NAC执法手段功亏一篑

在NAC中的“C”代表控制：基于有效的认证和终点定义访问网络资源安全姿势用户。直到在我们的测试这一点上，中航和TCG / TNC很友好同床异梦，有许多在他们的结果相同的高点和低点的提供非常相似的功能。

当我们到了画面的控制部分，我们发现，不只是白色和黄色的奶酪在那里：它更像是有从中选择246升的味道。

在我们的比较中，我们的使用场景并不重要，因为一旦到了控制部分，每个人——员工、访客和无代理设备——都是一样的。所以在这里，我们仔细研究了双方给我们的令人眼花缭乱的选项。

即使思科提供专有的框架，它仍然是世界上最大的网络硬件制造商。因此，强制选择列表在页面上运行。我们从LAN交换机和802.1X身份验证开始，这为我们提供了基于虚拟LAN (VLAN)的访问控制。如果你对vlan感到满意，思科目前大约有6个家庭LAN开关，以及两到三倍于最近退役的硬件，这仍然是完全中航集团的能力。加上所有的思科系统无线设备，从独立接入点，Airespace公司的无线交换机，可以执行点为好。

许多思科交换机还具有包过滤功能，以及中航部署还可以采用包过滤器。即使当我们添加了这些数据包过滤器，我们没有拉伸中航执法的范围。思科有所谓的“二层IP”和“三层IP” NAC客户，这有利于终端安全和执法措施，放弃认证。这些NAC客户端模式与开关以及额外的强制选项IOS路由器工作。我们没有测试二层IP或3层IP客户端模式，因为缺乏验证的，但思科的工程师告诉我们，这些客户端的认证版本正在开发中，但不能说，当他们将被释放。

Cisco的ASA系列火墙/ VPN设备也可以是NAC实施点。我们配置了ASA5100是我们中航部署，这使我们能够要求端点安全评估，我们会允许通过IPSec VPN隧道有人到我们的网络之前的一部分。

政策工具缺乏

虽然不缺乏突出的控制点，但缺乏利用所有这些力量的政策工具。由于CNAC需要Cisco ACS，由于其固有的局限性，我们只能表达最原始的策略。

例如，用户不能被放置在多组和具有重叠资源的访问。试图定义可能结合VLAN的数据包过滤，VPN和端点安全性将是什么几乎是不可能的，但最根本的ACS用户界面的网络政策。而对于我们的网络在每一个不同的安全策略，我们不得不提出四点到10增加的ACS。

好消息是，当我们单独进行各航先进的访问控制的测试都取得了成功。当我们添加数据包过滤器和其他控制，他们从Cisco ACS服务器连接到网络执行点推，而我们，确实锁定。

如果说有什么东西会阻碍先进的CNAC部署，那就是ACS的控制功能。它根本不能胜任作为一个用于控制的通用网络策略工具的任务，因此在这个关键时刻，在CNAC中除了一小组vlan之外，进行任何控制都没有什么意义。

当然，这可能不是问题。在许多网络中，一打vlan可能就是一个非常成功的NAC部署所需的所有分区和访问控制。而且，如果它适合您的网络，您可能会非常满意Cisco ACS和最近几年发布的Cisco硬件(即最近几年发布的任何交换机)。事实上，如果您只是简单地执行基于vlan的访问控制，那么您可能能够非常成功地使用非cisco交换机。也就是说，这些交换机必须设计得非常好，才能具有与思科Catalyst系列相同的功能，比如我们在测试台上使用的Enterasys Matrix C2。

杜松的力量

但是如果你真的想要非常强的访问控制呢?瞻博网络随着UAC设备和Juniper基于屏幕的防火墙产品线之间的集成，NAC进入了下一个阶段，但只在TCG/TNC NAC框架内。使用Juniper的访问控制模型，您不仅可以基于vlan将用户分开，还可以在网络内部分散防火墙，为每个用户提供完整的有状态防火墙规则。

为NAC定义策略既简单又直观。我们发现调试UAC设备和ScreenOS防火墙比必要的更加复杂和困难，但是一旦我们解决了bug，一切都如预期的那样工作了。

Juniper方法非常强大，但它依赖于与Juniper防火墙一起工作的Juniper客户端和Juniper UAC设备——获得所有额外的访问控制功能需要相当多的专有技术。

这一点在当时被反复强调游标网络带着EdgeWall 8800实施点和相应的EdgeWall控制服务器来到我们的实验室。作为一个独立的NAC供应商，Vernier有自己强大的故事足球竞猜app软件网络世界即将对这些产品进行测试），配有状态防火墙，多平台的端点状态评估，并在多千兆机箱集成的入侵预防系统。游标在本次测试作为执法点加入了TCG / TNC阵营，与我们的UAC家电政策和端点安全整合。

作为一个纯粹的TCG/TNC玩家，我们只能使用EdgeWall大约10%的功能，因为所有强大的策略控制都是由Vernier自己的控制服务器专有的，就像Juniper高级访问控制解决方案一样。通过从UAC设备驱动边缘墙，我们不能将策略下推到边缘墙—我们只能将其用作防火墙开关。当然，我们本可以将策略从UAC设备中取出，并将所有控件放在Vernier的控制服务器中——这种策略在使用EdgeWall设备作为主要控制机制的网络中非常有效。

经验教训关于NAC实施

如果你对NAC的访问控制仅限于VLAN分配，你就不会过分强调CNAC或TCG/TNC框架，也不会发现它们有什么不同。

但是，如果你想先进的访问控制，如数据包过滤器或状态防火墙添加到您的NAC部署，你会发现显著差异。虽然思科肯定有最广泛的全球硬件，中航框架正在举行回来所需思科ACS策略引擎，对于任何一种复杂的网络安全策略定义的一个不适合的工具。你可以很容易地下井带TCG / TNC专有的路径，而是要Juniper的UAC控制器显著更好的工具，与各种各样的低端和高端执法点一起。

斯奈德是亚利桑那州图森市咨询公司Opus One的高级合伙人。可以通过joel.snder@opus1.com联系他。

斯奈德也是网络世界实验室联盟的成员，合作在网络业界首屈一指的评足球竞猜app软件审每个带来承受多年的每个复习的实践经验。欲了解更多实验室联盟的信息，包括如何才能成为会员，请m.banksfrench.com/alliance。

请参阅本包其他的故事：

主要事迹：现在NAC能为你做什么?

与XP客户端NAC认证是一个单元

思科，TCG提供基本的端点安全

NAC管理可有头痛

了解更多关于这个话题

没有一个良好的SSL VPN提供良好的NAC？

为什么Vista是NAC景观不见了？

NAC在地平线上的所有功能于一身的测试

测试方法

南京汽车买家指南