利用网络访问管理(NAC)保障系统安全

日期: 2008-03-12 作者:杜莉 来源:TechTarget中国

  以前安全这个词就意味着坚固的锁,足够的围墙,防护栏以及一只脾气暴躁的德国黑贝。而到了计算机上,就完全不一样了,计算机安全需要防御所有病毒和恶意软件——包括防火墙,入侵防护系统(IPS)以及加密技术。


  而且好的安全方案中还会有另一项技术——网络访问管理(NAC)或者网络许可管理。这项技术主要就是为了确保人们在任何地方访问公司网络时使用的任何设备(称为终端,比如笔记本,PC,黑莓,手持设备等等)都不受威胁,并且不会感染整个网络。


  “NAC技术使得公司可以控制登陆他们网络的人的权限,”Nemertes研究公司的高级副总裁以及合伙人AndressM说。“它能够对已经被漫游用户、无线访问以及分段网络所侵蚀的周边安全策略提供补充。它还会阻止被感染的系统登陆到网络并传播病毒。”


  尽管很多卖家把NAC当作通用概念,实际上它的框架是来自思科系统的,是做为思科自动防御网络的愿景的一部分的。该框架包括网络交换机和路由器的特性,还有很多其他思科产品。NAC不是一项标准,但是它整合了很多现存的标准。


  另外,NAC的一些特定方面正在逐渐地标准化,比如客户机汇报自身情况给网络执行设备的交互点。但是,其他的围绕策略存储和执行的方面还远没有达成任何一致的标准。


  更进一步讲,NAC的定义已经超出了思科的框架,而成为了更通用的概念,它意味着“管理对网络的访问,并有选择地检查终端的状况”。更多的供应商都是使用这个定义的,而不是思科所提出的NAC方案。微软也有一个同类框架,叫做网络访问防护(NAP)。其他组织也正在提出与思科不同的NAC标准。


  “别管这些字母组合了,反正标准化的进程缓慢地进行了4年多,”Antonopoulos说。“NAC和NAP这些框架,它们在有些方面存在互用性,但是没有通用标准。”


  谁需要NAC?


  NAC显然不是每个小企业必须的功能之一。除了最精密的家庭办公室,所有小企业都会对它避之不及。类似地,对于那些没有采用很多防毒、防间谍软件以及防火墙措施的公司,NAC也不会解决它们所有的问题。还有那些还没有建立自己的、由至少1个交换机和一到两个路由器组成的内部局域网的公司,也很可能没有合适的设备来调整NAC——更不用说有什么直接需求了。


  “少于100人的公司会觉得这个功能实现起来成本太高了,主要是因为它太复杂并且公司缺少IT员工,而不是因为钱的原因,”Antonopoulos说。“随着技术的逐渐成熟,越来越多的小企业会使用它的。”


  ConSentry网络的高级产品市场总监Michelle McLean也认为,小企业可能不需要NAC。毕竟企业越小,它越能控制访问网络的人员。这种企业更容易识别内部人士和外部人士,并且也可以进行手动操作。


  “小型企业不会觉得单独设置一套NAC很有价值,除非它拥有上百人在同一个地方办公,”McLean说,“但是,小型企业还有个选择就是使用那种包含NAC的产品设备,比如安全交换机,这样它们就可以在给交换机升级的同时将NAC引入企业网络。”


  然而,思科并不同意这个观点,它声称目标用户是很广泛的。


  “任何依靠内部网络来进行基本操作——生成订单、跟踪记录、存储文件或者进行商业流程——的公司都能、也应当考虑使用NAC,”思科的产品市场经理Irene Sandler说。“我们现在有少于100个雇员,但却有数千的客户。”


  选择产品


  企业可以选择的NAC产品种类很多。例如,ConSentry LANShield控制器是一种自足的、独立的NAC装置,对当前网络不会造成影响。而对中小企业来说,CS1000模式性价比最高并且支持800以上的用户。LANShield平台支持授权以及状态检查功能、查看整个网络的所有用户和应用,按照身份来限制用户在局域网上的权限,还有匿名检测和限制。LANShield控制器起步价为17995万美元。另外,中小企业把线机柜升级成交换机时也可能尝试选择LANShield交换机。它具有LANShield控制器相同功能,但是却是48口的千兆以太网交换机。它的价格是12995美元。


  赛门铁克公司提供赛门铁克终端防护服务,它将杀毒、防间谍软件以及“配置NAC”终端软件三项功能结合到一起,目前该服务的Beta测试程序可以免费下载。但是,需要注意的是,该产品需要用赛门铁壳网络访问控制来集中控制终端,并在那些终端实现NAC策略。赛门铁克计划发布NAC产品的入门级版本。同时,赛门铁克当前NAC产品的价格是每位员工40美元。


  “可以在进行赛门铁克终端保护的中央控制台上应用这些策略,不需要配置任何额外的代理,”赛门铁克的高级产品经理Patrick Wheeler说。“不需任何复杂的网络级组件,不需改变网络体系,并且不需添加额外的代理或者策略服务器——用户只要使用现有的赛门铁克终端保护配置功能就行了。”


  跟Consentry类似,Cisco的NAC器械,带有一个服务器和一个管理器。解决方案是按服务器收费,而不是根据终端数量来算的,这是因为人们一般无法确切知道网络中一共有多少的终端。因此,Cisco根据任何给定时间预计的在线的用户数量来服务器license的价格。无论规模如何,你都只需一个管理器就行了。最低的同时在线数量是100,相应的费用是差不多18000美元。


  另外NAC领域其他供应商还有Vernier Network和Foundry Networks Inc。


  直接体验


  加州Sunnyvale的Omneon Video Networks公司拥有250名员工,它使用ConSentry的网络LANShield控制器来控制客人登录到网络中的操作。


  Omneon是家提供流媒体服务器以及优化工作流程和数字媒体的无线可靠性服务的公司。“经常会有客人希望在会议室上网”,该公司的IT总监Steve Berg说。“我们迫切需要有台单独的设备负责管理客人的联网服务。”


  例如,Omneon的合作伙伴们经常会现场用Omneon的硬件测试他们的软件产品。类似地,各分销商以及用户们也会经常拜访他们总部。但是,一旦这些人中的任何人连到网络中,那么就会造成一定的数据风险,并且有可能使恶意软件威胁到网络。但是如果拒绝让他们登入网络,那显然不是做生意之道。使用ConSentry的话,我们就可以控制他们的访问,监视他们的网络传输,隔离那些引入特定威胁的机器,设定策略并维护网络安全。


  加州另一家公司,Novato则在硬盘抢救数据恢复方面应用了更小规模的配置。该公司的80名员工协助从毁坏严重的硬盘中抢救重要数据。为了更好地管理本地和远程的终端,更好地保护关键应用程序,该公司安装了思科的NAC装置。


  安装提示


  Antonopoulos认为,由于涉及的方面众多,是否配置NAC仍是一个有争议的话题。他建议人们选择那种很适合当前设备并且符合未来规划的方案。而且如果你比较倾向的方案太贵,你可以等到有更好的标准出现、等市场成熟以及价格回落后再买。


  为了减轻安装负担,McLean建议中小企业选择那种使用现有用户登录及身份库,而且不需要改变网络或者客户端的架构。换句话说,该设备可以在现有的LAN架构中使用,不需要向每个客户端工作站中安装新的软件。


  她还认为,各类组织应当逐步地实现NAC。例如,一个开始的好方法就是选用一种快捷的设备,也就是那种可以直接覆盖完成配置,而不需要更改网络布局的设备。


  “不依赖客户端或者交换机的自足型NAC方案是最易配置的,能够最快实现价值的选择,”McLean说。“Vista操作系统能够支持一些NAC,因此在你要升级成Vista操作系统的时候,一定要弄清楚Vista是否支持你正考虑用的NAC。对于不使用Windows的组织,那你也得确保Linux和Mac平台支持你选择的方案。”


  Wheeler‘s的建议是,人们应当把NAC与现有的终端安全系统结合起来,这样才是最方便最好的选择。


  “人们一致认为NAC策略正在融入它的逻辑层面——终端策略中去。”Wheeler说。“因此,你应当选择与你的终端防护方案相匹配的NAC方案。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

杜莉
杜莉

相关推荐