端口安全涉及網絡訪問控制(NAC)，對此，它的優點是什么?我很驚訝地看到有人認為這是有爭議的問題，那么，這到底是否是有價值的企業網絡安全策略呢?

Kevin Beaver：網絡端口安全對不同的人有不同的意義，我喜歡從最高的水平來看待網絡端口安全—這恰好是漏洞利用最簡單的方法。我指的是建筑物或園區內外的熱點網絡端口，這些端口允許任何人通過DHCP或者知道分配IP地址來插入和連接到網絡。

在我的安全評估工作中我經常看到這種情況，這只需要有人(無論是“值得信賴”的內部人員或者物理入侵者)連接到他們不應該訪問的網絡，運行快速的漏洞掃描以及使用Metasploit等工具，就可以獲得對網絡中多個系統的完全遠程(以及無法檢測的)訪問，所有這些都不需要網絡登錄憑證。

如果網絡端口必須作為熱點(不管是什么原因)，你可以做很多事情來提高安全性，包括基本的訪問控制列表或圍繞802.1x身份驗證的更全面的技術，或者甚至是NAC系統。也許最簡單的解決辦法是將任何熱點未分配的端口放到不可路由的VLAN，直到授予特定訪問權限。

最后，你正在處理的這些事情會直接影響網絡復雜性。這里的爭議在于，通過引入網絡端口安全控制，你實際上會更加分心，而讓安全性變得更差。

網絡端口安全肯定是整體縱深防御戰略的一部分，但只有你知道什么最適合你的環境。