关于构建牢固的NAC安全策略的几个技巧

作为一名网管员，构建主机安全策略并不是一件轻松的事情。可以说，有大量的工作要做。不过，任何NAC(网络准入控制)部署的成功都依赖于一个坚实的主机安全策略（HSP）的质量和存在方式。这个主机安全策略对你的NAC来说应该是特定的，因此如果你已经有一套普通的主机安全策略，你就应该对它进行调整使其适应NAC。你的主机安全策略会作为一个指南，帮助你配置NAC策略，指导你处理NAC持续的动态维护。 为了让你公司独特的主机安全策略有一个良好的开端，我们这儿给出部署NAC安全策略的几条建议以使你：

1、不要将所有的UTM防火墙安置在一个机柜系统中

　　虽然你可以购买几乎无限功能的UTM防火墙，但那并不意味着你应该将所有的防火墙合并到一个单一的系统中。从逻辑上对防火墙功能进行分配是很重要的，因为构建一个全企业单一的、协调的策略是很难的。虽然防火墙供应商们在集中管理方面的步伐已经迈得很大了，没有什么产品能够轻易地在一个单一的策略中以不同的防火墙规则、网络地址转换规则和VPN通道等处理多个控制区域。向入侵检测/防御系统（IDS/IPS）或其它UTM特性和策略中添加规则将会更不易管理。UTM设备能够支持合并，不过你即使花费很长的时间也不能使其真正地融合。一定要确保你不会将设备过分地合并到一个不可管理的设备中。

2、仔细地检查性能

　　性能是UTM设备中最容易得到的对象。随着你在UTM防火墙中打开一个一个的特性，性能会严重地下降，或者并不会下降（虽然这种情况很少）。安全产品厂商并不会隐藏这些性能所带来的成本，不过你不会轻易地理解不同的UTM特性对系统性能的影响。一定要确信你确定地知道你的UTM配置的情况，并对它进行测试以确保性能与你的需要相匹配。一般来说，你每选中一个特性，速度就会下降75%到90%。要确保留有足够的余地。例如，IPS规则随着时间的推移会变得更加复杂，因此你的IPS会变得越来越慢。