2010 网络准入控制NAC选型白皮书

NAC基于一个简单的理念：用户在网络中的操作权限取决于其身份及终端设备的安全性。NAC并不是一个单一技术的产品,而是一组技术的集合体,这些技术可能由一个厂商提供,也可能是基于多厂商的技术架构。但无论如何,目的都很明确,就是为了实现网络访问控制NAC。

2010 网络准入控制NAC

选型白皮书

NAC基于一个简单的理念：用户在网络中的操作权限取决于其身份及终端设备的安全性。NAC并不是一个单一技术的产品，而是一组技术的集合体，这些技术可能由一个厂商提供，也可能是基于多厂商的技术架构。但无论如何，目的都很明确，就是为了实现网络访问控制NAC。

要实现一个NAC解决方案，你需要通过日常的管理保护伞集齐三个特定的安全组件。首先是身份认证，其次是用户环境信息（其他方面的认证、用户终端安全状况等）。第三点也是最为重要的组件就是强制技术：确保用户在NAC策略下只能去到允许他们访问的区域。 纵观各种NAC产品，厂商与系统集成商认定了四种实现方式。这一份白皮书就这些方式进行了探讨并为大型企业网络上准入指出了关键的要点，意图在于为预想构建NAC平台的网络管理者们提供一份详尽的技术参考。

NAC基于一个简单的理念：用户在网络中的操作权限取决于其身份及终端设备的安全性。NAC并不是一个单一技术的产品,而是一组技术的集合体,这些技术可能由一个厂商提供,也可能是基于多厂商的技术架构。但无论如何,目的都很明确,就是为了实现网络访问控制NAC。

目 录

阅读概要.......................................................................................................................... 3

1. 强制技术的四种方式 ................................................................................................. 4

1.1 Edge Enforcement ............................................................................................ 4

1.2

1.3

1.4

2.1

2.2

2.3 In-line Enforcement .......................................................................................... 5 Hybrid Enforcement.......................................................................................... 5 Protocol-based Enforcement.............................................................................. 6 Edge Enforcement NAC ..................................................................................... 6 In-line NAC ...................................................................................................... 8 Hybrid Enforcement.......................................................................................... 8 2. NAC选型分析与指导 ................................................................................................. 6

2.4 Other NAC ....................................................................................................... 9

3. 结语.......................................................................................................................... 9

NAC基于一个简单的理念：用户在网络中的操作权限取决于其身份及终端设备的安全性。NAC并不是一个单一技术的产品,而是一组技术的集合体,这些技术可能由一个厂商提供,也可能是基于多厂商的技术架构。但无论如何,目的都很明确,就是为了实现网络访问控制NAC。

阅读概要

在NAC领域，Enforcement属于“控制”部分。在NAC产品中，有四种商业级别的准入方式：边界（Edge-based Enforcement）

混合（hybrid Enforcement）

在线（in-line Enforcement）

协议（protocol-based Enforcement）。

边界准入在网络边界使用设备，典型的是使用交换机，来实施接入控制。 在线与边界不同的是实施接入控制的设备不在网络边界，而是在网络的纵深处。 混合综合了边界和在线的技术。

协议准入使用基于网络的协议，通过改变Layer 3的一些服务来限制接入。

在任何一个NAC部署项目中，早期选型的确定是非常重要的。有5条关键准则可以帮助区分不同的准入方式，并能够确认到底哪一种是最适合具体网络的。 这5条准则是：

安全性（Security）、灵活性（Flexibility）、风险性（Risk）、可伸缩性（Scalability）、开销（Cost）。

安全性：NAC首先是一种安全服务，因此选取NAC准入方式最重要的标准就是强制技术的安全性。更高的安全性带来的是强制认证、限制认证前的网络接入，并且与设备的认证会话紧密绑定。在这个标准上，Edge-based Enforcement提供了最高的安全性。

灵活性：每个安全设计师都会要求所选择部署的产品有着最高的灵活性。被单一的功能套牢是非常危险的，并且会限制对突发事件和企业长远发展的响应能力。具有更高灵活性的NAC强制技术是更具吸引力的，尤其是那些与不断发展的安全技术相关的。由于Edge-based Enforcement和hybrid Enforcement提供了go/no-go 强制准入，基于VLAN的强制，ACL无关性和完全的包过滤，这两种拥有最好的灵活性。

风险：以务实、step-by-step的方式来部署NAC绝对会提高成功率。最好能够以细件（small pieces）的方式来部署NAC，再将这些细件与网络纯净地融合（merge it cleanly），在实施方案具有足够的稳定性和可靠性后再逐步提高安全等级。Edge方式具有最低的风险和最高的成功率，因为它在NAC的实施中允许简易的端口到端口（port-by-port）的通信（rollout）。（从某种程度上来说hybrid Enforcement也属于）

可伸缩性：对NAC来说，无法提供可伸缩性会造成潜在的危险。如果NAC停止工作，想象一下对公司的所有员工会造成什么影响。这就要求当网络调整的时候，NAC也应该顺利地做出相应的调整。Edge方式以及某种程度上说hybrid方式都会由于自身采用了分布式的强制环境而大大受益。商业级的交换机被设计为根据端口数目和流量级别提供特定的负荷，即便由于操作受限也不会成为瓶颈。而在线设备（in-line devices），尤其那些具有特定用途的计算机，则很容易成为整个系统的瓶颈。

开销：NAC应该撬动出那些已存在设备的价值。举例来说，NAC应该利用好那些已安装设备中的存在特性，比如802.1x认证、VLAN功能等。另外一点则需要依靠网络设备厂商的

NAC基于一个简单的理念：用户在网络中的操作权限取决于其身份及终端设备的安全性。NAC并不是一个单一技术的产品,而是一组技术的集合体,这些技术可能由一个厂商提供,也可能是基于多厂商的技术架构。但无论如何,目的都很明确,就是为了实现网络访问控制NAC。

力量（build on the strength of network infrastructure vendors），很多网络厂商都会积极地提高他们产品的安全性。在边界（Edge）上准入对开销有两点好处，一是利用率好（不需要新的强制性硬件），二是能够撬动交换机中内置的安全特性。

聪明的安全设计师在他们设计的解决方案中着力于提供高安全性，良好的灵活性，低风险性，预留的扩展性以及合理的开销。虽然每种实施方案都不一样，企业的需求通常 …… 此处隐藏：7249字，全部文档内容请下载后查看。喜欢就下载吧 ……