2的第2部分。第二我们看重要的一部分网络访问控制问题,我们看看周围的重要问题思科,南汽的实现和南汽政策。第1部分审查在这里。
没有需要等待,因为这取决于你想要什么南汽,思科可能已经。
如果思科还不能提供你想要的,还有不需要等待,因为你可以从其他供应商得到的替代品。
思科南汽设备之前,可以检查设备网络访问病毒软件更新,打开和补丁水平是否符合政策。
说,该设备是批评,一些不能做的事情。“思科仍在许多其他供应商在这个空间,因为无法执行评估检查超出初始连接,”曼迪安德丝说她最近检查的设备有个足球雷竞技app。
例如,设备不执行定期复核设备一旦被录取到网络,以确保他们保持安全的姿势。
思科南汽设备并承担多个实施方法,包括将设备内联与交通,它可以直接限制流量,让它与802.1 x认证或串联运行的带一个访问控制开关。它还可以执行南汽设备将通过SSL或通过思科设备的IPSec VPN。
还有其他设备从其他供应商做更多,如果思科的设备,这些人可以填补这一法案。
思科也有一个计划,构建南京到它的网络体系结构,设计尺度更大糊涂事。所有NAC客户所面临的问题之一是,NAC电器一般不规模大到足以容纳一个主要企业部署不依赖许多电器,Forrester Research的分析师罗伯·怀特利说。
思科的网络NAC某些开关规格要求为一些客户可能意味着升级。因此,有些推迟,直到他们需要升级。
客户看到思科NAC的一个问题是,它有两个单独的设计,没有可互换零件。目前思科南汽设备及其网络NAC框架有单独的客户对网络端点的安全状况进行评估。
此外,NAC框架依赖于思科的访问控制服务器(ACS)来确定哪些访问政策应用而NAC设备依赖于自己的管理服务器端点是否合规。
思科一个叫做OneNAC迁移策略来简化设备之间的过渡和基于网络的NAC可互换的客户机和一个服务器。但这一计划仍有一些细节需要解决。
不管它的相对优点,思科的南京有一个坚实的基础的忠实客户,根据当前分析的最新年度NAC研究。报告说,67%的当前思科南汽设备客户和思科的68% NAC框架客户会考虑购买更多思科NAC齿轮。
另一面是数字暗示约三分之一的这些客户不会考虑更多的思科NAC产品,但调查并不国家他们的原因。
这两个答案都是适合所有情况。
最终大部署,带外NAC使用某种形式的边缘执法等接入交换机将更加实用,因为它更好,怀特利说。带内NAC随着推广的发展需要越来越多的设备。
但是对于小型网络或有针对性的NAC执法,内联NAC电器可以一样好,Joel Snyder说,高级合伙人在作品和网络世界测试联盟的一员。有个足球雷竞技app“带内我认为更多的偶尔的客人访问——放弃其中的一个箱子在你的客人,让它处理负载,”斯奈德说在最近的一份网络世界对南汽在线聊天。有个足球雷竞技app
带外NAC依赖于现有的网络机制执行政策,如802.1 x认证,ARP和MAC表和DHCP任务。它得名于一个事实,即南汽设备在交通流量不直接坐——通常它挂了交换机端口——没有任何直接的手段限制流量。
带内NAC包括交通必须通过的装置,通常放置在接入层设备之间,分布层设备,虽然有些可以坐在之间的分布和核心网络层。在某些情况下,供应商已经把南汽能力接入交换机。
有很多参数的两种方法。有个足球雷竞技app问两个供应商,一个卖内联齿轮,一个销售带外——拿出最好的原因他们的位置。
不中断业务用网络的快速部署,没有单点故障和降低创建网络延迟的风险被作为优势的带外部署格兰特Hartine, NAC供应商海市蜃楼网络的首席技术官。
他还说带外NAC齿轮时发现设备发送ARP数据包可能会错过在线设备,这取决于他们的位置。
相比之下,带内南汽提供更好的控制流量,可以监视和限制交通设备后如果他们违反使用政策,承认网络的首席技术官杰夫王子说南京汽车厂商ConSentry网络。带内部署还支持执行特定于用户的资源政策规定一个人可以不创建广泛的虚拟局域网地址,他说。
”乐队是我喜欢称之为“边缘执法”,斯奈德说。“这尺度,它处理负载,它不依赖于一个单点执行。(内联)是真的我想我们想去的地方大企业部署。
“当然,这并不意味着带内的人无法处理负载,但你真的想追求执法如果它符合边缘,带内如果不去。”
没有什么是完美的,包括南京执法。
有多种方法可供选择,选择依赖多少工作量,成本和中断是可以接受的,是否被认为是足够安全的方法。
南京政策可以执行在网络的边缘接入交换机,防火墙和VPN网关和防火墙在网络还通过使用以及在线访问和分布之间的电器开关。也可以通过操纵DHCP IP地址分配和执行重置设备的ARP表阻止网络访问。
一个执行方法的批判在黑帽会议的首席技术官Insightix帮助正确看待这些方法的安全性。
例如,在DHCP的情况下,代理DHCP服务器执行安全政策无法解决设备,获得静态IP地址,因此不需要处理DHCP服务器。可以使一些网络免费NAC执法的重要部分,说的方法类似,Innsightix的首席技术官。
在另一个例子,执行NAC政策通过交换机依靠802.1 x可以为设备提供严格的政策控制但只有通过客户端软件支持802.1 x。设备不-如打印机一个电话可能被欺骗,完全绕过南汽,给未经授权的访问的机器,可以做损害。
点评是一个足智多谋的潜在NAC用户所以他们意识到可能的漏洞,可以采取措施来填补差距存在,他说。“只要用户了解这些解决方案并不完美,并采取其他措施,然后我做我的工作,”阿金说。
用户应该平衡NAC的执行方法的安全产品的钱和时间,他们将会实现。例如,如果一个客户的最好方法是802.1 x认证,这需要一个802.1 x客户机在每个设备筛选成为可能。用户是否分发客户和升级的开关执行政策是值得的。
谁需要南京呢?
南汽帮助满足法规遵从性吗?
我不应该只是等待微软吗?