一个好的SSL VPN提供良好的NAC吗？

仔细看看F5的FirePass表明SSL VPN可以在大多数NAC点上击中

有个足球雷竞技app |

当我们开发了NAC的评估标准时，与此相似之处SSL VPN的评估标准非常强大。

是一个ssl.VPN.通过定义或环境一系列NAC设备？

两个都Caymas系统和瞻博网络会争论一个响亮的“是”。这里的论点是，由于SSL VPN产品的最新迭代已经专注于授权用户，控制访问和使用终点姿势评估，因此SSL VPN是一种自然拟合到任何NAC方案。正如入侵检测系统（IDS）供应商理想地位于启动销售入侵防御系统（IPS）产品，SSL VPN供应商将在这个市场上有一个自然的腿

Caymas，使用与SSL VPN设备最初出售的相同技术重新定位到NAC空间中（请参阅Caymas SSL VPN结果）。杜松还跳跃了NAC Bandwagon，将策略引擎从其排名级的SSL VPN产品重新展示到我们作为TCG / TNC框架的一部分测试的统一访问控制器（UAC）IC-4000设备中。

对于在NAC中SSL VPN角色的问题的客观答案，我们接近了F5网络- 尚未进入NAC营销磨损 - 并询问我们是否可以评估其FirePass SSL VPN产品，好像它实际上是NAC设备。

我们的良好NAC设备的第一个标准是广泛的身份验证方法和类型。在NAC的情况下，该过程包括后端身份验证服务器- 并且FirePass支持其中的八个 - 用户向设备传达凭据的方式。对于SSL VPN通常，与能够启用NAC的环境相比，后一过程是有限的。良好的NAC框架可以使用各种方法，例如802.1x进程，俘虏门户甚至嗅探一些其他身份验证系统，而SSL VPN倾向于限于基于Web的客户端认证机制。

FirePass提供基于Web的用户名/密码身份验证（大致相当于俘虏门户）和基于数字证书的无密码认证。然后提出问题：SSL VPN是否有一些方式进行更加集成的身份验证，例如与客户端或通过直接与Windows登录序列相接到NAC中所做的操作？With FirePass (and other full-function SSL VPNs), that only happens when you use the product’s network extension tools, which link the SSL VPN user’s system at the IP layer to the central site’s network, similar to an IPsec VPN, rather than the Web-based parts of the product.

我们的实体NAC框架的第二个标准是能够将结束点安全评估和环境信息分解为访问方程。具有非常复杂的终点安全在FirePass内的评估系统，网络管理器可以建立一个策略来检查各种平台的终点安全性。此时，FirePass领先于大多数NAC供应商，这很少有跨平台支持，因为它可以检测和处理运行Mac OS X的端点而不是运行Windows。

终点安全评估取决于SSL VPN门户将软件推入用户浏览器的能力。在FirePass的情况下，这需要ActiveX兼容的浏览器。一些NAC供应商，如瞻博网络和思科，更喜欢永久安装的客户端，而不是依赖浏览器。FirePass不支持安装客户端的选项，以进行其Web服务门户的终点安全检查。

FirePass专门缺少的一个能力是能够链接到供应商提供的健康检查工具，例如补丁管理我们在CNAC和TCG / TNC框架中查看了桌面安全产品。FirePass确实让您与Symantec的批发安全性工具包集成，但并不是流行或通用的工具。其他缺少的创新是“持续执行”，终点安全检查在会话期间连续发生的想法，而不仅仅在登录时间。

有效NAC产品的第三个标准是访问控制执行。在这里，FirePass提供超出大多数NAC解决方案所提供的访问控制和执行。因为SSL VPN通常允许或禁止在URL级别的访问，所以FirePass能够比简单的虚拟LAN分配更紧密地控制访问，这是任何NAC方案中最常见的访问控制形式。在网络扩展模式下运行时，FirePass提供简单的数据包过滤器。在CNAC和TCG / TNC中，我们从思科，瞻博网络和Vernier看到了高端产品，这些产品可以与在线ID和IPS测量一起使用全部状态防火墙检查。这使Firepass与NAC市场的较高端保持一致。

我们对NAC的第四个标准是管理能力。这里，SSL VPN和NAC之间的比较更难以绘制。作为SSL VPN的早期创新者，F5为其管理界面获得了Keudos。如果我们要与测试的产品直接比较，FirePass可能会比思科的安全ACS得分，并且将与瞻博勒的UAC相同。

总的来说，SSL VPN的用例和兰- 基于NAC不重叠。SSL VPN用于远程访问，而大多数人则认为NAC为本地，无线和访客用户。

NAC成功的关键将您的SSL VPN远程访问完整的NAC策略，以便合规性策略和访问控制与尽可能紧密集成和一致。现在，没有供应商是组合其SSL VPN和NAC策略引擎 - 但可能在时间内容发生，而且在易于集成和转换时，您希望准备好。

Snyder是Ariz的一家咨询公司Opus One的高级伙伴，是Ariz。他可以在Joel.Snyder@opus1.com上达到他。