NAC替代点打分
Symantec顶部juniper、Cisco和检验点测试13NAC点产品
Symantec顶部juniper、Cisco和检验点测试13NAC点产品
输入全对NAC-单产品提供认证授权端点安全性评估、NAC政策执行和总体管理.
测试13项产品布拉德福德网络,检验点软件,思科市,联系网,ForeScout技术,信息表达式,Juniper网络,锁住网络,麦卡菲,静态安全,赛门特克,趋势微并弗尼尔网络.
为了确保我们先前对NAC架构的评估与全对全NAC产品之间的连续性,我们的测试以同一种方法为基础。验证和授权测试嵌入可用选项物理连接网络,认证选项支持和每种产品处理授权
时部署NAC环境标准802.1X验证是我们NAC架构测试的焦点点,在这轮测试中,我们使用其他认证选项部署产品-例如便利内联监控、控制安装网络开关并自控存取层开关-因为许多组织想先部署NAC使用802.1X标准全部厂商测试出至少一种替代方法, 好消息是选择不缺
环境信息评价-有时被称为端点安全评估-研究每种产品从端点收集相关信息的实效细节收集范围从通用机信息到专用安全性设置并全部用于执行决策
测试执行部分评价评估完成并识别适用策略后处理违规系统可用选项最终管理段查看可用工具以保持全NAC系统运行,包括定义新策略、接收报警和报告,所有工具都装在一个无障碍可用接口内(见a测试NAC产品全测试方法指导内环境)
好消息是这些产品一贯按广告方式运作广度上来说,他们识别、授权(或按需阻塞)并按制造者表示的帮助修复失效系统但他们以不同方式在不同程度上执行这些措施, 帮助确定哪种产品最适合你, 你需要清楚理解这些NAC产品覆盖的哪些领域对你自己环境最关键(见6小技巧选择右全数NAC)
赛门特克顶端出局 最佳全局NAC产品symantec网络存取控制提供全局最固态NAC函数前台Scout系统锁定朱尼波尔取出顶端处理器
NAC产品趋势
验证验证测试显示 多数情况下 完全归并NAC产品 以多种方式 有效滑入现有网络授权已知用户和客服用户通过局域网通用链路、远程接入连接无线局域网s所有计量得到大多数产品支持技术实施方法不尽相同,但灵活性和广度目标不变
绝大多数产品常用与标准用户目录整合,例如微软活动目录和其他轻量级目录访问协议库和验证服务器,如a瑞秋斯服务器关键差分是某些产品通过监控认证流量提供认证(例如,开贝罗斯验证包被动记录事件,而其他人则要求用户主动输入证书
产品间的另一关键值差点是授权执行过程使用端点信息部分产品依赖用户信息执行策略,而另一些产品允许完全基于设备信息访问少数产品为这两种方法提供支持
Juniper、Symantec和Vernier测试最优认证产品为四种连接方法(局域网、远程访问、客机和客机)提供周全部署假想无线)他们还支持各种认证技术,让我们配置基于用户或设备的授权参数
端点评估测试评价箱外选项守法度检查重点防毒软件Windows安全补丁,主机防火墙状态、端点易损性状态和主动受感染系统识别多数产品基本覆盖和功能基本项目
哪些产品差别在于它们广度覆盖这些评估机制,多易配置检查,多易操纵检查时间,多易操作检查时间和多详细检查能否实施,例如当产品支持泛脆弱扫描引擎时产品定义自定义安全检查能力从检查某些注册密钥和文件属性到全脚本引擎不等
Symantec,ForeScout评估优异
Symantec通过提供最佳全套评估功能,在端点评估和环境信息收集方面表现优异ForeScout表现良好,提供强化评估功能,如异常检测和完全脆弱度评估平台
执法能力一般取决于产品实现举例说,在通过控制存取开关接近NAC的产品中,初级执法机制包括虚拟局域网和存取控制列表修改内联部署最常提供防火墙规则控制网络访问,尽管其中一些通过修改提供VLAN修改802.1Q标签
VLAN修改易实现,用户大问题在于网络基础设施总体VLAN设计管理,而NAC策略则详细程度比较不同整体功能有不同的访问策略 -- -- 甚至是端点系统不达标时有不同的访问策略 -- -- 可能很快成为VLAN管理梦想
另一种常用执法机制是自执法,由代理控制网络访问的重客软件提供方便自执法有益,它帮助确保守法 当用户不连接到企业网络,我们建议使用自执法和网络执法机制,如推防火墙规则、修改VLAN或促进交换机交换ACL
修复努力往往引导用户将自己的机器上到NAC消毒过程提供的措施大都包括显示消息内含URL引导用户获取信息或软件,允许用户自补信息或软件某些产品提供更主动的修复功能,如杀法或自动执行程序-例如启动补丁管理代理器,如PatchLink,通过微软短信推送企业软件升级或操作定制脚本
foreScout补救导师基于灵活和广度选项从VLAN变换到杀流氓过程
广泛令人失望的大领域是这些产品普遍缺乏有关用户或设备历史的信息设备隔离后 检查失败响应是什么用户点名采取了什么行动用户连接到的其他设备是什么设备或用户历史信息是什么很少产品能达到这种详细程度,这是部署任何有用的NAC所必备的
适当管理NAC部署工具 -- -- 政策制定和日常管理通用接口、帮助和文档编制以及报警报告能力 -- -- 通常是测试产品中最弱部分
GUI接口布局混乱,不直观使用或导航常用工具定义NAC策略 -- -- NAC管理中关键部分 -- -- 深埋系统并需要多点点击才能到达起始点很少产品将管理员送入实用信息仪表板锁定执行程序最优:当管理员初始登陆时全摘要仪表板出现,清晰显示系统风险姿态和高层细节当前状态
制定政策通常过于复杂。NAC商家通常提供大量弹性和细节NAC政策开发引擎,但多数商家都差强人意地使这些引擎容易使用提供管理应用程序驱动Vernier边缘最富挑战性NAC方法,但归根结底,它是测试产品中最灵活和详细的
关注的另一个领域是支持账户管理,看详细程度支持访问控件和角色定义我们还研究产品管理员是否在企业用户存储库内开账,而不是维护本地行政用户数据库多数产品支持多功能结构,但有些产品比其他产品提供更多细节
报表问题最大部分产品不含报告功能,而其他产品仅提供极基本搜索切分完整性和定义化政策对网络访问很重要,但在当今环境中显示历史评估结果和对不遵守定义化政策的系统采取了哪些行动则几乎更重要
所有测试产品都可用改善整体管理, 检验点、前Scout和Lockdown最强显示此评价领域产品提供报告功能和企业管理功能,例如多提示选项连接企业管理工具、委托管理功能和适当的帮助和产品文档
NAC期货
接受后控制是大多数商贩花开发资源的地方, 而这完全是自然的系统输入网络后,它需要保持守法性多数产品现在实现这一点时都对进度表进行评测,例如每15分钟评测一次
某些商家,如McAfee和StillSecure正开始进一步接受后接收控制,整合入侵检测/预防系统,一旦收到端点装置警报即启动执法行动信息还可以与漏洞扫描并用以确定警告是否伪阳性
虽然有些产品现在进行漏洞扫描,但假阳性相关关系仍然是供销商达标目标下一个逻辑步骤是与安全信息安全事件管理产品整合,这些产品应提供最完整的图片帮助NAC产品对持续访问端点设备作出最优决策
未来NAC的另一个集成点应该是数量日益增多的外内容守法和数据泄漏保护产品组合使用后,公司可阻塞网络访问,如果未经授权数据传输尝试或观察
基本形式NAC为黄金时间准备公司可以购买多种产品检查已知端点完整性并相应控制访问从业界对NAC的热门判断 商家正在投资研发元 帮助提升特征 并深入整合组织网络基础部署有效全数NAC产品的秘密是使自己与开发出产品与为自身网络设定的NAC优先级相同的供应商相匹配
有个足球雷竞技appAndress是网络世界实验室联盟成员,网络行业首选测试者合作者,每个测试都带去多年实践经验更多实验室联盟信息,包括成为伙伴所需要m.amiribrahem.com/alliance.
下一故事 :6小技巧选择右全数NAC产品>
更多了解这个题目
买家指南:网络存取控制
NAC现在能为您做什么04/19/07
Vista为何缺失NAC风景04/19/07
Raybet2版权2007IDG通信公司