一个好的SSL VPN能提供好的NAC吗?

仔细看看F5的FirePass, SSL vpn可以击中大多数NAC点

足球竞猜app软件 |

当我们制定NAC的评估标准时,与SSL VPN的评估标准非常强大。

是一个SSLVPN根据定义或环境NAC设备?

这两个Caymas系统瞻博网络会大声说“是的”。这里的论点是,由于SSL VPN产品的最新迭代关注于授权用户、控制访问和使用端点姿态评估,因此SSL VPN很适合任何NAC方案。正如入侵检测系统(IDS)供应商理想地开始销售入侵预防系统(IPS)产品一样,SSL VPN供应商也将在这个市场中占据优势

这家名为Caymas的公司已经重新定位自己进入NAC领域,使用的技术与最初销售的SSL VPN设备相同(参见Caymas SSL VPN结果)。Juniper也加入了NAC这一潮流,将策略引擎从其顶级的SSL VPN产品中重新定位到统一访问控制器(UAC) IC-4000设备中,我们将其作为TCG/TNC框架的一部分进行了测试。

为了客观回答关于SSL VPN在NAC中的角色的问题,我们采用了以下方法F5网络还问我们是否可以把它的FirePass SSL VPN产品当做一个NAC设备来评估。

我们对一个好的NAC设备的第一个标准是广泛的认证方法和类型。对于NAC,此过程包括后端身份验证服务器——FirePass支持其中的8种——以及用户向设备传递证书的方式。对于一般的SSL VPN,与支持nacl的环境相比,后者的过程是有限的。一个好的NAC框架可以使用各种方法,比如802.1X进程、专属门户,甚至可以嗅探其他一些身份验证系统,而SSL vpn往往仅限于基于web的客户端身份验证机制。

FirePass提供基于web的用户名/密码身份验证(大致相当于专属门户)和基于数字证书的无密码身份验证。接下来的问题是:是否有一些方法可以让SSL VPN进行更集成的身份验证,比如通过客户端或直接与Windows登录序列集成,类似于在NAC中所做的事情?对于FirePass(和其他全功能SSL VPN),只有在使用该产品的网络扩展工具时才会发生这种情况,该工具将SSL VPN用户在IP层的系统链接到中心站点的网络,类似于IPsec VPN,而不是产品的基于web的部分。

我们对可靠的NAC框架的第二个标准是将终端安全评估和环境信息纳入访问等式的能力。有一个非常复杂的端点安全评估系统在FirePass中,网络管理员可以建立一个策略来检查跨各种平台的端点安全性。在这一点上,FirePass领先于大多数NAC供应商,后者很少有跨平台支持,因为它可以检测和处理运行Mac OS X的端点,而不是运行Windows的端点。

端点安全性评估取决于SSL VPN门户将软件下推到用户浏览器中的能力。在FirePass的情况下,这需要一个activex兼容的浏览器。一些NAC供应商,如Juniper和Cisco,更喜欢永久安装的客户端,而不是依赖于浏览器。FirePass不支持安装的客户机对其Web服务门户进行端点安全性检查的选项。

FirePass特别缺少的一个功能是链接到供应商提供的运行状况检查工具的能力,例如补丁管理桌面安全产品我们在CNAC和TCG/TNC框架中研究过。FirePass允许您与赛门铁克的批发安全工具包集成,但不能与更流行或通用的工具集成。另一个缺失的创新是“持续执行”,即在会话期间不断进行端点安全检查,而不仅仅是在登录时。

有效的NAC产品的第三个标准是访问控制的实施。在这里,FirePass提供的访问控制和执行超过了大多数NAC解决方案所提供的。由于SSL VPN通常允许或不允许URL级别的访问,因此FirePass能够比简单的虚拟LAN分配更紧密地控制访问,后者是任何NAC方案中最常见的访问控制形式。在网络扩展模式下运行时,FirePass提供简单的包过滤器。在中航集团和TCG/TNC,我们看到来自思科、Juniper和Vernier的高端产品都采用了完整的状态防火墙检查,以及内联id和IPS措施。这使FirePass与NAC市场的高端市场相一致。

我们对于NAC的第四个标准是管理功能。在这里,比较SSL vpn和NAC是比较困难的。作为SSL vpn的早期创新者,F5因其管理界面而获得了赞誉。如果我们将其与测试的产品进行直接比较,FirePass的得分可能会高于思科的Secure ACS,并且与Juniper的UAC处于同一水平。

总的来说,SSL VPN和局域网基于NAC的业务没有太多重叠。SSL VPN用于远程访问,而大多数人认为NAC用于本地、无线和访客用户。

NAC成功的关键是将您的SSL VPN远程访问合并到您完整的NAC策略中,以便遵从性策略和访问控制尽可能紧密地集成和一致。目前,还没有哪家供应商将其SSL VPN和NAC策略引擎结合在一起——但这可能是迟早的事,您需要做好准备,以便进行简单的集成和转换。

斯奈德是亚利桑那州图森市一家名为Opus One的咨询公司的高级合伙人。可以通过Joel.Snyder@opus1.com与他联系。

西北实验室联盟

斯奈德还是网络世界实验室联盟(Network World La足球竞猜app软件b Alliance)的成员,该联盟由网络行业顶尖的评论家组成,他们对每一篇评论都有多年的实践经验。欲了解更多实验室联盟信息,包括成为会员需要什么条件,请访问m.banksfrench.com/alliance

<回到正题:NAC现在能为您做什么?>

了解有关此主题的更多信息

明确选择测试:对NAC产品进行最大规模的公开审查

为什么Vista没有出现在NAC景观中?

NAC一体机测试即将到来

测试方法

南京汽车买家指南

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对最重要的话题发表评论。
相关:

斯奈德是网络世界测试足球竞猜app软件联盟的合作伙伴,也是亚利桑那州图森市Opus One的高级合作伙伴。请联系他

版权©2007足球竞彩网下载

工资调查:结果在