利用網路訪問管理(NAC) 保障系統安全

利用網路訪問管理(NAC) 保障系統安全

以前安全這個詞就意味著堅固的鎖,足夠的圍牆,防護欄以及一隻脾氣暴躁的德國黑貝。而到了電腦上,就完全不一樣了,電腦安全需要防禦所有病毒和惡意軟體——包括防火牆,入侵防護系統(IPS)以及加密技術。

而且好的安全方案中還會有另一項技術——網路訪問管理(NAC)或者網路許可管理。這項技術主要就是為了確保人們在任何地方訪問公司網路時使用的任何設備(稱為終端,比如筆記本,PC,黑莓,手持設備等等)都不受威脅,並且不會感染整個網路。

“NAC技術使得公司可以控制登陸他們網路的人的許可權,”Nemertes研究公司的進階副總裁以及合夥人AndressM說。“它能夠對已經被漫遊用戶、無線訪問以及分段網路所侵蝕的周邊安全策略提供補充。它還會阻止被感染的系統登陸到網路並傳播病毒。”

儘管很多賣家把NAC當作通用概念,實際上它的框架是來自思科系統的,是做為思科自動防禦網路的願景的一部分的。該框架包括網路交換機和路由器的特性,還有很多其他思科產品。NAC不是一項標準,但是它整合了很多現存的標準。

另外,NAC的一些特定方面正在逐漸地標準化,比如客戶機彙報自身情況給網路執行設備的交互點。但是,其他的圍繞策略存儲和執行的方面還遠沒有達成任何一致的標準。

更進一步講,NAC的定義已經超出了思科的框架,而成為了更通用的概念,它意味著“管理對網路的訪問,並有選擇地檢查終端的狀況”。更多的供應商都是使用這個定義的,而不是思科所提出的NAC方案。微軟也有一個同類框架,叫做網路訪問防護(NAP)。其他組織也正在提出與思科不同的NAC標準。

“別管這些字母組合了,反正標準化的進程緩慢地進行了4年多,”Antonopoulos說。“NAC和NAP這些框架,它們在有些方面存在互用性,但是沒有通用標準。”

誰需要NAC?

NAC顯然不是每個小企業必須的功能之一。除了最精密的家庭辦公室,所有小企業都會對它避之不及。類似地,對於那些沒有採用很多防毒、防間諜軟體以及防火牆措施的公司,NAC也不會解決它們所有的問題。還有那些還沒有建立自己的、由至少1個交換機和一到兩個路由器組成的內部局域網的公司,也很可能沒有合適的設備來調整NAC——更不用說有什麼直接需求了。

“少於100人的公司會覺得這個功能實現起來成本太高了,主要是因為它太複雜並且公司缺少IT員工,而不是因為錢的原因,”Antonopoulos說。“隨著技術的逐漸成熟,越來越多的小企業會使用它的。”

ConSentry網路的進階產品市場總監Michelle McLean也認為,小企業可能不需要NAC。畢竟企業越小,它越能控制訪問網路的人員。這種企業更容易識別內部人士和外部人士,並且也可以進行手動操作。

“小型企業不會覺得單獨設定一套NAC很有價值,除非它擁有上百人在同一個地方辦公,”McLean說,“但是,小型企業還有個選擇就是使用那種包含NAC的產品設備,比如安全交換機,這樣它們就可以在給交換機升級的同時將NAC引入企業網路。”

然而,思科並不同意這個觀點,它聲稱目標用戶是很廣泛的。

“任何依靠內部網路來進行基本操作——生成訂單、跟蹤記錄、存儲檔或者進行商業流程——的公司都能、也應當考慮使用NAC,”思科的產品市場經理Irene Sandler說。“我們現在有少於100個雇員,但卻有數千的客戶。”

選擇產品

企業可以選擇的NAC產品種類很多。例如,ConSentry LANShield控制器是一種自足的、獨立的NAC裝置,對當前網路不會造成影響。而對中小企業來說,CS1000模式性價比最高並且支援800以上的用戶。LANShield平臺支援授權以及狀態檢查功能、查看整個網路的所有用戶和應用,按照身份來限制用戶在局域網上的許可權,還有匿名檢測和限制。LANShield控制器起步價為17995萬美元。另外,中小企業把線機櫃升級成交換機時也可能嘗試選擇LANShield交換機。它具有LANShield控制器相同功能,但是卻是48口的千兆乙太網交換機。它的價格是12995美元。

賽門鐵克公司提供賽門鐵克終端防護服務,它將殺毒、防間諜軟體以及“配置NAC”終端軟體三項功能結合到一起,目前該服務的Beta測試程式可以免費下載。但是,需要注意的是,該產品需要用賽門鐵殼網路訪問控制來集中控制終端,並在那些終端實現NAC策略。賽門鐵克計畫發佈NAC產品的入門級版本。同時,賽門鐵克當前NAC產品的價格是每位元員工40美元。

“可以在進行賽門鐵克終端保護的中央控制臺上應用這些策略,不需要配置任何額外的代理,”賽門鐵克的進階產品經理Patrick Wheeler說。“不需任何複雜的網路級元件,不需改變網路體系,並且不需添加額外的代理或者策略伺服器——用戶只要使用現有的賽門鐵克終端保護配置功能就行了。”

跟Consentry類似,Cisco的NAC器械,帶有一個伺服器和一個管理器。解決方案是按伺服器收費,而不是根據終端數量來算的,這是因為人們一般無法確切知道網路中一共有多少的終端。因此,Cisco根據任何給定時間預計的線上的用戶數量來伺服器license的價格。無論規模如何,你都只需一個管理器就行了。最低的同時線上數量是100,相應的費用是差不多18000美元。

另外NAC領域其他供應商還有Vernier Network和Foundry Networks Inc。

直接體驗

加州Sunnyvale的Omneon Video Networks公司擁有250名員工,它使用ConSentry的網路LANShield控制器來控制客人登錄到網路中的操作。

Omneon是家提供流媒體伺服器以及優化工作流程和數位媒體的無線可靠性服務的公司。“經常會有客人希望在會議室上網”,該公司的IT總監Steve Berg說。“我們迫切需要有台單獨的設備負責管理客人的聯網服務。”

例如,Omneon的合作夥伴們經常會現場用Omneon的硬體測試他們的軟體產品。類似地,各分銷商以及用戶們也會經常拜訪他們總部。但是,一旦這些人中的任何人連到網路中,那麼就會造成一定的資料風險,並且有可能使惡意軟體威脅到網路。但是如果拒絕讓他們登入網路,那顯然不是做生意之道。使用ConSentry的話,我們就可以控制他們的訪問,監視他們的網路傳輸,隔離那些引入特定威脅的機器,設定策略並維護網路安全。

加州另一家公司,Novato則在硬碟搶救資料恢復方面應用了更小規模的配置。該公司的80名員工協助從毀壞嚴重的硬碟中搶救重要資料。為了更好地管理本地和遠端的終端,更好地保護關鍵應用程式,該公司安裝了思科的NAC裝置。

安裝提示

Antonopoulos認為,由於涉及的方面眾多,是否配置NAC仍是一個有爭議的話題。他建議人們選擇那種很適合當前設備並且符合未來規劃的方案。而且如果你比較傾向的方案太貴,你可以等到有更好的標準出現、等市場成熟以及價格回落後再買。

為了減輕安裝負擔,McLean建議中小企業選擇那種使用現有用戶登錄及身份庫,而且不需要改變網路或者用戶端的架構。換句話說,該設備可以在現有的LAN架構中使用,不需要向每個用戶端工作站中安裝新的軟體。

她還認為,各類組織應當逐步地實現NAC。例如,一個開始的好方法就是選用一種快捷的設備,也就是那種可以直接覆蓋完成配置,而不需要更改網路佈局的設備。

“不依賴用戶端或者交換機的自足型NAC方案是最易配置的,能夠最快實現價值的選擇,”McLean說。“Vista作業系統能夠支援一些NAC,因此在你要升級成Vista作業系統的時候,一定要弄清楚Vista是否支持你正考慮用的NAC。對於不使用Windows的組織,那你也得確保Linux和Mac平臺支持你選擇的方案。”

Wheeler‘s的建議是,人們應當把NAC與現有的終端安全系統結合起來,這樣才是最方便最好的選擇。

“人們一致認為NAC策略正在融入它的邏輯層面——終端策略中去。”Wheeler說。“因此,你應當選擇與你的終端防護方案相匹配的NAC方案。”