提供临时用户(来宾)访问

厂商和临时用户(来宾)访问是许多公司颇感头疼的一个问题。在无线网络中这更是成为一个较难对付的问题。对这个问题的解决方案有很多,如隔离的客户访问VLAN,基于WEB的展示等,或者来宾根本就不能访问你的站点等等。采用NAC之后,就不用为临时用户的访问而苦恼了,临时用户只是需要顺从有关策略。以前这个过程完全是手工完成的,在设备被允许连接到网络上之前,通常需要花费几个小时。所有这一切都是为了避免显而易见的风险,不过对那些不太明显的风险该怎么办呢?

避免风险

在可实现的情况下,避免风险毫无疑问是一个巨大的改进。很明显,防止蠕虫的传播可以避免风险,不过如何对待日常的风险性操作?VoIP给安全团队人员带来的极大的压力,因为他们既要满足其需要,又要保护其安全。防火墙策略的一个错误就能够将整个组织的电话系统搞垮。一旦你的访问策略与NAC方案结合起来,你的防火墙将会少操一份心。

在购买一个NAC方案之前需要考虑的问题

对那些考虑采用某种方案的组织来说,不了解问题的方方面面对任何考虑采用某个解决方案的组织来说始终是一个问题。销售人员喜欢利用这一点。不要成为某些大肆宣传广告品的牺牲品。在向一个NAC解决方案投资之前,有几个问题需要考虑。

一个NAC解决方案假使你已经定义了一套高级策略集,如验证、安全、网络访问,等等。在预算的范围内,专业服务始终是有帮助的。

如果你考虑将身份验证与NAC方案结合起来,一定要理解你的身份验证方案的限制问题。例如,一个UNIX服务器之上的LDAP或NIS可能与桌面及微软服务器的活动目录方案无关。你的销售团队和内部技术团队需要团结起来讨论这些限制的影响。关于总体上的身份验证,验证策略在所要保护的网络的各个部分中保持一致性是很重要的。此外,你编写一些你的组织培训所依赖的文档资料也很重要。这些资料包括用户ID的终结时间、跨平台的功能性、或者已通过验证机制定义的访问,等等。

安全策略的制定是一场永远不可能终结的战争。其诀窍是在不损害业务关键过程的前提下执行操作。在实施一个NAC方案之前需要考虑的一个问题是一个NAC设备和防火墙的交互: NAC认为某次访问应该可用,而防火墙却阻止之,这会发生什么事情?很好地定义这些安全策略能够避免处理这些问题。

网络访问策略与你的网络是如何设计的有很大关系。随着企业的增长,那些没有细心设计的网络将产生许多网络访问策略有关的问题。

反过来说,设计糟糕的策略和增长处理过程将给网络的设计带来困难。为了正确实施一个NAC方案,需要设计一个祥细的最新的网络结构图。这虽然看起来很明显,不过千万不要过分低估一个销售团队的勤奋和执着。记住,多数销售团队会设法卖给你一个产品,然后快速地转到下一个客户。因此,购买专业性服务是保持其兴趣的好方法。此外,你可以从工程师那里得到大量实用的、特定领域的知识和经验,这可以为你节省许多时间。否则,另请高明。

用NAC保障网络安全

总体而言,一个NAC方案能够极大地改善网络的安全性。我们不应该低估实施一个方案的计划数量。你不但需要需要丰富的网络资源,还需要Windows、安全、桌面、公司策略创建团队的紧密协作。

实施一个NAC并不是简单地安装一个设备:必须对身份验证实现标准化,必须设置最小的桌面标准,后端的防火墙规则和网络设备必须与你的NAC方案保持一致,以允许策略服务器试图许可的访问。这些正是所有的组织奋力解决的问题。如果你的组织还没有最后确定这些问题,那么至少需要将其放到你的NAC项目计划中。一个NAC解决方案能够保持终端用户设备遵循策略,为临时用户提供一个安全简易的方法,使其能够访问你的网络,还使你可以审核网络中的用户访问活动,并使你更有效率。NAC还可以禁止蠕虫和病毒等恶意代码在网络中漫延扩展,从而有助于减少风险管理任务。

  1. 用网络访问控制(NAC)解决网络安全问题
  2. 网络上实施思科NAC五大步
  3. 网络接入控制NAC)中标准的重要性


共2页: 上一页12下一页

相关内容