浅谈是什么影响了NAC的应用推广

　　三年前，网络访问控制(NAC)还是安全领域的漂亮口号。网络访问控制(NAC)是用来批准申请进入网络的PC和其它设备进入网络之前确保这些设备采用最新升级的补丁、杀毒软件和间谍软件，从而封锁危险的恶意软件。

　　人们把NAC称作防火墙后面的防火墙。一些人甚至认为NAC是统一所有的端点安全的一个途径，然NAC实际上却并非如此。

　　加拿大信息研究公司Info-Tech Research的安全分析师James Quin承认，NAC的应用起步很慢。他说，我不能说有很多机构正在实施NAC，但可以肯定许多机构并没有采用NAC的热情。

　　市场研究公司Yankee Group的高级分析师Phil Hochmuth称，由于许多原因，NAC的实施难度比许多技术人员的想象要困难得多。许多保护连接到公司网络的IP电话、打印机、非Windows计算机等不同设备的安全使这个问题非常复杂。

　　思科、Juniper、微软和可信赖计算组织提出了一个NAC标准，国际电气电子工程师学会也有一个NAC标准。缺少统一的标准损害了NAC的应用。还有漏报等一些可靠性的问题，这些问题把用户从网络上断开，并没有提高生产率。

　　Hochmuth最近对早期采用NAC的三家公司进行的调查发现，有两家公司赞扬这项技术制定的访问企业网络中安全部门的政策，但是，它们不太愿意使用这项技术封锁有疑问的设备。Forrester Research研究公司发现，在接受调查的企业中，只有4%的已经开始实施NAC计划的企业实际上完成了这个计划。

　　网络管理员和厂商还没有放弃NAC。但是，NAC的问题显示了端点安全不断变化的情况。

　　NAC最终将被某些主要的端点保护产品吞并，成为新一代安全平台的一部分。

　　据市场研究公司Gartner称，这个事情很难说是为什么。甚至最好的恶意软件特征数据库也会漏掉当时10%的威胁，大多数最好的恶意软件特征数据库捕捉到全新的威胁的比例还不到50%。两年前出现的McAfee Total Security产品把这些功能和其它一些工具都集中在了McAfee ePolicy Orchestrator控制台。其它安全公司也做出了反应，赛门铁克去年9月发布了“赛门铁克端点保护11.0”软件。

　　正如Gartner在最新发表的有关企业端点安全平台的研究报告称，竞争者的数量正在增加。这个领域传统的三大厂商McAfee、赛门铁克和趋势科技的市场份额为85%。BigFix、Bit9、eEye Digital Security以及微软和IBM等新的厂商正在进入这个市场。这些厂商正在把加密、防止数据丢失工具和NAC等功能集成到自己的产品中。

　　这些平台中的高级入侵保护功能包括深入数据包检查、异常协议检测、全面的缓存溢出和程序流控制保护，并且能够隔离潜在的恶意代码。对于网络管理员来说，这种多层次的解决方案有些是喜忧参半的。

　　例如，Gartner报告的共同作者Neil MacDonald指出，虽然微软最新的桌面客户端软件包括了一个防火墙，但是，这个防火墙并不是通过微软的ForeFront套装软件管理的，而是通过Windows Server服务器软件管理的。这是一个巨大的疏漏。

　　微软加拿大公司负责安全和管理产品的高级产品经理Derick Wong不赞成这个说法。他说，所有的安全和网络管理工具都是通过WinServer的系统中心操作管理器运行的。

　　Gartner的报告还指出，McAfee需要把它收购的技术集成到有解决方案中，同时批评赛门铁克的端点保护11.0软件与赛门铁克重要系统保护(Symantec Critical System Protection)和赛门铁克遵守法规管理(Symantec Compliance Manager)等软件功能重叠了。后者使用一个单独的管理和报告控制台。

　　由于许多这些解决方案都有NAC部分，机构也许会再一次看考虑一下NAC技术。由于NAC集成到了刚刚发布的Windows Server 2008的一个名为网络接入保护的组件中，NAC技术的普及可能会加快。

　　然而，NAP仅保护Windows Vista客户端软件，尽管Windows XP客户端软件插件很快就要推出。这使人们对NAC的前途有两种看法。

　　Hochmuth在研究了他的事例之后表示，他认为大多数机构把NAC当作是在用户得到批准之后的保护网络的技术。

　　但是，Forrester Research在一篇报告中争辩说，NAC确实属于端点安全技术。做得正确，它确实能够在对于在批准之前或者之后进入网络的设备和用户进行控制。

　　这篇报告的作者说，NAC有太多的单独的政策，从而导致政策的先后矛盾。尽管厂商在进行努力，NAC仍需要多种基础设施组件强制执行，一种是适用于外部用户的VPN，一种是适用于WLAN的政策，或者是适用于内部人员的以太网交换机政策。Forrester还指出，当前的NAC把重点过多地集中在了防御方面，而没有放在处理最新出现的威胁方面。

　　按照Forrester的观点，端点平台上使用的基于主机或者软件的NAC能够提供最佳的解决方案，因为它们能够利用这个防御武器库中的其它武器。这种全面的而不是以网络为重点的方法将是NAC 2.0的中心。

　　硬件和软件厂商今年也许会增加一些新功能，让NAC技术更加成熟。