什么是网络准入控制(NAC)?

日期: 2007-12-20 来源:TechTarget中国

        几个行业分析机构对网络接入控制(NAC)技术进行了思考,每家都使用了不同的术语集和差异很小的网络准入控制定义。例如,Forrester使用“网络隔离(Network Quarantine )”,而Meta 用“端点访问控制(Endpoint Access Control )”。

        Gartnter 也为网络接入控制创建了一个参考设计,这个设计是一个回环的过程,维护一个全局的策略,来评估端点,减少安全问题,准许系统接入网络,实时监控系统和企业安全策略的一致性。

        因为Gartner 架构是最完备的设计之一,它所定义的过程以及如何使NAC工作起来的内容值得借鉴。Gartner 的NAC过程从安全策略的定义开始。策略勾勒了管理员希望强制的安全配置,这些配置会作为网络访问的前提条件。这些策略能够包括任何的系统或第三方软件配置,完全视企业的需要而定。

        对大多数企业来说,典型的策略是强制验证操作系统补丁是否更新,反病毒软件是否在运行及病毒库是否更新,端点防火墙软件是否在运行及被适当的配置。管理员也可能希望执行更多高级策略,检查定制安全软件或特殊安全配置是否存在。

        一旦策略创建完成,就有了在系统连入网络时可参照的安全基线。一个重要的考量是无论系统是如何接入网络的,该基线评估必须进行。为了保证网络安全,局域网(LAN),广域网(WAN ),无线(Wireless),IPSec,和SSL VPNs全部必须执行安全基线评估。

        基于该基线评估结果,访问控制(Access Control)授予该连接系统相应级别的访问权限。例如,一个达标的系统将会获得全部的网络访问权限。不达标的系统或者被彻底阻止,没有任何的网络访问权限,或者为了减少对网络的威胁(通常也为了修复),将授予该系统某一隔离级别的网络访问权限,并帮助恢复达到安全策略的要求。为了使NAC真正有价值,修复过程必须自动化。换句话说,就是不需要求助技术支持小组,系统自动恢复到符合安全策略的要求。

        一旦系统经过隔离修复处理,被允许连接入网络,就需要一种监控技术确保这些系统保持达标的状态,不要出现反常的情况。反常的系统必须被隔离,直到它们被修复。

        因此,网络接入控制解决方案需要:
        1. 创建一个中央的安全策略视图;
        2. 当一个系统或用户连接入网时, 对其安全状态进行评估;
        3. 一旦系统连接入网,对其安全状态进行连续监控;
        4. 基于系统状态,执行网络访问和系统修复策略。

        除了Gartner 的NAC框架定义的功能之外,高效的NAC解决方案需要几个其它的特征来满足今天大企业的需求。这包括:
        1. 多种网络接入方式支持(远程访问VPN IPSec,拨号,SSL VPN,无线,LAN, DHCP, 802.1X,WEB 访问等)。为了成功,一个NAC方案必须从第一天起就能守护网络的所有入口。如果后门或窗子都敞开着,仅仅锁住前门不能防止任何人的进入。
        2. 企业级扩展能力和易管理性,包括灾难恢复和冗余,保证NAC方案能够扩展以适应企业发展和需要。
        3. 强大的策略隔离、管理功能隔离的信息管理工具。组织内不同角色经常需要不同的安全配置,很多大公司将策略制订委派给各业务部门,但仍然需要一个策略的全局视图。
        4. 业经证实的的灵活的部署策略。例如像“学习模式”之类的功能,使NAC方案可以最初以审计模式部署,从而大大缩减引入新IT实践所带来的痛苦。
        5. 可扩展,可定制策略。允许管理员创建自定义NAC规则,不需要从NAC厂商处获取帮助。
        6. 灵活机动基于处所的策略,可减少NAC对终端用户工作习惯的影响。例如,旅行的用户处于公共网络时,通常需要一个更高级别的安全防护。而位于办公室中,这个高级别的安全防护会影响到企业应用和信息共享(甚至打印!)。类似的例子也适用于企业无线网,派出机构等等。
        7. 多厂商兼容,开放的解决方案,可支持今天和今后几年企业网络中不同的技术组件。NAC技术仍然在发展进化之中。今天,在市场有可实施,业经证明的方法。然而,投资于单一技术,例如Cisco NAC或者Microsoft NAP,可能不会产生期望的结果。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 市场变局中 国产安全厂商的进击之路

    未来EPP类厂商,将不仅仅局限于解决终端的各类管理问题,极有可能会将企业的网络边界管理等功能纳入,为企业用户提供更好的综合性解决方案。

  • 采购指南:网络访问控制产品一览

    当企业选购最佳网络访问控制产品时,需要考虑多个因素。同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备……

  • DNSSEC协议缘何在企业部署进展缓慢?

    DNS安全扩展(DNSSEC)在企业的部署进展缓慢,但专家表示,DNSSEC比现有的证书颁发机构(CA)系统更好,企业对部署这种技术的迟疑可能是因为对其目的的误解。

  • 如何缓解Windows应用程序本地管理权限风险?

    用户总想多安装一些Windows应用程序,但是,如果管理员真的给了用户这个权限,那么网络有可能面临严重的威胁。