好的SSL VPN能提供好的NAC吗?
仔细观察F5的FirePass就会发现,SSL vpn可以击中大多数NAC点
当我们制定NAC的评估标准时,它与SSL VPN的评估标准非常强大。
是一个SSLvpn.通过定义或环境NAC设备?
两个都Caymas系统和瞻博网络会争论一个响亮的“是”。这里的论点是,由于SSL VPN产品的最新迭代已经专注于授权用户,控制访问和使用终点姿态评估,因此SSL VPN是一种自然拟合进入任何NAC方案。正如入侵检测系统(IDS)供应商理想地位于启动销售入侵防御系统(IPS)产品,SSL VPN供应商将在此市场上有一个自然的腿
Caymas,使用与SSL VPN设备最初出售的相同技术重新定位到NAC空间中(查看Caymas SSL VPN结果)。杜松还跳跃了NAC Bandwagon,将策略引擎从其排名额定的SSL VPN产品重新展示到我们作为TCG / TNC框架的一部分测试的统一访问控制器(UAC)IC-4000设备中。
对于在NAC中的SSL VPN角色的问题的客观答案,我们走近F5网络该公司还没有进入NAC的市场竞争,并询问我们是否可以评估其FirePass SSL VPN产品,就像它实际上是NAC设备一样。
一个好的NAC设备的第一个标准是广泛的认证方法和类型。对于NAC,这个过程包括后端身份验证服务器——FirePass支持其中的8种——以及用户向设备传递凭证的方式。对于一般的SSL VPN,与启用了nac的环境相比,后一个进程是有限的。好的NAC框架可以使用各种方法,比如802.1X进程、专用门户,甚至嗅出其他身份验证系统,而SSL vpn往往局限于基于web的客户端身份验证机制。
FirePass提供基于web的用户名/密码身份验证(大致相当于强制门户)和基于数字证书的无密码身份验证。接下来的问题是:是否有某种方法可以让SSL VPN进行更集成的身份验证,比如使用客户端或直接与Windows登录序列集成,类似于在NAC中所做的事情?对于FirePass(和其他全功能SSL VPN),只有在使用产品的网络扩展工具时才会出现这种情况,这些工具将SSL VPN用户的系统连接到中心站点的网络,类似于IPsec VPN,而不是产品的基于web的部分。
我们对可靠NAC框架的第二个标准是将端点安全评估和环境信息纳入访问方程的能力。有一个非常复杂的端点安全在FirePass内的评估系统,网络管理器可以构建策略以检查各种平台的终点安全性。此时,FirePass领先于大多数NAC供应商,它很少具有跨平台支持,因为它可以检测和处理运行Mac OS X的端点而不是运行Windows。
终端安全评估取决于SSL VPN门户将软件推送到用户浏览器的能力。对于FirePass,这需要一个与activex兼容的浏览器。一些NAC供应商,如瞻博(Juniper)和思科(Cisco),更喜欢永久安装的客户端,而不是依赖浏览器。FirePass不支持已安装的客户端通过其Web服务门户进行端点安全检查的选项。
FirePass专门缺少的一个功能是能够链接到供应商提供的健康检查工具,例如补丁管理以及我们在CNAC和TCG/TNC框架中研究的桌面安全产品。FirePass确实可以与赛门铁克的wholesale security工具包集成,但不能与更流行的或通用的工具集成。另一个缺失的创新是“持续执行”,即端点安全检查在会话期间持续进行,而不仅仅是在登录时进行。
有效NAC产品的第三个标准是访问控制执行。在这里,FirePass提供超出大多数NAC解决方案所提供的访问控制和执行。因为SSL VPN通常允许或禁止在URL级别的访问,所以FirePass能够比简单的虚拟LAN分配更紧密地控制访问,这是任何NAC方案中最常见的访问控制形式。在网络扩展模式下运行时,FirePass提供简单的数据包过滤器。在CNAC和TCG / TNC中,我们看到了来自思科,瞻博网络和Vernier的高端产品,可以使用全部状态防火墙检查以及在线ID和IPS测量。这使Firepass与NAC市场的较高端保持一致。
NAC的第四个标准是管理功能。在这里,SSL vpn和NAC之间的比较比较困难。作为SSL vpn的早期创新者,F5因其管理界面而赢得了赞誉。如果我们直接与测试的产品进行比较,FirePass的得分可能会高于思科的Secure ACS,与Juniper的UAC处于同一水平。
总的来说,SSL VPN的用例和局域网基于NAC不重叠。SSL VPN用于远程访问,而大多数人都会对本地,无线和访客用户提供NAC。
NAC成功的关键是将SSL VPN远程访问集成到完整的NAC策略中,以便遵从性策略和访问控制尽可能紧密地集成在一起并保持一致。目前,还没有厂商将其SSL VPN和NAC策略引擎结合在一起——但这很可能很快就会发生,当它发生时,您需要做好准备,以便进行简单的集成和转换。
斯奈德是亚利桑那州图森的咨询公司Opus One的高级伙伴。他可以在乔尔·尼斯汇_Popus1.com达成他。
斯奈德还是网络世界实验室联盟的成员,该联盟由网络行业的资深审稿足球竞猜app软件人组成,每个审稿人都有多年的实践经验。想了解更多实验室联盟的信息,包括成为成员需要做什么,请访问m.banksfrench.com/alliance.。
<回到主要故事:NAC现在能为你做什么?>
了解更多关于这个主题的信息
版权所有©2007.足球竞彩网下载