内联NAC应用测试

上一个 一号2 第2页

第二种解决办法是在产品中增加防入侵能力,识别受恶意软件感染(或阻塞)系统这种方法比传统端点安全评估更成功,因为它本质上跨平台非入侵性,并更有可能检测出失密系统归根结底,装配配最新签名的杀毒引擎 完全不表示你是否感染病毒康斯特和尼维斯都走这条路,尼维斯率先搭建精密IPS入LANENFORER

尼维斯IPS市场威胁控制综合使用三种IPS技术:协议异常检测、交通异常检测和签名检测特殊恶意软件LANENFORER位居用户和公司资源间,IPS特征集侧重于内部威胁的具体类型寄生虫封存图大片, 数十个设置可用于调整阈值威胁控制提供触发LANEENFORER自身动作的选择,如在一段时间内阻塞IP错误地址的所有流量

威胁控制特征混合成功当我们松散SQL悬浮虫时 尼维斯发现并隔离它并报警当我们安装NetRaider时 黑客用后门Trojan马控制系统时 LANENFORER没有看到它,尽管局域网智能管理系统启动NetRaider有2个签名和多专用IPS一样,签名不透明,所以我们无法调试LANEONFORER为何错过Trojan马 。)当我们打开序号随机分解时,我们也发现窃听器,常用防火墙混淆技术,因为尼维斯盒子拒绝让任何人上网

LANShield特征集慢得多,除开关能力外别无配置能力Consentry标签IPS特征为恶意软件保护网络管理器将是一个黑盒LANSHILD确认并阻塞SQL蠕虫, 令我们感到不舒服,LANSHILD恶意特性比完全烤熟能力更多地被视为未来事物的允诺

执法

这两种产品比其他大多数NAC解决方案都大有优势,即基于完全状态防火墙的执法能力尼维斯和康斯坦茨最常用带状NAC策略非但不满足使用不同虚拟局域网,反而让网络管理器不仅精细访问控件,而且还有状态防火墙这使康斯坦斯和尼维斯小圈子中,像Juniper和Vernier等主张如此高度安全的小商家

或局域网际或局域网际网关均非执法能力所内常用应用层网关表示协议需要应用层网关-例如FTP或VoIP系统使用会后启动协议实时流协议-不直接支持仍然可以通过设备运行这些协议, 但你的政策将不得不打 大漏洞防火墙支持,因为这些产品设计内部使用主要可信用户,这似乎并非不合理的限制

防火墙基本知识-源或端IP地址、子网和网络区-都存在, ConSentry比尼维斯更深入提供强力执法规则举例说,您可以定义执行规则常用互联网文件系统或FTP文件名或HTTP内容类型或ConSentry调用应用过滤器过滤器是一个良好的开始,尽管有一些大漏洞例举,您无法写基于 HTTP URL的滤波

LANENFORER使用执法词汇接近传统防火墙,执法规则以目的地IP地址和服务表示

管理

LANENFORER和LANShield都通过命令线接口可控性,但我们使用提供单机管理工具测试尼维斯局域网安全管理员 我们只需触摸CLI安装调试Consentry图形管理工具近似完备,但并非所有产品功能都可从接口获取初始搭建时不得不多次下潜到CLI中 以获取某些基本配置元素

局域网有好的和坏的一面监控系统设计得当几下点击后,我们发现很容易知道谁登陆,查看策略,登录并查看交通流向何方LANENFORER配置后,LANSight快速概述正在发生的事情

坏方面是慢问题似乎不在于管理工具本身,而在于选择AdobeFlash显示GUI双CPU 2.3GHz管理客户端从屏幕到屏幕花四至十秒时间,短到令人沮丧

局域网真正下降时配置任务,例如执行策略的创建、复制和配置因为这些系统的全部点是让管理员有能力对用户应用更好的执法方法,这是一个大问题。举例说,假设你想要定义访问打印机(或Web服务器或文件服务器-从政策角度想视之为原子单元的任何东西)。如果打印机不全为连续IP地址,你就必须创建数十或数以百计的策略,每个打印机一个策略,而不是单设覆盖所有打印机策略管理系统应促进企业安全策略的实施,而不是抑制它

Consentry InSight命令中心拥有良好的监控系统,从安全性和带宽性方面高度可见网络上发生的一切JavaGUI发现其性能比LANSight总体快

InSight政策配置整理得非常好难为用户配置防火墙似乎是一项艰巨任务, InSight拥有正确的抽象度和面向对象设计以方便配置与我们所期望的政策匹配

InSight分解出基本人际设计一致性举个例子,当点击某物时,你可能或可能看不到当前配置或属性是什么,除非选择编辑该项,然后全看设计前后不一,有时你看到细节而不必编辑对象InSight也有管理配置版本的笨拙方式Constent想同时定义配置并推向设备,但机制更经常地这样做会挫败和混淆,而不是简化过程

结论

网络管理者寻找比VLAN常用交换机允许的更严格访问控制,除老兵Juniper和Vernier外,Consticle和NEVLI

ConsentryLANShield为GUI提供极大的部署灵活性和杰出政策管理设计,尽管它有有限的恶意保护套尼维斯LANENFORER带出多组防入侵能力表,但设计缺陷和故障关键函数令测试结果令人失望

新建企业变化速度快速和暴躁, 我们在测试这些版本时发现的问题 明年这个时间前可能已经过去和红酒和起司一样,两者应随年龄提高

Snyder高级合伙人Opus One咨询公司 Ariz可联系点Joel.Snyder@opus1.com.

有个足球雷竞技appSnyder也是网络世界实验室联盟成员,该联盟是网络行业初级评审员合作体,每个审查者都带去多年实用经验更多实验室联盟信息,包括成为成员需要什么信息,去m.amiribrahem.com/alliance.

更多了解这个题目

NAC买家指南

Constent升级NAC软件增强能力

11/06/06

兼容遗留设备对NAC未来关键

06/12/06

初创端看网控

11/14/05