网络访问控制管理:选择你的毒药

在测试12个NAC产品时，我们发现了令人难以置信的各种管理风格。为了组织我们的结果，我们将事情分为三个主要类别:全面管理、控制分离和高可用性。

在测试12个NAC产品时，我们发现了令人难以置信的各种管理风格。为了组织我们的结果，我们将事情分为三个主要类别:全面管理、控制分离和高可用性。

NAC:哪里出了问题?

如果我们只是基于简单获得奖品,思科南汽设备,ForeScout抵消和惠普NAC会立即跳转到列表的顶部,因为所有的作品都易于使用,易于学习接口,让您快速启动和运行,并提供强大的可见性正在发生的事情。

其他产品更复杂，但也更强大。例如，当我们开始学习使用Juniper UAC时，有一天早上，我们花了整整一个小时画了一幅图，试图把所有的碎片放在一起。这是一套复杂的产品。有中央管理工具、独立设备管理界面、入侵防御系统，以及基于web的UAC GUI本身。把所有这些都放在一起很难，但把Juniper打倒似乎不公平，因为它的产品有很多可选部件。

Avenda eTIPS是另一个功能丰富的产品的好例子，正因为如此，你最终会得到一个复杂的用户界面。在Avenda的例子中，管理系统尽可能的简单，但仍然提供我们需要的所有能量。

最后，我们考虑了两个管理标准:使用有多困难，以及网络的NAC状态给了我们多大的可视性。

有些失望

有些产品有严重的缺陷。阿尔卡特-朗讯的SafeNAC并不是一个单一的产品;这是他们的管理系统的一系列特性，他们的交换机和InfoExpress的CyberGatekeeper共同充当了一个NAC解决方案。当然，这两家公司合作得很好，但管理层非常松散。

布拉德福德网络哨兵的管理系统同样令人失望。配置几分钟后，我们发现自己迷失在弹出窗口、新标签和子窗口中。有时，我们会点击一些东西，然后在同一个窗口中得到一个新页面。其他时候，我们会在同一个窗口中得到一个新标签，其他时候我们会得到一个完全不同的窗口。在我们的测试中，我们期望从最古老的NAC产品中得到比这更好的结果。

这些问题可以解决吗?当然可以。设计糟糕的GUI不能成为抛弃好产品的理由。就NAC而言，设计糟糕的管理系统更多的是一种常态，而不是例外。

可见性的赢家

NAC管理中一个更重要的问题是“可见性”，即网络管理器能够快速和容易地获得多少关于网络上正在发生的事情的信息。

在这一领域，有三家明显的赢家:ForeScout中和、惠普NAC和Trustwave NAC，紧随其后的是McAfee的网络安全经理。他们都擅长提供关于用户的实时信息。

在NAC产品的设计中，当前操作的可见度问题遇到了一个关键的矛盾。在测试的其他部分，我们赞扬了采取“放手”方式的产品，使用诸如802.1X等标准将访问控制信息推送到边缘设备。这些产品本质上对NAC操作的能见度最低，因为它们只与边缘设备松散耦合。

但是，在测试的这一部分中，大多数产品都因为缺乏可见性信息而失分。由于惠普NAC与惠普交换机管理工具紧密耦合，它在弥合这一差距方面做得很好，Enterasys NAC也是如此，但这些都是单一厂商的例外。

其他亮点

在事务日志记录方面，Avenda eTIPS远远超过我们测试的其他产品。当有人试图进入网络时，能够详细地看到发生了什么，这种能力令人惊讶地有用——这是我们在其他产品中错过的。

Bradford Network Sentry和Cisco NAC Appliance让我们可以看到网络，但它们更以交换机为中心，而不是以用户为中心。拥有关于设备和移植的大量细节是一项重要资产。但是，我们认为，一个典型的求助台呼叫来自于一个在登录时遇到问题的用户，而不是一个知道他们所使用的交换机和端口号的用户。这使得我们从Bradford Network Sentry和Cisco NAC Appliance得到的可见性，如果你是一个网络管理员，但如果你在帮助台工作，就不那么好了。

McAfee和赛门铁克都对系统的端点安全态势具有突出的可见性，这是另一个强大的优势。他们失败的地方在于向我们展示了整个NAC系统是如何工作的。

谁是这里的负责人?

我们使用术语“控制分离”来考虑关于NAC产品的一个难题:它们与实际组织的集成有多好?考虑一下NAC的做法。它对最终用户进行身份验证，这通常是一个目录函数。它改变了网络的行为，这是网络团队负责的事情。它实现安全策略，这通常是安全团队的职责范围。NAC经常评估终端安全遵从性，这是Windows或桌面团队负责的。

在许多组织中，这些团队不仅完全不同;他们可能向组织的不同部分报告，可能在不同的邮政编码，甚至是不同的时区。通常情况下，他们可能会极力维护自己的责任。在小型网络中，或者那些拥有非常良好集成团队的网络中，将所有内容捆绑到单个接口中的产品(如Forescout中和、微软NAP、赛门铁克NAC或Trustwave NAC)可能效果最好。

在组织结构混乱或政治激烈的情况下，成功的NAC部署可能需要一种将安全、网络管理和终端安全检查广泛分离的产品，如Alcatel-Lucent SafeNAC、Avenda eTIPS或Enterasys NAC。

评估产品将管理划分为不同部分的能力，在很大程度上取决于您计划如何部署产品，以及您在组织中发现的团队之间的信任级别。

一个很好的例子是McAfee NAC的ePolicy Orchestrator和N-450设备的组合。这是两个完全独立的工具，尽管它们可以很好地协同工作，因此当桌面团队与网络和安全团队完全断开连接时，这是一个合适的解决方案。然而，N-450对网络是侵入性的;在用户身份验证期间，它是一个内联设备，需要能够更改交换机配置。只要网络团队乐意把这个盒子插到他们的交换机上，那么每个人都会相处得很好。

但将McAfee的方法与思科的NAC Appliance进行比较。NAC设备可以在带内或带外运行。虽然与McAfee相比，思科的终端姿态检查充其量也只是最原始的，但大多数思科部署都希望打破控制，以便桌面团队首选的产品能够真正判断是否符合要求。

有些产品允许您单独控制，但如果您不需要，则将其控制在单个产品内。例如，Avenda eTIPS、Enterasys NAC、Juniper UAC都可以使用Microsoft NAP客户端进行端点安全检查，有效地将端点安全控制从产品中推出。但如果您不想进行分离，它们也有自己的端点安全遵从性工具。

Juniper UAC还让我们将安全控制和配置从网络配置中分离出来，让我们可以在Juniper UAC产品本身或接收UAC服务器指令的终端设备上配置安全策略。这种跨越不同组织线的产品分解能力是Juniper UAC和Enterasys NAC应该在您的短列表上的原因之一，如果对产品的每个部分进行控制分离很重要的话。

在您自己的组织环境中，尽可能诚实地检查控制分离的问题对于确保NAC项目的成功至关重要，并且可能会主导选择什么产品的决定。

可伸缩的和可用的

我们没有机会测试NAC产品的性能、可伸缩性或高可用性。相反，我们询问了每个供应商，他们将如何扩展到大型网络并确保高可用性。

这些故事既令人信服又深思熟虑。尽管在某些情况下(如来宾无线网络和一些VPN环境)，内联的NAC实施仍然是一个流行的选项，但我们测试的所有产品都具有非内联的操作模式。

很明显，如果您将一个设备放在线路中，可能会出现一些严重的中断工作的故障。当它是一个真正的网络设备时，失败就不是什么问题了。例如，如果您使用来自Alcatel-Lucent或Enterasys或Juniper防火墙的交换机作为内联强制器，则可以依赖它们的集群或故障转移技术来减少严重中断的可能性。

唯一有漏洞的系统是McAfee的N-450设备。N-450进行VLAN标签交换，只有当网络上有新设备时才会进行内联，因此漏洞窗口很小——如果N-450失败，只有新的连接会受到影响。

强制执行的可伸缩性也不是真正的问题，尽管ForeScout中和Trustwave NAC对所有流量的镜像要求和注入数据包的能力让我们在整个测试中感到不舒服。两者在我们的小网络中都运行得很好。然而，我们已经看到了许多网络拓扑，特别是具有嵌入式防火墙的高度冗余的网络拓扑，在这些拓扑中，您最终将购买大量设备来实现此功能——如果您能够使其工作的话。

如果您听到一些NAC反对者的早期争论，基于内联强制的要求，我们认为您将发现许多既支持高可用性又支持高可伸缩性的选项。

返回主测试。