妙用NAC改善网络安全(1)


近来,NAC(即网络准入控制:Network Admission Control)是一个非常流行的网络安全主题。虽然有许多人听说过这个词,不过仍有许多人并没有完全理解NAC是什么,以及如何利用它来改善其网络安全。

什么是NAC?

NAC是一种允许对某个网络进行访问的方法,它通过遵循安全团队帮助构建的一套标准而实现。它可以被用于多种设备上,从桌面设备到手持式PDA。它不是像防火墙那样盲目地限制访问,NAC试图将智能集成到网络访问中。现在可以选择的NAC方案种类很多,实施一个NAC解决方案的原因也很多。本文将简洁地讨论NAC的要领,并向你展示一个NAC方案如何有助于改善网络的安全性。不过,记住下面一点是很重要的:对于多数方案,正确地计划对于成功实施是极端重要的。

一个NAC方案的组成部分有哪些?

一个NAC方案有三个主要的组成部分:

终端用户设备
认证系统
策略服务器
当然,根据所选择的方案不同,组成部分也相应地有所变化。终端用户设备典型情况下会安装一个代理。终端用户设备上的NAC代理能够与策略服务器会话,这是一个方案的关键。下图显示了思科NAC设备(CNACA)的通信流快照:

上图描述了一个带内(in-band)和带外(out-of-band)设备服务器。这种方法确保了安全执行标准的最大化执行,不管你试图在何处登录网络,这是因为这个设备位于你和所需要的资源之间。没有什么方法可以绕过它。

NAC如何改善网络安全?

一个NAC方案能够帮助你改善网络安全的方法有好几种。事实上,通过使用NAC,你可以得到更高的效率。

强制遵从

网络和Windows系统管理员花费大量时间来解决如何强制终端用户设备遵循必要的Windows补丁、反病毒更新、防火墙设置等。几年来,使用过各种方法来保持病毒定义文件的最新,保障病毒扫描的运行,并且运用了最新的补丁集等。所有的这些努力都已经改进了网络的安全性,不过总有一些人为的因素会损害这个过程。例如,安全管理员可以使病毒定义文件的更新自动化,但是终端用户可以取消扫描或者禁用其代理。一个NAC方案能够保障保障用户必须遵循反病毒软件的更新。

隔离

除了强制用户执行、遵循安全策略,一个NAC方案还可以检测和隔离一个“不安全的”设备。如果你曾经以人工方式利用访问控制列表解决过蠕虫问题,你就会理解将某个设备隔离到一个预定义的VLAN中的重要性。这是从一个中心点执行的。

但效率并非只能从集中化中获得。一个NAC解决方案不但能够检测和隔离,而且还能够用恰当的病毒定义文件和补丁来更新设备,这样就能在允许访问设备访问你的网络之前,用一种最高最强的安全标准来设置设备,病毒和蠕虫将没有机会访问你的资源。如果你正确地设置了NAC方案,根据代理所报告的有关用户身份,用户将只能访问所需要的资源。


共2页: 上一页12下一页

相关内容