没有哪个网络是无懈可击的:恶意软件不断潜入,无论是通过移动员工、访客或者承包商的笔记本电脑,还是通过下载可疑内容的最终用户。网关处或者桌面电脑上的反病毒软件有助于你控制计算机,但访客和没有得到管理的服务器仍然问题重重。咱们还是实话实说吧:有时候,攻击者就是比我们聪明。可不,连遵循最佳实践的公司同样遭到袭击。
我们所指的不仅仅需要安全方面的最佳实践。保护网络远离恶意主机最终是一项桌面管理功能。NAC的作用就是强制实施你的安全策略,提供一种执行机制,有助于确保计算机配置合理。如果IT人员权衡了众多因素,比如用户是否登录、他所用计算机的补丁级别;反恶意软件或者桌面防火墙软件是否安装、运行、版本最新,就能确定要不要根据情况来限制对网络资源的访问。如果某主机没有符合你定义的策略,就被引导到补救服务器,或者放到访客虚拟局域网(VLAN)上。
还记得Slammer病毒吗?假若企业采取如下策略——一旦发现运行MSDE 2000的主机未打上补丁,就拒绝其访问网络,那么Slammer病毒带来的可怕后果就会小得多。
虽然NAC大有希望,但它并非灵丹妙药。解决Slammer病毒的方案是要么给易受攻击的系统及时打上补丁,要么从网络上移除访问MSDE的权限。但如果你的NAC系统没有检查MSDE等应用系统及其补丁级别,就无法阻止易受攻击的节点访问网络。
总体架构
所有NAC产品都有三个基本部分:访问请求者(AR)、策略决策点(PDP)和策略执行点(PEP)。请参阅下面的“总体NAC框架”图。厂商们对这些部分使用各自的名称,但我们使用可信计算组织(Trusted Computing Group)下属可信网络连接(Trusted Network Connect)工作组定义的术语,因为它们相当清楚。
框架总结
|
思科网络准入控制 |
微软的网络准入保护(NAP) |
可信计算组织的可信网络连接(TNC) | |
|
主机评估 |
思科可信代理(Cisco Trust Agent)将用于Longhorn之前的Windows和Vista以及Red Hat企业版3/4 |
微软的NAP代理和802.1X请求者是Windows Longhorn和Vista的一个部分。其他厂商可以使用微软的应用编程接口(API)来创建系统健康代理(SHA),并集成到NAP框架。该厂商负责SHA与NAP客户端如何进行通信、传送什么。举例说,不需要自我评估和实时变更通知。 |
TNC规范可处理AR和PDP之间的通信,还能处理软件与TNC AR如何通信。另一个系统负责进行评估。 |
|
验证 |
证书和评估数据发送到访问控制服务器(ACS)以便验证。ACS把它们发送到微软的网络策略服务器。ACS根据来自网络策略服务器(NPS)的响应来选择策略。 |
NPS与外部策略服务器(如反病毒和补丁管理系统)进行集成,评估主机的健康状况。 |
TNC开发的协议和API指定了各组件如何通信。 |
|
执行 |
思科硬件负责执行访问控制服务器发送的访问策略。 |
允许或者拒绝主机访问虚拟专有网(VPN),或者与外部系统进行集成,可能同时会有隔离机制。 |
TNC开发的协议和API指定了各组件如何通信。 |
|
合作伙伴计划 |
思科有庞大的合作伙伴计划,许多知名的产品厂商参与其中。思科和微软都声称,除了NAC/NAP计划外,它们还将支持各自的合作伙伴计划。微软计划让合作伙伴迁移到Longhorn和Vista的新API。 |
微软有庞大的合作伙伴计划;与思科不同,它还拉拢了许多基础设施厂商。微软还似乎是思科和可信网络连接工作组的强大合作伙伴。 |
规范现在可供下载。TCG的成员可以参与该工作组。微软发布了面向TNC规范的健康状况(Statement of Health)协议。 |
|
互操作性测试 |
思科的NAC计划借助收购了KeyLabs的AppLabs进行互操作性测试。预计NAC合作伙伴会开发及测试各自的产品。 |
微软还没有互操作性测试计划方面的打算。 |
TNC正在规划将来的兼容计划,但它在这个问题上却保持了沉默。 |
PDP和PEP的单独功能可包含在一台服务器上,也可分散在多台服务器之间,这取决于厂商的实施方案;不过一般而言,AR负责请求访问,PDP负责指定策略,而PEP负责执行策略。
AR是试图访问网络的节点,它可以是由NAC系统管理的任何设备,包括工作站、服务器、打印机、照相机及具有IP功能的其他设备。 ARM可能自行执行主机评估,也有可能由另外某个系统来评估主机。不管在什么情况下,AR的评估结果发送到PDP。PDP是核心部分。根据AR的状况和公司定义的策略,PDP确定应当授予哪种访问权。在许多情况下,NAC产品管理系统可能充当PDP。PDP常常依赖后端系统(包括反病毒、补丁管理或者用户目录),以便帮助确定主机的条件。举例说,反病毒软件管理器会确定主机的反病毒软件和特征版本是不是最新,然后通知PDP。
一旦PDP确定运用哪个策略,就会把访问控制决策传送给PEP以便执行。PEP可能是网络设备,比如交换机、防火墙或者路由器;可能是管理动态主机配置协议(DHCP)或者地址解析协议(ARP)的带外设备;也可能是AR上的代理本身。
| 共4页: 1 [2] [3] [4] 下一页 | ||||||
|
|
· 防患于未然 九项不用花.. · 提高警惕 勿让僵尸蚕食.. · NAC安全访问控制 · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 如何安全运行从网上下.. · 安全专家浅谈面向业务.. · 双击电脑硬盘驱动器无.. · 提升安全性Win XP必禁.. · 信息系统安全技术--安.. · Vista服务安全10大策略 |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · iSCSI应用与发展 · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 |
· 病毒查杀专题 · 国际文档格式标准开战 · Linux防火墙 · 路由器设置与口令恢复 · 打造安全服务器 · SOA 面向服务架构 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 |
|||
