赛门铁克(Symantec)以其覆盖范围之广,在NAC中独占鳌头
没有什么灵丹妙药能把赛门铁克的网络访问控制放在首位。相反,它在部署选项、终点评估和灵活的政策创建等领域的覆盖面之广,使竞争对手略胜一筹。
赛门铁克网络访问控制
成本:$18,009 1,000用户
分数:4.48
赛门铁克网络访问控制(SNAC)是从2005年收购Sygate公司获得的终端安全技术发展而来的产品。在我们的评估中,没有什么灵丹妙药能让赛门铁克位居榜首。相反,它在部署选项、端点评估和灵活的政策创建等领域的覆盖广度上战胜了竞争。
SNAC包括两个主要组件——策略管理器和执行器。策略管理器是执行所有策略设置的中央管理服务器。强制执行器是执行端点评估和强制执行的分布式设备。可通过三种方式部署执法者:局域网(802.1倍)、网关(内联)和DHCP集成(作为设备或设备交付微软DHCP插件)。设备可以作为任何强制器类型运行,但不能同时作为多个强制器类型运行。例如,它可以作为内联网关部署,也可以在启用802.1 x的局域网中使用,但不能同时使用。可以部署多个强制器来提供高可用性和冗余。
为了测试,我们在测试be网络的访问层和分布层之间部署了网关Enforcer 1U设备。
被赛门铁克称为OnDemand的专属门户为访客用户提供支持,并提供基于浏览器的一次性代理,用于身份验证和评估。远程访问可以通过以下两种方式得到支持:在远程访问终止点后面放置网关强制器,或者赛门铁克提供与某些终止点的API集成SSL和IPSecVPN产品——比如avited,检查,思科,瞻博网络和北电网络——提供评估端点的能力,作为授予网络访问的远程访问系统的条件。这两种情况都需要赛门铁克的代理软件在远程计算机上运行。
为了进行测试,我们还在Cisco VPN集中器后面部署了网关强制器,并设置了赛门铁克的按需组件来提供专属门户,这是一个用于没有安装NAC代理的远程设备的场景。
用户身份验证可以通过SNAC策略管理器的本地用户帐户进行,也可以通过与Active Directory的集成进行,轻量级目录访问协议或半径后端。同样地,用户组是在SNAC内部定义的,或者与从现有存储库中提取的用户信息一起导入。为了进行测试,我们将SNAC配置为在没有问题的情况下访问我们的Active Directory用户和组信息,并且对于我们测试台上的Windows客户端,这种集成允许单点登录功能和受nacl保护的网络连接。
不需要评估的设备,如打印机和UPSes,可以通过将其IP地址范围排除在评估之外。
端点评估由持久代理(由标准软件分发工具部署)或按需代理(根据需要通过上面描述的自留门户运行)执行。可以根据每个策略设置评估时间,时间间隔从几分钟到几天不等。
在这些评估过程中,会收集关于端点的比标准信息更多的信息——用户、IP地址、MAC地址、域和一些计算机信息,比如什么应用程序在那里居住。
关于防病毒和个人的开箱即用的报道防火墙产品强大,支持各领域的一线和二线供应商。它们包括迈克菲、趋势科技、熊猫、ZoneAlarm和国际空间站)。赛门铁克嵌入了自己的一些补丁检测软件,但是您需要配置Microsoft知识库号,它提供了良好的粒度级别。针对补丁或基于关键度的内容(如与Windows Server Update Service集成)的复选框将是该产品的有用补充。
自定义评估检查是由一个if/then树定义的。例如,您可以将检查定义为某个不符合的流程正在运行。然后指示SNAC获得一个系统时间戳,并运行一个脚本来杀死有问题的进程。这提供了很大的灵活性,但是要真正利用这些功能需要一些学习过程。
可以通过使用赛门铁克的扫描扫描仪进行漏洞评估,该扫描仪可以作为端点的一个组件合规评估。SNAC不提供识别主动感染设备的能力,但当与单独授权的赛门铁克Sygate企业保护(SEP)个人防火墙结合使用时,该功能就可用了。赛门铁克不包括对外部网络响应的支持入侵探测系统和入侵预防系统事件。
我们进行了测试,以确保Sophos AV正常运行,并应用了关键的Windows安全补丁。所有检查均按预期执行。我们还创建了复杂的自定义检查来查看注册表项和正在运行的进程。自定义检查也如预期的那样起作用。
SNAC可以很容易地根据用户的位置分配策略。如果设备位于公司网络上,通过公司远程访问解决方案连接,或者位于a的边缘,则可以对设备应用不同的策略无线在当地的咖啡店建立人脉。虽然您可以通过各种复杂的策略/访问配置使用其他一些产品(如Vernier)实现类似的功能,但赛门铁克使此配置过程非常容易。
评估检查所需的参数是在设置主机(端点)完整性策略的过程中定义的。然后可以根据上面提到的位置、定义的组或特定用户应用这些策略。这些选项使SNAC能够适应许多环境,并在策略设置方面提供了比其他测试产品更大的灵活性。
强制措施包括当网关运行时阻塞网络访问,例如防火墙或更改虚拟局域网分配时802.1倍基于Enforcer是混合的,下载一个必要的文件,启动一个程序,并显示一条与检查失败相关的消息。通过我们测试的内联网关强制器,所有强制测试都按预期运行。
SNAC生成的日志是信息性的,提供关于授权、评估结果、恢复(补救)和实施活动的详细事件信息。挑战在于将日志中的日志数据转换为有用的报告。可以查询日志数据并将其导出为syslog或cvs格式。可以使用一组报告模板,如概述现有策略使用情况和每日摘要统计数据(如环境运行状况和内存使用情况)的模板。一个显示评估状态和其他关键指标的仪表板将是一个很好的补充。除了HTML之外,报告的导出选项也将提供改进。
管理是通过基于web的Java应用程序执行的。GUI直观且易于使用。但是,高级用户可能会对访问某些资源(如策略配置)所需的多次鼠标单击感到沮丧。
总的来说,赛门铁克为SNAC提供了一些独特的功能,例如根据位置应用不同策略的能力,构建非常强大的自定义评估检查的能力,以及任何执法者在三种NAC执行场景中的任何一种发挥作用的能力。这些特性,加上它在四个基本的NAC领域——授权和认证、评估、执行和管理-帮助赛门铁克在本次测试中胜出。
<以前的故事:StillSecure|下一个故事:趋势科技>
了解有关此主题的更多信息
买方指南:网络访问控制
赛门铁克退出,但关闭了AV产品交付05/02/07
Enterasys安全设备采用多厂商网络访问控制02/15/07
版权©2007足球竞彩网下载