安全也要“易”，谈NAC的硬件化

 说到NAC网络访问控制，浮现在我们脑海中的应该就是软件+硬件的构成方式，即用软件作为核心的策略决策点，硬件作为策略执行点，这也是标准的NAC构成方式，纵观业界的主流产品，无论Cisco的C-NAC、Juniper的UAC，还是国内的锐捷GSN、H3C的EAD等等，均是如此架构。

提到这种架构，让人最为头大的莫过于部署，这里的部署，不是指整套解决方案的部署，而是对于核心软件系统的部署，其难点来自于几个方面：

1，TCO即总体拥有成本。凡NAC类产品，其技术含量较高，价格当然也不菲，但对于一个用户来说，该软件的价格还不只是拥有它的TCO，既然是软件架构，那么一定需要一台服务器喽，动辄几万块的预算，不是小数目。有了服务器还不行，还要操作系统和数据库，目前很多NAC软件都是基于Windows Server和SQL Server的，这两个东西也不便宜，微软零售价最便宜的Windows Server版本要6000块左右，而SQL Server更是达到了可怕的15万之巨。这样算来，一套NAC软件的TCO就已达到了二三十万了，远不是仅仅该软件本身所体现出来的那十几万元。

2，部署实施复杂度。装这个软件跟装一般的软件区别不大，面对一个空服务器，你少不了安装操作系统、数据库和调试的时间，不要小看这些时间，基本上2个小时是少不了的，前提还是不要出什么问题，例如驱动问题之类的。然后才是装NAC管理软件，这样算来，基本上一天时间还是要的。

3，维护复杂。对于NAC软件系统的维护，由于其构建在服务器、操作系统和数据库之上，因此也变得繁复了很多，大部分问题都不是软件本身的，而是由操作系统或者数据库配置不当，或者漏洞之类导致的，所以维护变成了一个庞大的工程。

4，安全堪忧。说起来NAC本身是做安全的，但NAC软件本身的安全又怎么负责呢，一个开放的服务器，如果有多名管理员的话，那风险就太大了，随便谁对服务器做了什么不当的配置，都会导致NAC服务器的宕机，其后果就是全部无法上网，影响巨大啊。

上述四条，其实也是很多用户畏惧NAC，不敢上NAC的原因，也是NAC在中国叫好不叫座的一个重要因素。

其实，想要解决上述问题，没有想象那么难，思路很简单——硬件化，而硬件化的过程也很简单：

1，将NAC软件切换到开源数据库和操作系统

2，将全套软件连同操作系统和数据库灌入工控机/服务器中，打包交付给客户

经过以上两步，NAC软件瞬间完成了硬件化，上述四个问题得到了有效的解决，部署速度大幅提升，难度大幅下降，TCO大幅降低。

当然，硬件化的产品也有其局限性，那就是性能局限，所以一个硬件平台，只能适用于一定数量的用户范围，当然，基于802.1X协议的认证体系，其本身对于服务器的压力还是很小的，所以现在主流的平台，带机数都能达到上千的水准。

以上就是NAC硬件化的思路，欢迎大家讨论