网络访问控制代表了自由防火墙的发明自保护的方式最重要的变化。但它也令人争议,令人困惑,而且 - 完成右 - 复杂。
网络访问控制代表了网络自我保护的方式最重要的变化防火墙。但它也令人争议,令人困惑,而且 - 完成右 - 复杂。
用踩踏事件供应商在NAC领域,IT经理们现在面临着大量的架构和工具,这些架构和工具旨在帮助创建用户、终端系统和网络资源访问之间的强大联系。
在努力提供一些深入了解每个可能或可能不适合您的网络,这里是他们的相似性和差异的分解。
NAC是一个广泛的新流行语,安全网络供应商都有关于如何最好地在NAC宇宙中提供产品和服务的想法。我们审查的主要NAC计划是思科网络准入控制,杜松子里Infranet,微软网络访问保护和可信计算组(TCG)可信网络连接。
在潜入谁是NAC的谁之前,了解其基本要素非常重要(看到南京汽车底漆)。
基于在企业中执行访问控制的位置,NAC有三种基本方法:边缘控制、核心控制和客户端控制。
边缘控制采用防火墙的原理,并将其推到系统连接的网络边缘。如果您正在保护一个局域网,单个交换机端口将成为NAC控制点。如果你和VPN连接时,IPSec.集中器或者SSLVPN设备负责强制执行访问控制。在无线环境中,接入点或无线交换机播放NAC角色。
在核心控制模式中,可以在网络的任何地方强制执行控制,只要控制位于比边缘设备更深的地方。您可以内联或被动地在边缘交换机和核心之间插入NAC设备,在那里它将收集身份验证和端点安全信息,然后执行适当的访问控制策略。
这些设备(例如锁定网络的Enforcer)检查流量或控制平面信息,通过并进入网络以更改配置以应用强制。
客户端控制方法侧重于连接到网络的终端系统,其中更注重对终端系统的管理和控制。Senforce Endpoint Security Suite在每个终端系统上安装了一个相当重量级的应用程序,强制执行NAC策略和本地访问控制,比如禁用无线如果VPN客户端没有被使用,可以访问。受这种工具保护的端点继承了一套强大的安全保护,例如个人防火墙、USB设备锁定和无线控制,这些可能很难(或不可能)从其他许多NAC供应商那里组装和管理。
虽然客户端控制方法具有较低的预算和简单管理的观点,但它们并不与与网络集成的NAC方法强烈重叠,以帮助保护自己身份验证或提供基于身份的访问控制。
主要网络参与者所吹捧的NAC框架都不适合任何单一的部署类别。例如,作为防火墙和SSL VPN设备(但不是交换机)的制造商,Juniper的Infranet NAC策略是非常面向核心控制的——除非控制应用于SSL VPN用户,在这种情况下,策略看起来更像是边缘控制。
同样,思科的网络准入控制更关注于边缘设备,其设计方式类似于边缘控制策略,因为思科控制着布线柜中的大多数企业交换机。思科将这些交换机的上游控制包括在内,以处理无法处理NAC的旧交换机安装的环境,因此其底层NAC架构也包含了核心控制方面。
NAC方法中还有其他显着特征。有些供应商将终点安全评估考虑在系统连接时是一次性检查,而其他供应商是持续的方法,不断检查和验证端点安全的状态。一些紧密地关注端点安全作为实现NAC的关键原因,而其他人在身份验证和策略中作为主要碎片。有些只是在端点上安装了自己的代理的环境中,而其他人则尝试在没有可用代理的环境中接受环境。
虽然这三种实施方法让您开始获胜您的NAC选择,但您必须深入进入拟议的架构,以进一步决定您的网络中最好的工作。
评估NAC架构的第一个困难是有很多文书工作,但没有很多产品。例如,当Microsoft将其帽子扔进NAC戒指2004年7月有网络访问保护时,它使用了网络DHCP服务器作为主要执行机制之一。如果您没有通过适当的终端安全检查,那么您将得到一个IP地址,该IP地址将将您控制到隔离区域,这样您就不会干扰网络的其他部分,但是您无法解决自己的问题。
虽然该方法与合作用户社区有很好的工作,但它不会密切保护恶意用户希望获得未经授权的网络访问。作为响应,Microsoft通过基于的强制执行机制添加其架构802.1x.。
这很容易,因为微软所要做的只是调整其网站上的一些白皮书,以纳入这一更强有力的执行。虽然目前的预测是网络访问保护将与Windows的Vista版本一起发布,预计将在今年晚些时候或2007年初,但没有承诺这些黄金光盘上的内容将包括NAC架构中的所有功能。
下一个:TCG的努力>
了解有关此主题的更多信息
极端创始人:谨防封闭的网络访问控制方案02/15/06
防病毒供应商目标网络访问控制02/13/06
幻影更新网络接入控制装置01/30/06
北电路线图强调安全01/16/06