厂商站在其业务出发点和不同的立场上，对NAC有着不同的理解。以微软为代表的厂商以保护操作系统的安全性出发设计了NAC产品；以思科、Juniper为代表的网络厂商设计产品的立足点是保护网络设备；而安全厂商将NAC视为一种安全的手段，强调产品侦测能力上的先进性以及与防火墙的联动性。

Juniper中国区系统工程师梁小东表示，Juniper的解决方案强调多厂商之间的合作，网络接入控制最大的瓶颈在防病毒，Juniper充分考虑了与防病毒厂商的兼容性，产品不但能兼容国际品牌产品，而且能兼容国内一线甚至二线厂商的产品。同时，2007年5月，微软和Juniper宣布Juniper UAC解决方案和微软NAP架构可互操作。只要微软推出新操作系统补丁，Juniper的UAC就会及时更新数据库，同时及时提示用户。

惠普ProCurve网络业务部技术总监储斌认为，相对而言，三种NAC技术流派都有其优势和劣势。安全厂商推出的NAC往往突出各类算法，但这只解决了单点的接入控制，如果黑客从其他端点进入或伪装成其他身份进入，这种设计思路就有局限性。微软将NAC内置到操作系统中，但如果网络硬件设备不配合（如用户接入层采用傻瓜交换机），操作系统再强大也达不到预期的效果，这种方式抵御不了针对交换机进行的蠕虫攻击。同样道理，部分网络厂商的NAC解决方案仅基于端口，而大部分企业的网络基础架构还不能统一进行管理，黑客很容易从中找到漏洞。

在储斌看来，NAC并不可能设计成路由器、交换机的一部分，在操作系统中也不能100%地实现其功能。NAC应该是安全设备与网络基础架构之间的衔接点。真正成熟的、商用的NAC必须是以身份认证驱动，实现网络基础架构、安全特性、操作系统三位一体。

好的NAC贴近应用

基于上面的采访，传达出一个核心的观点：一个出色的NAC解决方案并不一定取决于技术的先进性，其关键在于是否贴近客户应用。狭义地解释，NAC是道门，控制访问者的进出，但NAC又不仅是道门，NAC必须要与后台的资源授权系统紧密衔接。也就是说，在访问者获准进入企业网络之后，不是想去哪就去哪。可以形象地进行比喻，虽然在机场通过安检，但普通乘客不能进入VIP候机室。

要实现NAC与资源授权系统紧密衔接确实不是中小集成商能力所及，集成商必须具有软件整合能力。储斌说：“销售惠普ProCurve的NAC解决方案必须首先通过认证，如果NAC对所有渠道放开，可能由于实施、服务不到位，使用户对该产品失去信心，降低用户的满意度。如果进行比喻，专家级医师在望闻问切后并不急于开药，而是告诉病人的现在和今后会出现哪些症状，在得到病人验证后才对症下药。销售NAC的必须是专家级医师，通过简单的观察就能诊断出网络与业务之间的空隙，而赤脚医生型的渠道商只能销售简单产品。”

现在看来，销售NAC较多的是偏软件的安全渠道。储斌认为这是基于两个原因：一是用户有一种不太正确的认识，终端安全就是安装软件，用户对NAC直接体验也是软件层面的变化，因此用户也习惯向软件渠道购买NAC产品；二是传统上软件渠道技术能力较强，安全理念较先进。但从长远看，NAC一定是软硬结合的产品，更适于方案商销售。

NAC促进渠道转型

正是因为NAC贴近用户应用，其给集成商带来新的发展机遇。从某种意义上说，销售NAC解决方案不应是集成商与用户的第一次合作，只有之前销售过网络产品或安全产品，对客户的应用和具体环境有了一定的了解，销售NAC才能更为顺畅。

同时需要说明的是，NAC的销售模式与传统网络产品销售模式有所不同。通常网络集成商大多面向用户的网络管理员，而销售NAC解决方案则要面向企业业务主管。可以想象，面向业务主管一再强调产品的性能指标，技术的先进性很可能会马上被拒之门外，只有突出NAC能为企业业务带来改进、提升工作效率才可能引起用户的关注。

目前，采取与NAC同样销售模式的还有几类产品，如统一通信、上网行为管理。这些产品在销售上的共同点是销售对象是企业业务主管而不是网络管理人员。但相比而言，统一通信是“远景目标”，涵盖范围更广，集成商的操作实施难度也更高。

而NAC与上网行为管理有因果关系，可以说，NAC是实施上网行为管理的前提和必要条件，要想实施上网行为管理，必须先上NAC。因为上网行为管理是基于身份认证进行管理，而成熟、商用的NAC的核心是建立了完善的身份认证体系。

因此，如果集成商希望从产品为导向转向应用为导向，NAC比统一通信、上网行为管理更适合作为切入点。