Cisco NAC Appliance在基本执行方面取得了成功,但在高级功能方面却落后了

Cisco的NAC设备4.1(以前称为Cisco Clean Access)提供了像防病毒和补丁状态检查等基本NAC功能,但由于无法执行超出初始连接的评估检查,此空间中的许多其他供应商仍然仍然存在。

成本:定价从18,000美元开始,用于清洁访问服务器和Clean Access Manager。

思科Cisco的NAC Appliance 4.1(以前称为Cisco Clean Access)提供基本的网络访问控制功能,如反病毒和补丁状态检查,但仍落后于其他许多国家供应商由于无法在初始连接之外执行评估检查。

我们在2005年检讨了cca3.4除了增加抗病毒市场的覆盖范围和对Windows Update服务的新支持,我们无法指出两个版本之间的端点评估或报告区域的任何显着增强功能。思科的最大变化发生在授权/身份验证竞技场中,并使用Active Directory添加单点登录并与其Cisco VPN集中器产品集成。从执法角度来看,思科现在包括如果端点未能诚信检查,则包括启动修复程序的能力。这些添加都不是尤其创新,而是在测试的产品集中存在的功能。

该产品有两个主要的组件和代理软件。Clean Access Manager提供集中管理功能,而干净的访问服务器(CAS)提供分布式执行功能。您可以在网络上部署多个CASS,所有人都通过单一平台进行管理,这是测试NAC产品领域的相当典型的可扩展性标准。

如需测试,我们将设备运行CAS放在网络的访问和分配层之间,这是测试的典型产品。

许多其他的局域网-deployment选项是可用的,例如将它放在802.1x.基于网络的(参见如何在NAC建筑测试)或在带外运行,在那里它控制一个接入交换机。思科NAC Appliance还可以接入思科的VPN集中器,为远程访问用户提供姿态评估和执行,为用户提供单点登录。我们用IPSec只有。思科还声称SSLVPN集成。

通过Captive-Portal Web-Logon进程提供客人访问权限。当用户在成功身份验证后作为“客户”身份验证时,将这些用户放入为访客定义的适当角色,这决定了网络上所需的访问。

通过Active Directory获得身份验证,轻量级目录访问协议半径,802.1x或驻留在思科产品本身内的本地存储库。用于测试,我们配置与Active Directory的集成。此设置是测试的产品中最复杂的,我们必须更改我们的Active Directory环境以启用DES从AD的标准RC4加密。

与大多数NAC产品一样,如果身份验证是不成功的,出现“失败”消息,并且在成功时,会随后进行端点评估。

运行Cisco的Clean Access持久代理软件的终端会收到一个弹出窗口,要求它们提供身份验证凭据。如果启用了单点登录特性,则不会提示用户提供凭据。对于访客,专属门户用于登录和分发思科的可溶解代理。总体用户体验与其他测试产品不相上下。

思科NAC设备支持广泛的防病毒产品列表,从Ahn实验室到Zone实验室,以及Windows安全补丁。通过Nessus提供集成系统漏洞评估。可以使用自定义检查,易于定义,但难于使用。思科将所有可用的检查显示在一个长长的列表中,为了找到您想要申请的特定检查,滚动这个列表非常耗时。

仅当客户端首次连接到网络时,才进行姿态评估。思科Clean Access持久化代理是通过标准的企业工具预部署到终端系统上的,而可分解代理则是通过身份验证自动推出的。代理软件收集关于每个端点的最小信息——用户名、角色以及IP和MAC地址。我们注意到系统性能下降时,持续代理做它的姿态评估。即使只配置了一个代理,CPU使用量也会在短时间内达到90%以上。

通过限制访问或阻止访问提供强制和补救防火墙规则,更改带外部署外的VLAN端口或主动更改具有在线部署的数据包的VLAN标记,启动程序(仅限于本地系统),提供URL链接并与Windows系统更新服务集成要缺少Windows修补程序。

当系统在我们的测试中失败的姿态评估时,Clean Access代理会显示根据我们适用的策略规则配置的消息。在该消息中,用户点击按钮以在此实例中打开下载缺失软件的链接以下载丢失的软件Sophos AV。这一整体过程非常典型地测试其其余的产品。

使用基于Web的管理界面通过多步骤进程创建策略。虽然此过程允许一些灵活性,但在企业网络中是必要的,例如为不同的端点群体创建不同的策略组合的能力 - 这是一个需要一段时间来理解和留下大量错误的空间。单个检查由管理员为特定项定义,例如运行最新版本的Sophos AV。然后将检查组合成规则,例如一个说sophos的规则,迈克菲赛门铁克都是访问的最新。然后将规则映射到要求,例如AV软件必须运行。然后,您将要求分配给角色,例如确保所有“访客”系统运行具有当前签名的AV程序,但您不关心哪一个。

管理GUI虽然在总体设计和表示方面优于测试中的某些GUI,但并不直观。多层选项卡使得精确定位配置项的位置变得困难。文档——无论是纸质的还是在线的——都非常好,有助于快速回答问题。

在状态报告方面-你可以进入syslog检查当前连接设备的状态。思科还提供一个文本表,汇总分配给每个角色(例如隔离、雇员或承包商)的当前在线用户数量。

历史报道几乎不存在。您不能直接从产品报告姿势评估结果。姿势评估的细节以事件的形式提供,思科提供了一个API,可以将数据从思科NAC系统中提取到一个单独的分析工具中。您可以对数据运行查询,查找关于用户的大量详细信息,操作系统、IP地址和防病毒软件,但您不能导出结果以用于任何类型的图形报告。

思科提供了基本的NAC功能,但还没有进入后连接评估。我们测试的大多数其他产品在初次网络连接后都会定期提供姿势评估。


<以前的故事:检查点|下一个故事:同意>

了解有关此主题的更多信息

买方指南:网络访问控制

Jamey Heary的博客,作者思科南汽设备

思科警告NAC产品存在漏洞

01/04/07

加入网络世界社区足球竞猜app软件脸谱网linkedin对自己最关心的话题发表评论。

版权©2007足球竞彩网下载

工资调查:结果是