ConSentry挤掉了尼维斯在线NAC设备测试

对提供增强的访问控制与现有网络的影响最小。

通过乔尔·斯奈德而网络世足球竞猜app软件界实验室联盟

足球竞猜app软件 |

以前的 1 2 第2页

第2页2

第二种解决方案是在产品中增加防止入侵的能力，识别和隔离(或阻止)被恶意软件感染的系统。这种方法比传统的终端安全评估更成功，因为它本质上是跨平台和非侵入性的，并且更有可能检测出受损的系统。毕竟，安装了最新签名的防病毒引擎并不能说明你是否感染了病毒。两厢情愿和尼维斯都走上了这条路，尼维斯率先将一个复杂的ip构建成LANenforcer。

Nevis IPS，以威胁控制的名义上市，是三种IPS技术的组合:协议异常检测、流量异常检测和针对特定恶意软件的基于签名的检测。因为LANenforcer位于用户和公司资源之间，所以IPS特性集中于特定的、内部网络类型的威胁。例如，蠕虫控制就是其中的一个重要部分，如果默认值不起作用，可以使用几十个设置来调整阈值。威胁控制提供了在LANenforcer本身上触发操作的选项，比如在一段时间内阻止来自行为不端的IP地址的所有流量。

我们与威胁控制的威胁缓解功能成败参半。当我们设置了松散SQL监狱，规范出的控制蠕虫病毒，我们的网络上，尼维斯发现和隔离，并提出报警。然而，当我们安装NetRaider，被黑客用来进行系统的控制后门木马的应用程序之一，LANenforcer没看出来，即使有两个签名NetRaider在LANsight管理系统中启用。（像许多专有的IPS，签名是不透明的，所以我们不能调试为什么LANenforcer错过了木马）。我们还发现了一个错误，当我们打开序列号随机化，常见的防火墙模糊技术，因为尼维斯框，然后拒绝让网络上的任何人。

LANShield的IPS功能没有那么复杂，除了开启或关闭功能外，没有任何配置功能。对于网络管理器，它将是一个黑盒。尽管LANShield确实识别并阻止了我们的SQL Slammer蠕虫，但在真实的网络中，我们不会放心地释放这样一个没有文档记录且无法控制的特性。目前，LANShield的恶意软件功能应该被更多地看作是对未来的承诺，而不是完全成熟的功能。

强制

巨大的优势，这两个产品有超过大多数其他的NAC解决方案是他们的执法能力，基于全状态防火墙。而不是把不同的用户在不同的虚拟局域网（VLAN），最常用到处传说，关于NAC策略，尼维斯和ConSentry给不仅网络管理员非常细粒度的访问控制，但也状态防火墙知足。这使ConSentry和尼维斯等供应商Juniper和游标所提倡安全的如此高水平的圈子很小。

我们没有验证详尽的正确实施的任何防火墙，但我们发现，无论是LANenforcer也不LANShield有执行能力范围内通用的应用层网关。这意味着需要的协议的应用层网关 - 例如，FTP或网络电话运用会话发起协议和实时流协议——不直接支持。您仍然可以通过设备运行这些协议，但是您的策略将不得不在防火墙中钻更大的洞来支持它们，并且您将无法拥有同样级别的控制。因为这些产品是为内部使用而设计的，用户主要是受信任的用户，所以这似乎不是一个不合理的限制。

尽管存在任何防火墙所期望的基本功能——源或目标IP地址、子网和网络区域，但在提供强大的强制规则方面，consensus比Nevis做得更好。例如，您可以根据通用互联网文件系统或FTP文件名称或HTTP内容类型，一些共识调用应用程序过滤器。这些过滤器是一个好的开始，尽管存在一些很大的差距。例如，您不能基于HTTP URL编写过滤器。

LANenforcer有执法词汇更接近于传统的防火墙，与目的IP地址和服务方面表示执行规则。

管理

既LANenforcer和LANShield是可管理经由命令行接口（CLI），但我们对它们进行测试使用所提供的单独的管理工具。随着尼维斯LANsight安全管理器，我们只需要触摸CLI进行安装和调试。ConSentry的图形化管理工具几乎是一样完整的，但不是所有产品的功能性可从该接口。我们必须潜入CLI多次为一些基本的配置元素的初始安装过程中。

LANsight有它好的一面和坏的一面。其监控系统设计良好。只需点击几下，我们就可以很容易地知道谁在登录、查看他们的策略、注销他们以及查看流量流向。一旦配置了LANenforcer, LANsight就会给你一个快速的概览，告诉你正在发生什么。

坏的一面是，它是缓慢的。似乎该问题不会是管理工具本身，而是的Adobe Flash Player用于显示GUI的选择。在我们的双CPU，2.3GHz的管理客户端，从屏幕将屏幕历时四年和10秒之间，只长到足以令人沮丧。

LANsight真正失败的地方是配置任务，比如创建、复制和配置强制策略。因为这些系统的全部意义在于让管理员能够更好地为用户应用强制执行，所以这是一个重大问题。例如，假设您希望定义对打印机(或Web服务器或文件服务器——从策略的角度来看，您希望将任何东西视为原子单元)的访问。如果打印机的IP地址不都是连续的，就必须创建几十或数百个策略，每个打印机一个策略，而不是制定一个策略覆盖所有打印机。管理系统应该促进企业安全策略的实施，而不是阻碍它。

consensus的InSight命令中心有一个良好的监控系统，在安全和带宽方面对网络上正在发生的事情具有卓越的可视性。使用基于java的GUI，我们发现它的性能总体上比LANsight更加抢眼。

Insight的策略配置是非常好放在一起。虽然配置防火墙与为每个用户策略的难度似乎是一个艰巨的任务，洞察具有抽象和面向对象设计的正确的水平，使其容易搭配我们想要的策略的配置。

InSight的失望之处在于基本的人机界面设计和一致性。例如，当您单击某项时，您可能会(也可能不会)看到当前的配置或属性是什么，除非您选择编辑该项，然后您可以看到它们全部。但设计是不一致的，有时你可以看到细节而不必编辑对象。InSight管理配置版本的方式也很笨拙。consensus希望能够一次性定义配置并将其推到设备上，但这样做的机制往往会使过程受挫和混乱，而不是简化这个过程。

结论

网络管理员在寻找比平常VLAN切换更严格的访问控制允许应该保持ConSentry和尼维斯在他们的雷达屏幕上，除了老将Juniper和游标，这也提供的产品在这个特殊的NAC空间。

ConSentry的LANShield报价在部署了极大的灵活性和出色的设计，用于在其GUI政策管理，但它限制了套恶意软件保护的。尼维斯威的LANenforcer带来了广泛的入侵防御功能表中，但设计上的缺陷和漏洞的关键功能令人失望的测试结果作出。

改变两个初创企业的步伐是快速和激烈，我们在测试这些版本中发现的问题可能是过去的这段时间在明年之前的事情。像葡萄酒和奶酪，这些都应该随着年龄的提高。

斯奈德是亚利桑那州图森市一家名为Opus One的咨询公司的高级合伙人。请联系他Joel.Snyder@opus1.com。

斯奈德还是网络世界实验室联盟(Network World La足球竞猜app软件b Alliance)的成员，该联盟由网络行业一流的评论家组成，每一位评论家都在每次评论中积累了多年的实践经验。欲了解更多实验室联盟信息，包括成为会员需要什么条件，请访问m.banksfrench.com/alliance。