虽然可以映射基本组件杜松Infranet到TCG的受信任网络连接架构,现实是瞻博网络正试图完成非常不同的东西,专注于防火墙还有访问控制,不太强调终端安全。
Juniper脱离了其他供应商NAC体系结构在控制NAC基础架构时为网络管理器提供的控制量。瞻博网络的策略非常依赖于使用其防火墙的身份验证和详细访问控制。结果是,当有人在juniper的NAC控制下进入网络时,每次连接都会通过一个有状态数据包过滤防火墙,可以加密并明确地绑定到访问控制策略基于用户的身份.
例如,当系统在Microsoft网络访问保护下进入网络时DHCP,主要关注的是用户是否具有适当的端点安全性级别。如果是这样,用户就可以无限制地访问网络。在Juniper的Infranet中,用户的终端安全评估是可选的,但基于身份的访问控制策略不是可选的。
这种哲学差异有一个好处:它使得更容易决定瞻博网络是否适合您,以及这种身份验证等级,安全和访问控制是您要找的 - 或者您是否主要关心终点安全评估。
在客户端,Juniper使用其企业Infranet代理作为客户端管理的焦点。使用自己的JEDI API,Infranet代理链接到第三方TCG完整性测量收集器。瞻博网络还提供了端点 - 安全评估工具 - 其特征SSLVPN称为主检查器 - 用于检查端点状态,例如打开端口或运行进程。
因为用户被Infranet的架构假设已经已连接到网络,因此Infranet代理未参与第2层认证方案,例如802.1x..相反,Infranet代理的角色是向网络中更深层次的策略实施点提供用户身份验证,并将端点安全评估信息返回到策略决策点(称为Infranet控制器)。
Juniper的防火墙和SSL VPN产品,称为Infranet Enforcers,作为策略实施点,通常位于网络深处。
Infranet代理还管理终端系统和Infranet Enforcer策略执行点之间的加密。通过应用IPSec.客户端和Infranet Enforcer之间的加密,Juniper在结束站,身份验证和应用政策之间提供强大的绑定。此安全性仅在策略执行点开始;在达到Infranet Enforcer之前,客户端的任何不当行为都是在瞻博网络Infranet模型中不受控制的。
瞻博网络的Infranet控制器类似于TCG的政策决策点,基于瞻博网络的SSL VPN产品系列,因为都使用相同的策略引擎。
与其他NAC架构不同,瞻博网络的策略决策点在完整性测量验证者之间没有明确的链接,它从瞻博网络主机检查器评估端点安全信息(作为TCG方案中的完整性测量收集器)并提供策略决定回到Infranet控制器。
相反,Infranet架构将通过指向JEDI规范将信息传递给策略决策点中的完整性测量验证者的信息。实际上,JEDI规范是静音的,即这个链接如何工作。这是Infranet架构中的弱点,因为在任何企业控制台中都必须处理桌面和漫游用户策略的管理,以便控制第三方安全工具,然后在Infranet控制器环境中第二次。
选择NAC体系结构取决于您的目标和整合策略。如果你是一个 -思科用现代硬件商店,您可以将您的马挂在思科的架构上,这与任何人一样完整。
对于那些对基于标准的解决方案感兴趣的人,TCG的TNC是唯一一个真正的选择,尽管有一些风险。微软这种方法最适用于较小的网络,在这种网络中,你想控制你已经拥有的电脑,并且最关心的是病毒,而不是身份验证和访问控制。
下一个:一个南京汽车底漆>
了解有关此主题的更多信息
思科和瞻博:缺乏战略,还是缺乏战略?03/06/06
02/27/06
Gartner:买断突出净安全的热点11/21/05
从瞻博网络点击的净访问控制10/24/05