8. 针对不同级别用户的服务质量User-Based QoS ACL

    对于园区网众多接入的用户，速率限制是实现多种服务级别灵活部署业务应用的必要手段，也是保障网络资源安全得以安全稳定访问的重要工具，而基于用户(组)的QoS ACL则通过结合QoS和ACL的优势控制输入和输出流量的速率，以确保每每个用户(组)或者应用不会超过所分配的最大传输速率，或者独占网络带宽。这种控制非常适用于园区以太网络，特别是目前千兆到桌面的日益普及，针对用户提供不同级别的服务质量，也是网络自身安全中网络级别保护的重要方式。

9. 网络准入控制NAC

    思科网络准入控制（Cisco Network Admission Control -- NAC）方案可利用网络基础设施来防止病毒和蠕虫危害网络。

    使用Cisco NAC，各公司可完全依据已出台的安全策略来控制PC、PDA及服务器等端点设备对网络的访问。 Cisco NAC拒绝不符合要求的设备访问网络，将其放置在隔离区或限制其对计算资源的访问。

    Cisco NAC是多阶段的思科?自防御网络计划 (Cisco Self-Defending Network – 简称Cisco SDN) 的第二步，该计划旨在识别、防止并适应安全威胁。

    病毒和蠕虫继续大行其道，导致系统中断、工作效率降低、以及不断的修复工作。新型攻击的自传播本质使其威胁范围和破坏程度空前严重。现有的防病毒解决方案只依赖于识别攻击签名，已经无法检测和牵制“初始”病毒及其发动的拒绝服务攻击（DoS）。

    不符合企业安全策略要求的服务器和台式机比比皆是，且难以检测、牵制和清除。查找并隔离这些系统是费时费力的工作，情况往往是今天从企业网络中拆除，明天又被安装上去。而当前网络化环境的复杂性又加剧了解决问题的难度，包括：

• 网络最终用户类型繁多—员工、供应商及承包商等
• 网络端点系统种类繁多—公司桌面系统、家用设备和服务器等
• 网络访问种类繁多—有线、无线、虚拟专网（VPN）和拨号等

    Cisco NAC可防止新病毒入侵网络，解决环境的复杂性问题，同时提供超越“点安全技术”(point security)的优势。“点安全技术”只关注主机，而不是考虑网络的全局可用性和企业的整体弹性，即系统的持续可用性。

    从病毒和蠕虫造成的损害中可以看出，现有的安全解决方案不足以应对病毒和蠕虫的威胁。Cisco NAC是最新的全面解决方案，允许各机构实施主机补丁策略，将不符合安全策略要求及可疑的系统放置到隔离环境中，限制或禁止其访问网络。通过将端点安全状态信息与网络准入控制的执行标准结合在一起，Cisco NAC使各机构能够大幅度提高其计算基础设施的安全性。

    Cisco NAC允许符合安全要求的可信端点设备(trusted endpoint devices)访问网络（如PC、服务器及PDA等），同时限制不符合安全策略要求的设备访问网络。访问决策可根据端点的防病毒状态及操作系统的补丁级别做出。

    Cisco NAC是普遍存在的灵活的解决方案，可为所有连接的计算系统提供保护。Cisco NAC支持主机使用的所有联网方法，包括园区交换、有线和无线、路由器的广域网(WAN)和局域网(LAN)链路、IP安全（IPSec）连接、远程访问及拨号连接等。

    Cisco NAC部署实例包括：

• 确保分支办公室遵守安全访问要求—Cisco NAC可确保位于远端或家庭办公室中、试图访问企业集中资源的主机遵守安全访问要求，无论是通过专用WAN访问还是通过互联网上的安全通道访问。这项工作包括在思科分支和总部办公室路由器中检查策略的遵守情况。
• 远程访问安全性—Cisco NAC可确保远程和移动工作人员的桌面系统通过拨号、IPSec及其他VPN连接方式访问公司资源之前，安装最新的防病毒和操作系统补丁。
• 无线园区保护—Cisco NAC可检查联网主机（通过无线方式），以确保主机已安装了适当的补丁程序。802.1x协议与设备和用户验证一起使用，以进行此类验证。
• 园区访问和数据中心保护—Cisco NAC可监视办公室中的桌面系统和服务器，确保这些设备符合企业防病毒和操作系统补丁策略要求，之后才允许它们访问LAN。这种做法通过将准入控制扩展到第2层交换机而降低了病毒及蠕虫在企业扩散的风险。
• 外联网策略遵守情况检查—Cisco NAC可用来检查所有试图访问网络的系统对策略的遵守情况，而不只局限于IT管理的系统。它将对受管理和不受管理的主机（包括承包商和合作伙伴的系统 ）进行检查，确定它们是否符合防病毒和操作系统策略的要求。如果被检查的主机未安装思科可信代理(CTA)，则执行缺省的访问策略。