两厢情愿改变了NAC
ConSentry LANShield
成本:蓝盾开关13995美元;100个代理,2995美元;Insight Manager售价7,995美元。
分数:3.93
consensus try将网络访问控制的标准功能直接集成到一个名为LANShield的交换机设备中,然后它将取代您现有的访问交换机。LANShield开关和所有角色和策略管理功能都由独立的consensus InSight管理窗户基于管理的应用程序,而端点评估则由代理从检查点执行两厢许可。
consensus还提供了第二个NAC选项,称为LANShield控制器我们去年年底进行了测试。控制器位于网络中较远的位置,例如在访问层和分布层之间,并从那里控制NAC策略的实施。
在这一轮的测试中,我们评估了LANShield交换机,该产品同意提交此审查,并在测试网络中部署它作为我们的访问层交换机。我们没有采用两厢情愿的办法802.1倍支持此测试,但这当然是另一个部署选项。
总的来说,consensus try侧重于评估权利,并基于用户配置文件和用户希望访问的应用程序/资源提供安全访问。NAC策略被分配给用户角色,这些角色是基于许多因素定义的,比如Active Directory组成员关系、MAC地址和IP地址。身份验证通过被动监视窗口身份验证通信或主动支持来处理半径后端。
两厢情愿也支持访客用户通过一个专属门户。被动的windows认证特性是一个有趣的特性,ForeScout也在其产品中使用。然而,这里有一个潜在的弱点,即网络流量的泛滥会导致一个重要的数据包丢失。我们没有进行任何能够给出该问题最终答案的负载测试。有共识的人说他们的产品不会受到这个问题的影响,因为它是在定制的硅上设计的,支持10Gbps,而不像基于pc的产品支持1-2Gbps。
两合性许可检查点完整性可分解代理,用于端点评估目的,每次尝试网络连接时将其推到端点。有了这个代理,支持主要供应商的AV检查,以及对文件信息或注册表项的自定义检查。我们创建了一个自定义注册表和文件检查与补救行动定义,以便LANShield将发送一个链接到管理员提供的信息,如果任何端点不符合规定。此自定义检查的检测、执行和补救措施均按预期工作。
虽然可分解代理对于重定向到可分解代理加载并评估系统合规性的附属门户的访客来说是理想的,但员工不会希望每次尝试连接到网络时都安装相同的代理。我们希望看到一个持久代理可供“雇员”使用。
正如在我们对检查点完整性的评估产品,该代理软件不允许检查系统补丁,客户端防火墙或漏洞状态之外,您可以通过自定义注册表和文件检查创建。
但在发现潜在的终端安全问题方面,LANShield交换机还监视流量和解码某些协议,如HTTP、FTP和CIFS,用于恶意活动。我们启动了一个蠕虫传播测试,交换机识别并阻塞流量的速度几乎与测试开始时一样快。虽然在我们的测试中没有出现误报的问题,但确实有可能在不必要的情况下阻塞端点的访问。
共识人士说,他们已经包括了基于时间的、行为驱动的算法,既减少了误报,又需要进行广泛的调整。也就是说,IT经理可以配置这种合意算法,只阻止有问题的应用程序,或者仅仅发送警报,这样,如果配置为支持这些修改的操作,假阳性可能不会阻止用户进入网络。
在实施方面,可以在Web浏览器中为设备提供URL,从而提供补救信息,或者完全阻止设备访问网络。我们在测试期间使用了这两种方法,没有遇到任何意外。
如果LANShield在802.1X模式下运行,不兼容的设备也可以被分流到一个特定的虚拟VLAN。
在策略定义选项方面,consensus 's InSight Manager非常强大。您可以根据特定用户的位置定义策略,也可以将其定义为应用于所有系统的通用策略。灵活,配置和管理在InSight内的NAC政策是不直观的,并容易混淆,如果你是与许多单独的政策。
consensus try提供了非常详细的报告,概述了用户和端点系统的信息。报告包括用户的全部细节,包括IP地址、使用的网络应用程序和网络活动历史、他们使用的系统、访问的应用程序/资源和正在执行的操作。
仪表板的四个选项卡可用于报告一般概述、恶意软件事件、策略事件和态势事件等领域。在开箱即用的安装中,还可以使用许多默认的报表模板,并且可以安排它们定期运行。
通过将安全功能直接绑定到使用的开关中,consensus try为NAC提供了一个非常具有前瞻性的方法ASIC技术。这是一个很好的解决方案,公司已经在寻找部署新的访问交换机。
了解有关此主题的更多信息
买方指南:网络访问控制
与阿尔卡特-朗讯就NAC达成共识02/26/07
协商一致强制执行访问策略04/17/06
版权©2007足球竞彩网下载