NAC方案切中要害

赛门铁克上衣瞻博网络，思科和Check Point在13个NAC点产品测试

通过曼迪·安德丝

足球竞猜app软件 |

赛门铁克在13款NAC Point产品的测试中领先Juniper、思科和Check Point。

进入NAC的一体化方法——提供认证和授权的单一产品，端点-安全评估、执行NAC政策及整体管理。

我们测试了13个产品从布拉德福德网络，Check Point软件，思科，ConSentry网络，ForeScout技术，InfoExpress的，Juniper网络公司，锁定网络，迈克菲，StillSecure，赛门铁克，趋势科技和游标网络。

为了确保我们以前的NAC架构的评估和这些所有功能于一身的NAC产品之间的连续性，我们的测试是基于同样的方法。身份验证和授权对可用于连接到网络的物理选项测试归属，身份验证选项支持以及每个产品的手柄授权。

而在标准的环境中部署NAC802.1XNAC-architecture测试认证是一个焦点,在这一轮我们部署的产品使用其他身份验证选项——例如,促进内联监测、控制安装一个网络交换机和作为接入层交换机本身——因为许多组织想要部署NAC才能使用802.1倍标准。所有的供应商经过测试的公司至少提供了一种可供选择的方法，因此好消息是可供选择的方法并不缺乏。

我们的环境信息评估 - 有时被称为端点安全评估 - 看着每一个产品如何有效地收集来自端点的相关信息。从一般的机器信息的具体细节收集范围安全设置，所有设置都用于强制策略决策。

该测试的执行部分评估了一旦评估完成并确定了适用的策略，处理违规系统的可用选项。最后的管理部分着眼于保持整个NAC系统运行可用的工具，包括定义新政策、接收警报和报告，所有这些都在一个可访问和可用的界面内(见a)在测试这些网络接入控制产品全面测试方法指导在自己的环境）。

好消息是，这些产品始终充当通告。几乎全线，他们确定，授权（或阻塞，根据需要），并为他们的制造商表示，他们将帮助[修复故障的系统。然而，他们开展了不同方式，不同程度的这些措施，所以，以帮助确定哪些产品是最适合你的健康，你需要有一个清醒的认识，其中由这些NAC产品涵盖领域是最关键您自己的环境（见“6个提示选择合适的所有功能于一身的NAC产品”)。

赛门铁克技高一筹的最佳全能所有功能于一身的NAC产品。虽然其他产品在单一类别表现较好，我们发现，赛门铁克网络访问控制全线提供了最坚实的NAC功能。ForeScout的，锁定和瞻博网络杀进选手。

在NAC产品趋势

我们的身份验证和授权测试表明，在大多数情况下，这些所有功能于一身的NAC产品的滑动非常有效地在现有的网络中的各种方式。通过一般的LAN连接，远程访问的连接和对已知和guest用户授权访问无线网络S被大多数产品所支持的所有措施。该技术的实现方法不同，但灵活性和广泛覆盖的目标保持不变。

常见的绝大多数产品是有标准的用户目录，例如整合微软的Active Directory和基于协议的其他轻型目录访问存储库和认证服务器，如半径服务器。一个关键的区别是，有些产品通过监测认证业务（例如提供认证，Kerberos的认证报文）被动和记录相应的事件，而有些则需要用户主动输入凭据。

产品之间的另一个主要区别是在授权和执行过程中所使用的端点信息。有些产品依靠用户信息，在执行政策，而另一些完全基于设备信息授予访问权限。一些产品提供了两种方法的支持。

瞻博网络，赛门铁克和游标在我们的授权和认证测试中表现最好的。这些产品对我们的四个连接方法（LAN，远程访问，来宾和提供良好集成的部署方案无线)。它们还支持多种身份验证技术，让我们根据用户或设备配置授权参数。

端点评估测试，评估出的现成选项系统合规检查，重点防病毒软件，Windows的安全性补丁，主机火墙状态，端点漏洞状态，积极感染的系统识别。大多数产品的基本项目提供基本覆盖和功能。

这些产品的区别在于它们涵盖这些评估机制的范围有多广，它们配置检查的容易程度有多高，它们如何操纵检查的时间，以及它们是否能够实现更详细的检查，例如产品何时支持通用漏洞扫描引擎。产品定义自定义安全检查的能力范围从检查特定注册表项和文件属性到完整的脚本引擎。

赛门铁克，ForeScout的高强评估

赛门铁克擅长在端点评估和环境信息通过提供最全面的评估功能的集合。ForeScout的也表现良好，提供增强的评估功能，诸如异常检测和全脆弱性评估平台。

执行能力通常依赖于产品的实现。例如，在通过控制访问交换机接近NAC的产品中，主要实施机制包括虚拟LAN和访问控制列表(ACL)更改。内联部署最常见的是提供防火墙规则来控制网络访问，不过也有一些通过修改提供VLAN更改802.1Q标签。

虽然VLAN的变化很容易实现，为用户提供更大的问题是网络基础设施的整体设计VLAN和管理，如何与他们详细NAC策略进行比较。对于不同企业的职能不同的访问策略 - 甚至不同的访问策略，如果端点系统不符合 - 可能很快成为一个VLAN管理的噩梦。

另一种常见的执行机制是自我执行，通过重手的客户端软件中的代理控制的网络访问变得容易。自实施是有利的，因为它有助于确保合规性，当用户没有连接到公司网络，但你必须因素，端点可能会大打折扣。我们建议您使用自执行与基于网络的执行机制一起，如推防火墙规则，使得VLAN变化或促进交换机上的ACL的变化。

往往通过把自己的机器达NAC鼻烟的过程中，引导用户的整治力度。提供这些措施一般包括显示包含导致用户信息或软件，可以让他们自我[修复一个URL的消息。有些产品提供了更多的主动补救功能，例如杀死一个过程或自动执行程序 - 例如，推出一个补丁管理剂如PatchLink公司，通过微软的SMS推进企业软件升级或运行定制脚本。

ForeScout的，瞻博网络，锁定和赛门铁克都在我们的测试中整治表现出色，ForeScout的基于其灵活和广泛的选项整治领导，从VLAN变成杀流氓进程。

总体而言，最令人失望的是这些产品普遍缺乏关于用户或设备历史记录的信息。如果设备被隔离，什么检查失败?人们的反应是什么?当时登录的用户是什么?采取了什么行动?用户还连接了哪些其他设备?此设备或用户的历史信息是什么?很少有产品能够达到这种详细程度，这是任何有用的NAC部署所必需的。

这些工具来管理一个充分NAC部署 - 为策略创建和日常的日常管理，帮助和文档，以及警报和报告功能的通用界面 - 通常是测试产品中最薄弱的部分。

GUI界面是混乱和不直观的使用或导航。通常定义NAC策略的工具 - NAC管理的重要组成部分 - 进行了系统内的深埋和需要多次点击刚刚去的出发点。极少数产品推出管理员为有用的信息的仪表板。锁定的强制实施有最好的：一个全汇总仪表板出现在最初登录的管理员给了其当前状态的系统的风险状况和高层次的细节清晰的照片。

政策创造了通常过于复杂。虽然NAC供应商一般都提供了很大的灵活性和细节与他们的NAC策略的发展引擎，大多数都在做这些发动机容易驱动与所提供的管理应用短期下降。游标的EdgeWall了最具挑战NAC方法，但在最后，这是最灵活和测试产品的详细说明。

我们关注的另一个领域是支持帐户管理，以查看支持访问控制和角色定义的详细级别。我们还研究了产品是否在企业用户存储库中管理管理员帐户，而不是维护管理用户的本地数据库。大多数产品支持多角色结构，但有些产品提供了比其他产品更多的细节。

报告是问题最严重的地区。有些产品不包含报告功能，以及其他只提供了非常基本的搜索。虽然这是重要的基于端点完整性和明确的政策，以确定和实施网络访问，这是在今天的环境下，显示评估的历史结果几乎是更重要的，并采取了什么行动关于未遵守既定的政策体系。

虽然我们测试的所有产品都可以在整体管理上进行改进，但在这一评估领域，检查点、检查解除和封锁的效果最为明显。他们的产品提供了我们期望看到的报告和企业管理功能，比如绑定到企业管理工具的多个警报选项、委托的管理功能以及足够的帮助和产品文档。

南汽期货

入院后控制是大多数厂商都投入其开发资源，这是很自然的。一旦系统被允许访问网络，它需要留在合规性。大部分产品由按计划进行评估检查，每隔15分钟比如现在实现这一目标。

一些供应商，如McAfee StillSecure公司和，也开始了一步采取入院后控制，整合如果接收到关于端点设备的警报触发的执行行动入侵检测/预防系统。此信息也可以用漏洞扫描相结合，以确定警报是否是假阳性。

虽然有些产品确实漏洞扫描现在，这个假的正相关性仍然是供应商能达到的目标。合乎逻辑的下一步是与安全信息和安全事故和事件管理产品，它应该提供最完整的画面，以帮助NAC产品就如何继续提供访问端点设备的最佳集成的决定。

对于NAC另一个未来整合点应该是越来越多的出站内容的合规性和数据泄露防护产品。有了这种结合，企业可以阻止网络访问，如果未经授权的数据传输进行尝试或观察。

在其基本形式，NAC是黄金时间做好准备。公司可以购买的是相应的检查已知端点和控制访问的完整产品众多。而从行业中的热点有关NAC来看，厂商正在投入R＆d美元，这将有助于促进增强功能，并与任何组织的网络基础设施的进一步整合。秘密部署一个有效的所有功能于一身的NAC产品与已开发出自己的产品与您为自己的网络设置相同的优先级NAC厂商对准自己。

Andress是网络世界实验室联盟(Network W足球竞猜app软件orld Lab Alliance)的成员，该联盟由网络行业一流的测试人员组成，每个人都在每项测试中拥有多年的实践经验。欲了解更多实验室联盟信息，包括如何成为合作伙伴，请访问m.banksfrench.com/alliance。

接下来的故事：6个贴士选择正确的全合一NAC产品>