NAC访问控制:一个多维度的难题

以前的 12 第二页

大多数NAC产品并不真正了解访问控制。相反，它们有一些不透明的信息，比如VLAN ID或访问控制列表号，它们将这些信息发送到边缘交换机。这是一个细微的区别，但理解它很重要。

我们测试的NAC产品中有一半并不真正理解他们试图执行的访问控制规则。他们只知道如果有人是"员工"他们会得到权限控制清单117，如果他们是"主管"他们会得到权限控制清单555。

建立访问控制列表，确保它们是有意义的，使它们保持一致，将它们推送到边缘设备，并在更改是其他人的问题时更新它们，而不是NAC供应商。当我们仔细研究Avenda eTIPS、Bradford Network Sentry、ForeScout中和和Microsoft NAP时，这种不干预访问控制的方式是默认的操作方式，也是最适合企业部署的方式。

思科NAC Appliance、McAfee NAC和赛门铁克NAC也适用于企业，尽管这三家公司都有内联操作模式的选项，使您能够更好地控制访问控制。

阿尔卡特朗讯安全NAC, Enterasys NAC和惠普NAC更进一步，让您实际管理和控制其NAC产品的访问控制信息。注意到三者的共同之处了吗?他们都是交换机供应商。

你不只是在运行NAC产品;您同时还在运行它们的交换机管理工具。这就是为什么当涉及到访问控制时，他们有更多的能力，这就是为什么NAC访问控制不仅仅是不透明的数据块，而是真正有意义的信息。

在测试Juniper UAC时也是如此。由于Juniper销售防火墙，他们鼓励您使用边缘设备的有限功能以及防火墙中强大的访问控制，以提供更全面的访问控制集。

如果您是从强安全性的角度使用NAC，可以将访问控制合并到您的NAC部署中，以提供细粒度的访问控制推送瞻博网络UAC位居NAC产品堆栈的顶端，紧随其后的是阿尔卡特朗讯安全NAC、Enterasys NAC和惠普NAC。

决定访问控制

选择正确的产品的访问控制部分NAC项目确实可以归结为我们看着上面的三个问题:你的需要你的访问控制,你想强制访问控制,你将如何执行设备和南汽政策之间进行通信。

如果您的NAC策略非常简单，并且专注于端点安全遵从性，那么几乎任何一组访问控制都适合您。边缘设备访问控制列表是一个很好的开始，或者如果您有一个异常简单的网络和同样宽容的用户，VLAN交换可能就足够了。

任何你想要的产品我们测试会控制如果你认为vlan是充分的,网络NAC可能是个例外,它们主要提供访问控制,当一个设备没有被验证或合规,但步骤的方式当设备被认为是正常的。

firewall-esque NAC的如果你想要更多更仔细的区分终端用户或者有一个更为复杂的访问控制,那么你就需要去一个内联防火墙设备,比如那些与阿尔卡特-朗讯(alcatel - lucent)安全NAC Enterasys南汽,Juniper UAC,或者McAfee n - 450南汽设备,或者使用边缘交换机上的访问控制列表。

返回主测试。