用网络访问控制（NAC）解决网络安全问题

来源：作者：出处：巧巧读书 2006-12-01 进入讨论组

访问地址 http://www.qqread.com/net-saft/d284564.html

　　其他的网络访问控制方案，例如Cisco的方案和TNC方案，都使用交换机上的802.1X端口验证来执行各项策略。Schroth表示，他最终可能选用这些架构中的一种。就目前而言，EdgeWall的工作状况良好，而且在学院计划两年后对交换机进行升级之前，EdgeWall很可能仍然能够满足所有的需要。

他说:“也许到那时，我们会采用一种能够集成到交换机中的更为广泛的网络访问控制架构。”

　　另外一家较早采用网络访问控制技术的用户在最近斥资25万美元采购了全新的Extreme Network交换机，而该技术对于保护这项投资起了非常关键的作用。KAMO Power公司是一家总部设在俄克拉荷马州Vinita市的一家电力公司，主要为堪萨斯、阿肯色、密苏里和俄克拉荷马州提供服务。该公司IT总监 Robert Lemm说:“我不可能为了满足一个项目的需求而花费25万美元的巨资去购买交换机。”

　　Lemm表示，KAMO Power公司希望利用网络访问控制更好地保护其网络免受其能源合作机构有害流量的危害。他曾经考虑过Cisco NAC设备，但后来又放弃了，因为这种设备必要使用Cisco的交换机。即使他已经拥有了这些交换机，在这些交换机上实施NAC必然会导致额外成本的产生。他说:“如果我们已经有了Cisco交换机，我们仍然需要为每一台交换机购买授权。”

　　如果没有这些授权，Cisco也可以将CiscoSecure Access Control Server(ACS)网络访问控制设备部署在KAMO Power公司的Extreme交换机上并执行访问策略，但如果这样做，每一台ACS设备都可能成为一个潜在的独立故障点。他说:“从网络可靠性的角度来说，这种做法是很不明智的。”

　　Lemm也排除了Extreme公司基于其Sentriant设备的访问控制系统。去年，当他考察该系统时，该系统可以在第3层进行筛选，但无法完全适应到第7层，而第7层的能力正是他希望获得的。

　　最终，他选择了Juniper的Infranet Controller策略引擎，并将其与Microsoft Internet Authentication Service验证服务结合在一起，确定终端设备应获得哪种访问权。Extreme的交换机和Juniper集成安全网关(Integrated Security Gateway)可以与防火墙、VPN和入侵探测系统结合在一起形成完整的策略执行点。

　　他说，虽然这些部署工作使用户避免对所有的交换机进行替换，但这仍然没有达到理想的境界。Juniper需要一整套企业范围的管理系统来管理网络访问控制系统的各个部分，从而节省管理工作所消耗的时间。目前，他使用Web接口直接管理单个机器，或者利用NetScreen Security Manager来管理Infranet Controller。

　　网络访问控制的基本原则

　　网络访问控制的基本原则是，虽然这类技术还是一种没有完全定义的新兴技术，但它在适当的条件下仍然可以发挥巨大的价值。Forrester Research的分析师Rob Whiteley指出，应用网络访问控制的关键是只用它来满足一些具体的需求。

　　Whiteley认为，用户在选择网络访问控制技术时应当有长远的发展眼光，使未来的安全性和网络采购活动能够适应这些处在不断发展过程中的、更为宽泛的网络访问控制架构。他说:“谁也不希望部署一串安全孤岛，因此这一点非常重要。”

　　网络访问控制与您

　　在确定网络访问控制产品是否适合您的企业之前，您可以向自己提出以下几个问题:

　　* 如果终端在连接到网络之前就可能已经受到感染，那么它对网络构成的危险有多大?

　　* 在三种主要的网络访问控制方案(Cisco、TNC或NAP)中，哪一种最容易集成到我现有的安全环境中?我是否能够等到标准或互用性测试出台后再来选择自己的方案?

　　* 与目前正在进行的其他安全计划相比，网络访问控制的重要性有多高?

　　* 在实施网络访问控制时会对网络产生一些干扰，我能承受多大程度的此类干扰?

　　您也可以向厂商提出如下问题:

　　* 贵公司的产品在哪些方面能够适应更为宽泛的网络访问控制架构?当单个机器的状态发生改变时，它是否能够验证和扫描终端、检查策略符合性、执行策略、创建策略或管理策略?

　　* 贵公司的网络访问控制产品的未来发展路线图是怎样的?