我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问控制 >

网络访问控制(NAC)解决方案指南

归档日期:04-24       文本归类:访问控制      文章编辑:爱尚语录

  随着网络访问控制(NAC)市场继续在发展壮大,我们分析了现代NAC解决方案具有的主要功能,以及企业组织在选择和实施NAC时应该留意的一些方面。

  网络访问控制(NAC)继续以越来越快的速度发展壮大,那是由于支持它的那些技术终于得到了长足发展,实现了这一承诺:在各种类型的设备上都能做到真正有用的访问控制。据知名调研机构加特纳集团(Gartner)声称,NAC市场在2014年增长了36%;据估计,该市场在2015年会继续另外增长20%。今天我们不妨分析一下大多数顶级NAC解决方案具有的主要功能,以及它们可以为可能实施的企业提供什么样的好处。

  NAC这个术语及随之带来的市场已经存在了一段时间。许多人在交流中时有耳闻,但是它在各种类型的设备和用户上提供完整解决方案的功能却常常局限于硬件及/或软件方面的特定限制。

  老式NAC提供了实施策略管理服务器的功能,而服务器规定了身份已知的用户和设备在特定网络上能够从事哪些活动,通常使用IEEE 802.1X。这包括这一功能:根据企业制定的策略和程序,实行网络限制,另外满足某些政府监管法规所提出的要求。它还提供了根据当前的操作条件限制设备的功能;比如说,设备的操作系统是不是打上了最新的补丁?有没有安装一款有效的防火墙、反病毒及/或反恶意软件解决方案?有没有安装任何受限制的应用程序?

  这类解决方案的一大制约在于,它们通常受制于已安装特定操作系统的设备及/或能够安装随附NAC代理的设备。这方面的一大制约因素是IEEE 802.1X标准的设计本身。IEEE 802.1X要求,终端设备要安装功能强大的客户端(supplicant),用来与中央验证服务器进行通信。这种解决方案还要求,没有安装及/或支持客户端的那些设备(包括打印机及其他网络外设)要有一种旁路机制(bypass mechanism)。

  现代NAC设备大大增强了其前一代产品的功能。其中一些增强的功能包括如下:

  无代理操作――老式NAC系统与现代NAC系统的最大变化之一在于,后者能够支持无代理操作。功能方面的这一个变化就大大增强了解决方案的灵活性。受到支持的设备不再仅限于运行只能在最流行的操作系统上才能运行的IEEE 802.1X客户端或专有代理的那些设备。(请注意:这并不意味着IEEE 802.1X就无法使用,因为检测和验证并不仅限于那些受到支持的设备和操作系统。)

  扩展的策略功能――虽然老式解决方案在为一组有限的支持代理的客户机提供策略选项方面做到很到位,但是它们仅限于一组特定的客户机(通常是IEEE 802.1x/受到支持的代理)。由于无代理操作,NAC支持数量更广泛的设备,因而增加了可以支持的不同政策扩展的数量。这包括:能够实时地监测控制用户/设备/应用程序进行的操作,及/或允许在网络上进行何种操作。这可以通过建立上下文配置文件来实现,该配置文件包括每个用户及相关设备、使用的应用程序、端口、联网设备等方面。

  上线支持――可能需要IT人员花大量时间的任务之一就是,配置接入到网络上的新设备。由于要支持自带设备(BYOD),这方面的任务大大加重了。现代NAC提供了通过可配置门户网站,自动配置这些设备的功能。

  扩展的访客管理――对某些企业来说,其操作的一大方面就是处理访客如何能够访问网络资产,又不泄露专有资源。大多数老式NAC设备提供了限制访客所能访问的资源这一功能。现代NAC设备在此基础上有所增强:允许访客通过获得内部授权而暂时访问特定的内部资源,同时又能够受到NAC的密切监控,确保没有出现异常行为。

  扩展的配置文件支持――老式NAC设备提供了使用通过验证的用户信息来识别设备这一功能,但这个功能通常很有限,因为以特定用户名登录的设备将被赋予与登录到另一个设备的同一用户一样大的权限。要是另一个设备是个人设备,这可能是个问题。现代NAC提供了这种功能:利用可用信息构建详细的配置文件,这些信息包括用户名、验证状态、电子邮件地址、IP地址、MAC地址、主机名称、设备类型、操作系统、反病毒和用户/设备行为及其他信息。

  比如说,用户可能被分配了公司笔记本电脑和个人手机。现代NAC就能够更改每个设备的访问权,不管访问两种设备的是不是同一用户:笔记本电脑可以访问所有的内部资产,而手机只能使用电子邮件、接入互联网。

  扩展的端点合规――现代NAC增强了许多老式解决方案的针对特定代理的合规性。这意味着,不需要代理,就能够完成一些任务,比如检查设备健康状况(补丁级别、安装及更新的病毒扫描工具,安装及更新的反恶意软件扫描工具)、更新的软件应用程序以及检查受到支持的外设。

  高级威胁防护(ATP)及缓解――现代NAC的一项重要功能就是,能够包括或关联高级威胁防御及缓解系统。由于NAC监控网络上的用户和设备,它们还能够有望检测它们的行为何时偏离了预期行为。然后,可以自动缓解这些行为,不需要IT支持人员的干预。

  扩展的监控和报告(可见性)――无论老式NAC还是现代NAC,任何优秀NAC的一个方面在于,能够监控受监控的网络用户和设备的操作,并且报告发现的状况。现代NAC增强了这项功能,能够借助简单视图,并通过众多的报告选项,查看网络、各个用户的行为如何。

  扩展的系统整合和互操作性――任何现代NAC的一个方面部分在于能够与其他关联系统协同发力。众所周知,IT环境拥有众多不同的系统,这每个系统在各自擅长的方面做得很好,可是在其他方面做得并不好。大多数现代高级NAC提供了与许多其他这些系统协同发力的功能。至少,它们应该支持与下列类型的系统进行整合:移动设备管理(MDM)、安全信息和事件管理(SIEM)、下一代防火墙(NGFW)以及数据库服务器(比如LDAP(AD)、OracleMySQLSQL Server)。

  如今,NAC技术终于实现了它最初被人讨论时许下的承诺。借助现代NAC,企业组织能够密切监控连接至企业网络的每个设备,通过许多不同的策略控制它们访问网络的功能,并且一旦发现特定的事件偏离用户及/或设备类型的正常范围,就阻止设备访问网络。这种系统具有的潜在优点不可低估。但愿本文让你大概了解了借助这些新系统有可能实现什么。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

本文链接:http://shawntierney.com/fangwenkongzhi/199.html