pré-admissão e pós-admissão
Existem dois projectos prevalecentes na ESAN, com base no facto de as Políticas serem aplicadas antes ou depois de as estações finais terem acesso à rede. No primeiro caso, chamado pré-admissão NAC, as estações finais são inspecionadas antes de serem permitidas na rede. Um caso típico de uso de pré-admissão NAC seria evitar que os clientes com assinaturas anti-vírus fora da data de falar com servidores sensíveis., Em alternativa, poste-a admissão do NAC, que torna a aplicação de decisões com base nas ações do usuário, depois que os usuários forem fornecidos com acesso à rede
Agente versus agentlessEdit
A idéia fundamental por trás do NAC, que é para permitir que a rede para fazer decisões de controle de acesso baseado em inteligência sobre sistemas finais, portanto, a forma em que a rede é informado sobre o fim-systems é uma chave de decisão de projeto., Uma diferença fundamental entre os sistemas NAC é se eles exigem software agente para relatar características do sistema final, ou se eles usam técnicas de digitalização e inventário de rede para discernir essas características remotamente.
Como a NAC amadureceu, desenvolvedores de software como a Microsoft adotaram a abordagem, fornecendo seu agente de proteção de acesso à rede (NAP) como parte de seus lançamentos Windows 7, Vista e XP. Existem também agentes compatíveis com o NAP Para Linux e Mac OS X que fornecem a mesma inteligência para esses sistemas operacionais.,
Out-of-band versus inlineEdit
em alguns sistemas Out-of-band, os agentes são distribuídos em estações finais e relatam informações para uma consola central, que por sua vez pode controlar switches para executar a Política. Em contraste, as soluções inline podem ser soluções de caixa única que atuam como firewalls internos para redes de camada de acesso e fazer cumprir a Política., As soluções fora de banda têm a vantagem de reutilizar a infra-estrutura existente; os produtos em linha podem ser mais fáceis de implantar em novas redes, e podem fornecer capacidades mais avançadas de aplicação da rede, porque eles estão diretamente no controle de pacotes individuais no fio. No entanto, existem produtos que não têm Agent, e têm tanto as vantagens inerentes de uma implantação fora de banda mais fácil e menos arriscada, mas utilizam técnicas para proporcionar eficácia inline para dispositivos não conformes, onde a aplicação é necessária.,
de Remediação, de quarentena e de cativeiro portalsEdit
operadores de Rede a implantar NAC produtos com a expectativa de que alguns clientes legítimos será negado o acesso à rede (se os usuários nunca tinha out-of-date níveis de patch, NAC seria desnecessário). Por isso, as soluções da ESAN requerem um mecanismo para resolver os problemas do usuário final que lhes negam o acesso.,duas estratégias comuns para remediação são as redes de quarentena e os portais cativos: quarentena uma rede de quarentena é uma rede IP restrita que fornece aos utilizadores acesso roteado apenas a certos anfitriões e aplicações. A quarentena é muitas vezes implementada em termos de atribuição de VLAN; quando um produto NAC determina que um utilizador final está desactualizado, a sua porta de comutação é atribuída a uma VLAN que é encaminhada apenas para os servidores de patch e update, não para o resto da rede., Outras soluções utilizam técnicas de gestão de endereços (tais como protocolo de resolução de endereços (Arp) ou protocolo de descoberta de vizinhos (NDP)) para quarentena, evitando a sobrecarga da Gestão de vãs de quarentena. Portais cativos um portal cativo intercepta o acesso HTTP a páginas web, redirecionando os usuários para uma aplicação web que fornece instruções e ferramentas para atualizar seu computador. Até que seu computador passe por inspeção automatizada, nenhuma Utilização da rede além do portal cativo é permitida. Isto é semelhante à forma como o acesso wireless pago funciona nos pontos de acesso público., Portais cativos externos permitem às organizações descarregar controladores sem fio e interruptores de hospedagem de portais web. Um único portal externo hospedado por um aparelho da ESAN para autenticação sem fio e por fio elimina a necessidade de criar vários portais, e consolida processos de gerenciamento de políticas.
