杜松用Infranet Controller拥有自己的一体化NAC
统一访问控制是NAC的瞻博网络的整体架构答案,公司的Infranet Controller Server软件位于架构的中心。
瞻博网络统一访问控制
成本:1000美元的用户30,000美元
分数:4.18
统一访问控制(UAC)是杜松子这是对NAC整体架构的回应。该公司的Infranet Controller服务器软件位于体系结构的中心,为访问和实施标准提供全面的管理和策略控制。在Juniper UAC部署中,可以通过通用实现NAC强制802.1x.- 配置网络或通过与juniper的集成安全设备(更完整地讨论瞻博勒的802.1x身份验证成功这里)。
对于测试,我们将Infranet Controller Server与Juniper Secure Service Gateway(SSG)设备一起使用,以提供NAC策略强制执行。虽然瞻博网络显然想要出售防火墙要提供执行,当用户使用802.1x交换机进行身份验证时,Infranet控制器可以使用VLAN提供强制执行无线控制器。
管理由Web GUI处理到Infranet Controller,这整体非常直观且易于导航。我们对我们的Active Directory配置了身份验证以进行测试,这很容易设置。我们刚刚定义了要使用的帐户和基本搜索设置。瞻博网络还为不同的身份验证平台提供了广泛的支持,包括轻量级目录身份验证协议那半径、ACE (SecurID)和NIS。
通过机器的位置、用户标识、完整性评估结果和请求的资源的组合,允许用户访问。综合这些信息,这些信息决定了分配给用户的角色、每个用户如何进行身份验证、用户需要遵循何种安全态势才能获得访问权,以及最终每个用户能够访问哪些资源。
在此关联中,端点安全需求被定义为提供附加需求。例如,用户可能需要在系统上安装最新的防病毒软件。如果是这样,则为用户分配一个员工角色并授予对员工资源的完全访问权。如果不这样做,管理员可以将用户分配到不同的角色,这可能允许他们纠正其杀毒软件中的缺陷或仅提供有限的资源访问。
Juniper的端点评估涵盖了我们在测试期间寻找的一些检查。广泛的产品支持包括防病毒、反间谍软件和主机防火墙产品。补丁检查但是,框中的功能最小,但仅涵盖最低服务包级别。可以通过部署支持TCG / TNC框架的任何修补程序管理产品,例如ProoctLink或通过创建自定义注册表或文件检查来实现完整的补丁检查功能。还可以为注册表项,文件属性,系统进程和服务端口等项目定义自定义检查。目前不可用任何一般漏洞扫描仪或有源感染检查机制的联系。
终端评估定期发生,检查机器,因为它们进入网络和监控系统已经连接以确保它们仍然存在合规。
补救和强制可以通过以下方式实现:强制不符合要求的机器更改虚拟局域网分配(当使用802.1X时),通过更改防火墙规则、提供补救链接、终止进程和删除文件来完全阻止网络访问。在我们的测试中,所有端点检查和补救/实施活动都按照预期工作。
除了本地端点安全策略,Juniper还提供了Juniper端点防御倡议(JEDI),这是一组第三方应用程序,有助于扩展遵从性评估功能。例如,您可以在提供网络访问之前启动反恶意软件扫描或启动终端上的主机防火墙程序。
作为UAC最大的弱点,我们可以指出传统的报告功能不包含在包中。例如,管理GUI中的系统概述仪表板可用,但是,这是有限的,例如,显示连接用户和流量吞吐量的数量。
没有包含与端点评估结果有关的信息。系统确实会保留大多数事件的广泛日志 - 从端点评估失败到包括用于管理帐户的审计跟踪的元素的所有内容。但是分析产品内的唯一方法是应用过滤器来执行搜索。这些过滤器可以预定义或输入ad hoc。
挑战:结果仅以文本形式呈现,并没有为高层管理人员生成报告提供坚实的基础。所有日志都可以通过syslog发送到其他系统。这可以增加报告功能,但这需要编写一些脚本来分析日志,或者将日志管理系统或企业报告工具与syslog环境绑定。警报功能可以通过SNMP.,它可以向企业管理系统发送通知,例如HP OpenView。
我们希望看到的一个功能是能够深入了解用户当前和历史活动的记录。通过系统,我们可以看到活跃的用户以及它们已分配的域/角色,但在终点安全结果或历史上没有任何直接详细信息,或者历史上,用户的结果是什么。
瞻博网络提供强大的NAC产品,这将是任何组织的可行选择。作为符合TCG / TNC标准的产品,当与802.1x交换机和VLAN分配一起使用时,瞻博网络的Infranet控制器可以是打开NAC部署的一部分。在一体化环境中,瞻博网络使用自己的防火墙来提供访问控制实施 - 一个专有的“秘密酱”,可以为想要更复杂和更精细的访问控制的网络管理员增加价值。
NAC部署的所有其他部分保持不变,包括与TCG/TNC合作伙伴进行端点安全评估的集成。专有/开放的选择不是一个非此即彼的决定。当使用802.1X认证时,Juniper NAC解决方案既可以通过将用户分配到VLAN提供粗粒度访问控制,同时也可以通过Juniper防火墙为同一用户在网络的不同位置提供细粒度访问控制。
<上一个故事:infoExpress.|下一个故事:封锁>
了解有关此主题的更多信息
买方指南:网络访问控制
瞻博网络包含802.1x以控制网络访问11/13/06
NAC竞争:Juniper的Infranet04/03/06
版权©2007足球竞彩网下载