你家路由器后台的“家长控制”开关,公司电脑连不上某个网站,手机连WiFi时被提示“该设备受限”,这些背后都是网络访问控制(NAC)在悄悄干活。
限制谁能连进来
比如你在路由器里设置“只允许已知MAC地址的设备接入”,新买的智能音箱没加白名单,就死活搜不到你的WiFi。这叫接入认证——不是谁都能进门,得先亮身份证(比如账号密码、数字证书,甚至指纹或人脸)。
管住能访问啥
孩子写作业时,你把游戏服务器IP段、短视频APP域名加进黑名单,他点开网页就显示“无法连接”。反过来,公司财务部只能访问ERP系统和内部邮箱,刷不了微博、下不了电影,这也是靠URL过滤和应用层策略实现的。
按身份分权限
同一家公司的销售和研发员工连同一个WiFi,销售能看客户资料库,但看不到源代码;研发能进Git服务器,却打不开报销系统。这种“不同人不同门禁卡”的逻辑,就是基于角色的访问控制(RBAC),常见于企业级Wi-Fi或802.1X认证环境。
动态调整访问权
员工用私人手机连公司内网,系统自动检测出没装杀毒软件、系统补丁太旧,立刻把它踢到隔离区——只能访问更新站点,打不了内网电话、上不了OA。等打完补丁、装好防护,才放行。这就是健康检查+动态授权,防的是“带病入网”。
还能记账和报警
你发现家里网速突然变慢,进路由器一看,某台设备24小时挂着BT下载;IT管理员收到告警:“192.168.5.22在非工作时间大量访问境外云盘”,顺藤摸瓜发现是员工私自传客户数据。这些行为日志、流量统计、异常触发告警,全靠访问控制系统在后台默默记录。
说白了,网络访问控制不是一道铁门,而是一套灵活的门禁+保安+登记本+巡逻队的组合——它不阻止上网,但让每一次连接都有据可查、有规可循、有人负责。