经过几年的发展，网络访问控制(NAC)解决方案市场开始进入真正的复兴期。移动性，或者企业网络中员工自带设备的增加，将NAC解决方案需求提高到新的高度。

　　这些解决方案都具有许多不同的移动访问控制机制，其中包括身份验证、访问控制措施和终端安全。但是，一般情况下，由于供应商的强项与关注点不同，NAC解决方案也各有千秋。现在，NAC解决方案提供商可以分成几个类别，其中包括网络交换与路由提供商；提供独立NAC产品或在大产品中整合NAC技术的安全公司；以及只专注于这项技术的专业公司。

　　每一个供应商都有不同的最佳路由喜好，目的是保护网络不受未知和有害的攻击，同时仍然能够保持移动性。在本篇关于NAC供应商对比的文章中，本站详细分析了顶级提供商解决自带设备(BYOD)环境中NAC问题的方法。结果发现，供应商之间既存在一些显著的战略差别，也有一些相同点。

　　支持移动性的五大NAC解决方案

　　Aruba Networks在2011年11月收购了Avenda Systems，获得了该公司的eTIPS策略决策点(PDP)，这个产品可以阻止或限制设备的网络访问权限。eTIPS是一种感知身份的NAC解决方案，它使用RADIUS及其他协议，如SNMP、SSH或TACACS，让路由器与交换机进行设备访问控制。访问权限基于企业政策，它与设备的安全配置要求与用户角色有关。这个解决方案在一个集中界面上整合了验证与授权的管理、监控和报告功能。

　　eTIPS会挖掘来自不同数据存储的身份信息，其中包括Active Directory、LDAP和SQL。然后，eTIPS将信息（如位置、日期、时间和认证类型）与特征数据使用环境相结合。这个解决方案会使用无代理方法评估连接设备的安全状态，具有反病毒、反垃圾邮件、防火墙及其他保护措施。这项技术特别适合多供应商环境，它同时支持有线与无线设备供应商，包括思科、Enterasys和Juniper。eTIPS还支持许多托管和非托管设备，范围不局限于常规移动设备，还包括一些制造设备、医疗设备和摄像器材。根据最近收购的特点，eTIPS可能在未来会有技术整合。这项技术很适合作为Aruba无线设备产品的补充。

　　思科的基于代理的身份服务引擎(ISE)有两个版本：基础版本提供基于802.1x的验证与执行；高级版本能够检查设备的合规性，包括补丁、反病毒及其他企业安全配置需求。思科ISE根据分配的用户角色、分组、工作位置与验证结果进行流量转发。

　　基于Radius的设备同时支持思科与非思科设备，它可将流量限制在有限的访问访客区，这很适合在BYOD环境中使用。思科ISE解决方案是基于订阅的定价模式，与更传统的CapEx模式相比，这种模式实际上就长期而言并不便宜。

　　ForeScout Technologies的 CounterACT平台组合了NAC与威胁防护及终端防护，为大型企业提供了一种多面解决方案，支持多种设备集。这家专业安全供应商使用单独一种设备和无代理方法减少部署时间，并且支持更多的终端。此外，这个云安全厂商还瞄准BYOD领域，增加了一些特性，如游客网络，它允许设备和其他非托管终端访问部分资源。CounterACT可以通过多种方法控制访问，直到修复完成。这些方法包括使端口无效、VLAN控制、VPN中断、网络设备中的接入控制清单 (ACL)模块、无线允许/拒绝和隔离。

　　虽然ForeScout是一个相对较小的公司，但是这个供应商已经成功地拥有一些客户。它的无代理解决方案最受那些业务动态变化频繁的大型公司的欢迎。这些公司都希望尽快地部署NAC解决方案。

　　Juniper的无代理NAC解决方案包括几个网关设备，它们分别针对合规性和扩展性要求非常严格的中型、大型和政府客户。Juniper产品的品牌名称为统一访问控制(UAC)，它们能够验证访客用户身份，根据用户角色与设备安全配置的企业策略，在有线与无线网络之间进行流量转发。UAC设备通过2层桥接方式连接企业网络，能够为终端设备分配企业IP地址。它的Junos Apple iOS客户端支持各种苹果设备，如iPad和iPhone。由于UAC设备是基于标准的，所以它们很适合在混合网络环境中使用。此外，UAC设备极具扩展性，一台设备就能够管理多达200名用户。

　　McAfee有独立的NAC产品，它的终端保护套件中也有NAC支持，这个套件还包括合规性审查和终端安全性功能。此外，McAfee NAC产品还能够通过特定的软件与 McAfee的IPS设备进行整合。从而，这些产品可根据企业安全政策使用IPS控制设备的进出访问。McAfee解决方案还有一个安全访客访问入口，它处理非托管设备，这个入口会验证设备的安全状态，以此决定是否允许转发到所请求的资源，或者将它隔离，直至设备配置完成更新。