布拉德福德Networks的NAC导演直接控制网络开关流
Bradford Networks的NAC总监采取了一种与大多数测试产品略有不同的方法。它提供了基于端口的NAC功能,不需要升级整个网络基础设施来支持802.1X。
Bradford Networks NAC主管
成本:1000名用户可获得32185美元
分数:3.55
Bradford Networks公司的NAC总监是一款基于嵌入式设备的产品,它在网络访问控制方面采用了与大多数测试产品略有不同的方法。NAC Director提供基于端口的NAC功能,不需要升级整个网络基础设施来支持802.1倍。
该NAC主任连接到网络的接入交换机(支持的交换机的名单,可以发现在这里),监视连接活动并在必要时采取控制措施。NAC控制器还可以在标准802.1X环境中工作,因此公司可以从交换机控制的NAC部署开始,然后在基础设施升级后迁移到802.1X。
锁定网络的执行器是唯一一个通过这种方式直接控制交换机来工作的产品。另一些则依赖于自我强制代理软件,或在网络上放置一个在线设备,动态更改虚拟LAN标签或应用防火墙阻止交通的规则。
通过使用一个SNMP连接或使用交换机的命令行接口直接登录到它,NAC主管监视新的连接和状态更改(例如连接向上或向下),分配特定的连接到vlan,并在必要时阻塞访问。所有这些操作都根据NAC Director中定义的用户角色和NAC策略来执行。
在测试中,我们始终收到预期的网络连接和访问拒绝。也就是说,我们没有在NAC连接后面运行大量的网络流量来测试设备通过噪声的能力。这种方法更大的顾虑可能是说服网络工程师让第三方产品在其权限范围内对gear进行直接配置更改。
可以在每个交换机端口的基础上启用监视和执行职责,因此管理员可以选择交换机上的哪些端口为NAC连接启用,哪些端口不启用。我们在Cisco 3750交换机上配置了几个端口来执行NAC策略,并将其余端口保留为未执行端口。NAC Director如预期的那样工作,“忽略”未实施的端口,但是正确地识别和实施任何不符合规定的系统——例如没有运行我们批准的防病毒客户端的系统——连接到实施的端口。
将NAC主管连接到测试局域网环境是一个非常简单的过程。我们将设备配置为与我们的思科通过提供SNMP社区字符串和命令行的认证信息进行切换。然后,设备会读取所有从交换机必要的信息,我们已经准备好去。为了进行测试,我们使用SNMPv1的连接,但也布拉德福德支持SNMPv3的加密和认证的通信。
安装远程虚拟专用网连接是一个比较复杂的,需要我们在实验室配置Cisco VPN集中器内的特定群体,以使远程用户的NAC实施。无线访问点也可以管理,但在理想情况下,NAC主管希望控制无线访问点或无线网络交换机。如果无线网络基础设施不支持这一点,Bradford有一个解决办法,把无线通信放在一个单独的VLAN上。
支持主要的身份验证源,例如Active Directory和轻量级目录访问协议对于LAN连接,而半径用于验证来宾用户。测试中使用了Active Directory身份验证,安装过程很快,没有问题。
对于授权,所有用户角色都在NAC控制器设备中定义。然后将这些角色映射到用户组。在我们的测试中,我们将用户组从活动目录导入到NAC Director,然后将NAC Director中的employee角色映射到activedirectory中的employee组。使用此配置,任何访问网络的员工都被分配到员工VLAN,然后强制遵守在NAC Director中的employee角色中定义的策略。
这与活动目录集成使一个组织从复制NAC主任的组织结构,这就是为什么它赢得荣誉的身份验证和授权功能。
NAC主管包括可解散和持久的客户端软件终结点评估。在我们的测试中,两者都没有对客户机-系统性能造成明显的影响。持久性客户机的分布通过常规的企业工具进行,例如微软的短信。
访客用户通过专属门户访问网络,并自动接收可分解代理,以便进行评估。已知用户可以通过Web门户登录,或者管理员可以使用域登录/注销脚本在后台对他们进行Bradford设备的身份验证,从而实现单点登录功能。
对于终结点评估,NAC Director提供了从Avast到eTrust的受监视防病毒产品的广泛列表,因此检查防病毒状态是一项简单的任务。我们用该产品配置了Sophos AV check,它按预期运行,并且允许客户端进入网络。系统修补程序、service Pack和关键安全可以通过指定首选项来检查补丁。我们对缺少关键安全补丁的Windows XP系统进行了检查,根据我们的策略,机器被放置在隔离VLAN上。
Windows防火墙是NAC Director开箱即用监控的唯一个人防火墙。但是,Bradford确实提供了一些工具来构建对注册表项、文件、修补程序和客户端系统上运行的特定进程的自定义检查。漏洞评估扫描(如Nessus、Qualys或自定义扫描)可针对端点系统运行以识别漏洞。”
当某些其他类型的网络状态发生变化时,如随后恢复的断开链路,或按日期或重复的时间间隔安排,这些检查都可以在初始连接时进行。此外,所有系统的结果都可以定期清除,以便重新评估设备安全性。Bradford还集成了Tipping Point、ISS、Nitro Security、Lancope和Stonesoft的IDS/IPS解决方案,以在网络边缘自动实施连接后策略。
如果任何评估检查失败,Bradford的主要补救方法是将违规用户置于隔离VLAN上。一些直接操作可以强制在有问题的机器上,例如启动窗户防火墙或强制Windows更新服务同步,以应用丢失的补丁。但是,最常见的情况是,用户将看到一个Web页面,其中详细介绍了管理员提供的必要站点的信息和链接,以纠正所发现的问题。提供采取更直接操作(如运行脚本)的能力在其他产品集中很常见。
NAC控制器通过基于Web的Java GUI进行管理,该GUI要求在任何管理员的计算机上创建Java策略文件。GUI不是很直观,有时很难导航。许多函数都是通过javaapplet执行的,因为它们是单独加载的,每个都需要几分钟才能启动。NAC控制器对交换机端口配置有很好的视觉效果,这可以大大简化推动VLAN更改的过程。只需选择端口并更改分配给它的VLAN编号。
NAC Director收集有关连接系统的有用数据,包括用户、IP、,操作系统,NIC信息和什么样的政策检查的是系统的检查结果一起运行。报告这些信息,并采取但是是挑战,因为最小的报告功能NAC动作是可用的,哪些是可以不一致。
当我们试图运行一个显示注册级别的报告时,GUI被锁定了。我们能够成功地运行关于补救行动的报告。在这个报告中,我们可以看到显示系统失败的策略的信息,但是不能看到对设备执行了什么补救措施。
总的来说,我们可以得出这样的结论:Bradford的产品可能很适合大型网络环境,这些环境既需要强大的身份验证功能,又需要关注用于NAC实施的VLAN更改。
接下来的故事:检查点>
了解有关此主题的更多信息
买方指南:网络访问控制
Bradford Networks推出NAC设备01/24/07
开源群集围绕着NAC2007年3月29日
版权所有©2007足球竞彩网下载