科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理基于应用的网络访问控制(NAC)能够确保网络安全

基于应用的网络访问控制(NAC)能够确保网络安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

谈起网络访问控制(NAC),人们都认为它是一个复杂的、不断演变的并且有争议的技术。这要取决于你是听从哪家公司的了,一般情况是,Gartner公司已经拥有并推出NAC三年了;Forrester研究公司认为这项技术是良好的网络安全架构的一个关键组成部分。很可能正如你听到的那样,它是一个形状转换器,没有一个主要的标准。

来源:chinaitlab 2010年10月7日

关键字: 网络访问控制 网络安全

  • 评论
  • 分享微博
  • 分享邮件

  谈起网络访问控制(NAC),人们都认为它是一个复杂的、不断演变的并且有争议的技术。这要取决于你是听从哪家公司的了,一般情况是,Gartner公司已经拥有并推出NAC三年了;Forrester研究公司认为这项技术是良好的网络安全架构的一个关键组成部分。很可能正如你听到的那样,它是一个形状转换器,没有一个主要的标准。

  为了能够得到一些明确的思路,我们采访了三位已经部署了网络访问控制的用户。他们每个人都选择了一个不同的方法。第一种方法就是,NAC配置,走出大学里网络的安全遵从配置的主要动机。随着Central Michigan University (CMU)大学的IT人员更加倾向使用NAC,它们能够使大部分人能够访问网络,将一小部分局限在外。

  一个或两个蠕虫病毒

  当2003年,学校考虑为27000名大学生部署网络访问控制系统时,这个普通的大学确实有过真实的本地化的痛处。它并不想最终像Michigan State一样,Blaster和Nachi两个蠕虫病毒摧毁了这个地区的网络。它同时也没有保护好自己的防护线,阻止这个讨厌的蠕虫,必须要依赖有经验的志愿者。

  “我们关闭了所有宿舍的网络访问,然后集中学生避开,一次性进行学生系统修补,我们共有26个学生宿舍和公寓,” CMU大学主要校区的网络管理者 Ryan Laus说。

  为了防止入侵病毒,网络、帮助台和宿舍员工毁掉了携带最新Windows补丁和学校许可的杀毒软件包的1600多个CD。在不到三天的时间里,大约就有6000多个使用未打补丁系统及过时的防病毒程序的用户出现。另外还有800多个与病毒相关事件发生。因为并不知道是谁的系统被感染了,所以IT关闭了所有的网络,这引起了一部分同学的不满。

  这个大学希望有一个自动的流程能够在学生接入到CMU网络前检查他们的设备,如果发现哪个同学的系统被感染了,就要尽快隔离。来自Bradford Networks公司的一个基于配置的,或者“带外的”的NAC解决方案正好满足了这种需求。这家提供商针对这家大学制定了专门的校园管理解决方案,但是对于CMU来说, 最大的优势是,这个配置不必要放在inline。

  “我们有入侵防御系统,我相信我们还会有(WAN优化)Packeteer系统,所以没有必要增加其他的内嵌装置,” Laus说。“我们不希望在我们的网络上再增加新的链接。”如果带外系统毁坏了,那么它只能影响到在那个时候注册的人。在大学网络里的其他用户将不会受到影响。

  校园管理者需要管理、保护和控制大约17000个进入CMU网络的设备,学校在会议上已经加强了大学的网络认证和注册政策,其中包括快速认证、定位和追踪网络客户端、隔离危险用户和设备到检疫区。你可以在供应商的网站上案例研究部分阅读到CMU的故事。

  “这是一个非常容易的销售。你必须确保你的网络安全,” Laus提醒道。初步的开支大约是100000美元,这个大学使用了四个配置,并支持22000个许可。

  NAC安装的详细信息和课程培训

  NAC实施的口碑很差。它要比预测花费更长的时间,更多的成本。2004年,一名20岁左右的网络工程师Laus接到一个任务,向大学宿舍推出Bradford解决方案,这是CMU的最大宽带用户。Laus在六月份开始实施,并同时升级了一个楼内所有学生宿舍的交换机,他在八月完成了这个任务。

  “一旦我们在系统中添加了交换机,我们就可以使用系统推动配置更改,进而代替了手工的做些改动。这样一来工作就容易多了,” Laus说。

  执行起来是没有任何问题的。一些比较旧的交换机设备并没有像预期那样在系统中产生效果,“用户会发生一些冲突,” Laus说。在接下来的这个夏天里,这个问题得到了解决,这个大学更新了设备,能够更好的与NAC合作。

  在部署过程中,交流是非常关键的组成部分,Laus说。CMU计划在开学前使大多数机器进行注册,并提前通知学生注册需要的一些额外步骤。网络小组还需要通知帮助台,当“自助”措施失败时,让他们随时准备通知学生,同时,也需要安全人员以及在学校中心IT部门以外工作的技术人员随时做好准备,他们大多数都是教员。

  “我们的用户不希望有一些东西堵住喉咙,特别是教员,” Laus说。

  附加功能:监控宽带

  CMU的NAC系统随着技术的发展不断地演变。同学们必须要下载一个代理能够扫描到机器确保安全策略遵从,例如,IT部门在学生宿舍使用Campus Manager来加强宽带配额(每周5GB流量或者2GB下载流量),检测文件共享。

  超过了限制的用户将会被一个孤立的虚拟局域网(LAN)中,在那里他们可以进入到校园网络,而不是外部网络世界。该系统能够提供一些来自Recording Industry协会的警告。

  从某种意义上说,一些伴随着NAC部署的官员——高层管理人员经常产生迷惑,因为他们没有及时下载补丁——会遇到很多问题。如果是学生向连接到网络,NAC遵从是必须的前提。事实上,对于学校内的管理层人员和教员来说,正是因为它实施起来过于复杂,CMU已经实施了一个淡化的、代理式的NAC版本。

  “我们还没有一个真正的方式来处理进入的客户和企业发言人,为了完成这个任务,你不得不要求进入到校园网但还没有注册的那些人向帮助台求助,我们没有一些资源支持类似的行为,” Laus说。

  如果某个教员烧掉了某个虚拟化了的服务器,部门的技术人员将要通知给Laus, “我会将端口远离系统,并替换一个新的。”

  CMU里的两个层次的系统将会维持机子运行。学生被要求每个学期要重新注册。而并非只有教员和管理者这么做,Laus说。“这还需要花费30多分钟的时间说服人们这样去做,并找到一种方式即这么做了也不会干扰到用户。”现在,如果一个教员的机器即使不能满足遵从了,需要做的只是淘汰它。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章