·智能交换机防范安全攻击
·老系统平滑过渡
·现有应用良好兼容
·适应多种应用环境
·Single Sign-on
·高可扩展性
根据公安部最近公布的调查数据显示,内网安全、计算机安全仍旧是企业安全的关键。两年前,思科、微软等业界领先公司相继提出了端点 安全控制的技术体系架构,多种手段相互配合,自动应对多种安全威胁。但是部署端点安全控制方案会不会带来新的问题呢?
《网络世界》评测实验室有机会对端点安全控制技术始作俑者之一的思科公司的NAC解决方案的 NAC Framework部分进行了实测。NAC系统不仅很好地实现了端点安全控制的设计初衷。同时思科NAC解决方案在细微之处周到的考虑,使得系统在兼容企业已有应用、提供全面安全控制、系统可扩展性和易维护性上都有着优异的表现。(请到www.cnw.cn下载详细测试报告)
细节决定成败
细节一:多种验证手段确保NAC实施
NAC提供了NAC over 802.1x和L2-IP两种验证架构,以适应不同的企业应用环境。
NAC over 802.1x全面的安全保障
NAC over 802.1x可以提供一个全面的安全解决方案,一方面NAC借助802.1x可以根据计算机的健康状态决定是否允许其进入网络,同时还可以利用802.1x协议进行计算机和客户的身份识别、认证和授权。
NAC over 802.1x的工作原理见下图。
[1] [2] 下一页
测试中,我们在模拟的环境中部署了ACS(ACS - Cisco Secure Access Control Server 思科安全访问控制服务器)、微软的活动目录(AD)控制器、CSA(CSA - Cisco Security Agent,思科安全代理)的MC(CSA MC - CSA Management Center CSA管理中心)、趋势科技的Office Scan杀毒软件策略服务器的服务器群,使用Catalyst 3750和6509交换机作为接入交换机,两台笔记本电脑模拟接入PC。PC机按照ACS的要求,启动了Office Scan杀毒软件,打齐了所有的操作系统补丁,并且在计算机上部署了登录域所需要的数字证书。经过认证,ACS让交换机将连接计算机的端口联入VLAN 100,可以进行正常的通信。此时CTA(CTA - Cisco Trust Agent ,思科信任代理)软件提示用户,计算机健康状况良好。当关闭了Office Scan杀毒软件客户端之后,重新接入网络,由于不符合ACS的安全策略,端口划入到隔离VLAN,计算机的通信受到了限制,CTA弹出对话框,告知计算机不健康。而此时计算机上的CSA软件也发挥了作用,一方面按照MC当初制定的策略限制了计算机上Outlook Express软件的启动,限制使用U盘,同时CSA会把PC上发生的安全事件通知MARS(Cisco Security Monitoring,Analysis and Response System,思科安全监控、分析和响应系统管理系统),方便系统管理员进行监控统计。
L2-IP适应多种应用场景
相比较NAC over 802.1x,L2-IP可以适应更多的应用场景和用户终端。比如说有些企业并不希望部署802.1x或一些计算机可能无法安装CTA软件,有些网络中仍旧存在HUB或不支持802.1x协议交换机的接入设备。还有就是部署过802.1x,并不想因NAC有改变的用户。
L2-IP方案实施时,仍旧需要CTA软件支持(应对特殊平台的在下面专门讨论)。工作流程、系统组成与NAC over 802.1x相似,区别在于:在L2-IP CTA传递主机健康信息依赖UDP协议告知交换机。L2-IP只担当主机健康性的检查工作。对被认证计算机通信控制,主要靠ACS向交换机下发的 L3/L4层ACL。
L2-IP对于健康性问题的计算机处理有一个独到之处,就是在限制其绝大多数通信的同时, ACS还会给交换机下发一个Web浏览重定向的ACL,只要用户打开浏览器,不论输入任何一个网址,交换机都会把通信重定向到一个专有网页,提示用户计算机存在安全隐患,需要下载相关补丁、打开防病毒软件……由于这一重定向工作由接入交换机完成,实现全网的分布式处理,系统有着非常好的可扩展性,避免出现所有的问题计算机由网络内一台设备集中处理浏览重定向请求带来的性能瓶颈。
我们重复了类似NAC over 802.1x中的测试项目,交换机成功重定向了为通过验证计算机的网页访问行为。
思科的工程师介绍说,部署