在花了4个月时间，对12款领先的NAC产品进行了详尽的测试之后，我们得出如下结论：尽管业界已经对NAC这个时髦术语大肆宣传了5年，尽管已经出了各种白皮书和产品发布，甚至出现了标准之争，但到如今，我们似乎依然没有找到一条很明晰的发展道路。从2005年首款NAC产品问世以来，NAC这个术语到底意味着什么，是不是一种有效的安全手段，这些问题到今天依然是不明朗的。

　　我们对来自主要厂商如微软、思科、惠普、Juniper、McAfee和赛门铁克等的NAC产品的各项功能进行了横向评测，写出了测试报告。本文则主要分析阻碍了NAC在企业网中进行部署的六大壁垒。

　　所谓NAC，我们定义为身份认证、端点安全检查和接入控制的一种综合性的安全手段，它的出现是为了解决移动终端用户在使用笔记本等移动设备接入企业网络时可能对企业网络带来的安全问题。NAC的出现是想回应如下这些问题：谁在接入企业网络?他们是否健康?我能否控制他们接入后的行为?我能否在他们行为不当时封杀他们?

　　在网络行业中，随着时间的演进，很多同类产品都会逐渐采用一些共通的方法和功能集合。举例来说，今天的以太网交换机虽然来自不同的厂家，但是大部分都可以相互替代。把惠普ProCurve的交换机换成Enterasys的交换机，网络可以照常运转。然而NAC产品却没法这么做。这类产品彼此间很少有相同之处，即便再怎么仔细地观察，也很难找出彼此间可以横向对比的功能。既然要找到相似的产品比较困难，那么网络经理们要想预先知道这些产品的功能，或者他们获得想要的功能也是很困难的。

　　所以在NAC产品中就不存在所谓的“最佳品种”，因为就我们所评测的12家厂商的产品的来说，几乎就有12种不同的NAC“品种”。

　　第一大障碍：组织架构上的阻碍

　　首先一个特别棘手的问题就是，如何才能找到和你的网络既在组织架构上相吻合又在技术上相兼容的产品。由于NAC综合了安全、网络管理和桌面管理等多项任务，所以NAC部署除了面临着技术上的挑战以外，还面临着企业组织架构方面的巨大挑战。为了适应部门间的隔阂，厂商们通常都会尽量地降低NAC产品跨团队协作的需要，尽量采取一些妥协让步的做法。但每家厂商在不同的场合又会有不同程度的妥协。举例来说，赛门铁克的NAC产品完全只关注桌面团队，而惠普的NAC产品则是由网络团队安装、配置和管理的。

　　所有这些问题都加厚了想要部署NAC产品的网络经理所面临的障碍和壁垒。这还没有涉及产品的部署成本——仅仅要找出适合工作需要的产品，看它能否在组织中工作，这就已经相当困难了，更别说网络经理们在NAC上所耗的时间还要远长于在交换机、防火墙或者服务器上的时间。

　　第二大障碍：产品的变量太多

　　NAC 的三大构成要素是身份认证、端点安全和接入控制，然而厂商们却常常将其NAC产品偏向于他们自己的强项。也就是说，NAC产品往往会只偏重三大构成要素中的某一个，而忽略另外两个。比如说，McAfee在研发NAC产品时，就主要考虑它们能否适应自己的端点安全管理产品ePolicy Orchestrator。而Juniper的NAC则主要考虑网络安全要素：例如防火墙，或者某种程度上也考虑交换机。

　　导致产品变量太多的另一个原因是，实现最终目标的最佳途径可以有多条。而缺少一致性就有可能让有兴趣把NAC功能加入到企业网络中的任何人感到无所适从。

　　举个例子，身份认证到底重要不重要?这个问题你如果去问Forecout，得到的回答肯定是“重要”，因为他们的产品就支持终端用户的身份认证。那么接入控制重要吗?如果去问Bradford，回答肯定是“不重要”，因为他们关注的是确认设备并将设备置入不同的VLAN中，他们没必要去区分用户，并控制用户的接入。如果你想知道端点安全是否重要，你就不能去问惠普，因为惠普的NAC产品根本不支持端点安全——你还得再找一家厂商来实现端点安全功能。

　　当然，每家NAC厂商总会有办法，可以把用户需要的所有功能都列在NAC的标书里，供用户们选择。但是在我们的测试中，其中的很多功能在核心产品架构中的表现多半和标书中所说是不一致的。

　　由于主要NAC厂商彼此间很少有共通之处，所以网络经理们就很难搞清楚NAC产品究竟能给他们带来什么价值，是否值得去冒采购和部署的风险。

　　第三大障碍：互操作性灾难

　　在2007年我们曾对NAC产品做过测试，当时我们把测试分成了两部分。一部分主要考察两种NAC架构(思科和可信任计算组织)以及30款产品 在两种架构中的工作情况。另一部分则测试了13款彼此不相干的NAC解决方案。我们当时曾预测，这两种架构将会统一，所有的NAC产品都将支持这两种架构。

　　然而遗憾的是，我们在2007年所测试的那些彼此不相干的产品在2010年依然彼此不相干。今年，我们对2007年的13款产品中的7款做了测试，其中只有一款产品(Juniper)明显朝着符合标准的方向迈出了一大步。(2007年的13家厂商已有3家关张，另外2家不再销售NAC端点安全产品，还有1家谢绝参与测试。)

　　即便一些旧的标准，比如IEEE 802.1x，在很多NAC产品中都不提供完全的支持。不过我们发现有些产品还是采取了开放标准的做法，可以支持802.1x，而其他产品对802.1x的支持则很差，需要事后做些添补才行。

　　这就加重了NAC解决方案与网络基础设施之间缺少互操作性的情况。每家NAC厂商都有自己所偏爱的安全产品组合，假如你想把不同的产品进行混搭，就会发现，你要么无法进行NAC部署，要么部署了也无法支持网络的变化。结果将会产生一种很奇特的厂商锁定：你的NAC产品会限制你去更换网络中的交换机、身份认证基础架构以及端点安全产品等。

　　只有少数厂商真正出于自愿地采取了依据标准的做法。很显然，要想让NAC成为一种即插即用的解决方案，还有很长的路要走。

　　第四大障碍：部署困难

　　NAC 厂商们反复遇到的一个棘手难题就是部署的困难了。虽说我们所测试的很多NAC产品都允许在企业网中逐步地进行部署和安装，然而即便只是想配置一个由NAC厂商所保护的端口都是一件很繁琐的事情。更麻烦的是，NAC产品的安装过程可能包含许多关键性的决策点——这些决策一旦要变化，那么整个部署进程就得推倒重来。一些很简单的问题，例如“打算进行身份认证吗?”或者“我采用哪种机制进行接入控制?”等，本来就是一些如果没有实际经验就很难回答的问题——而你却必须在开始启用NAC之前就得作出决定。

　　我们的体验是，这些问题对于网络经理们来说确实很棘手。在我们的小型测试网络中，12款产品只有1款是在1天之内安装和调试成功的。其他大多数产品都花费了2到5天的时间才能够与不多的几台交换机和子网完全匹配。如果说在一个测试实验室中安装NAC都需要 这么长时间的话，可以想见在真实的企业网络环境中进行部署将会消耗更多的时间。

　　网络经理们还会发现，让NAC产品进入日常的运行和调试都将成为一种挑战。大多数NAC产品都会更改VLAN，在与网络设备交互工作时都会更改VLAN或交换机单个端口上的应用接入控制名单。网络运营团队将不得不学会如何通过现有设备去发现和操控这些动态变化。尽管交换机厂商已经简化了NAC的调试流程，但是在整个网络中也不可能全是最新的硬件和软件啊。

　　而当 NAC产品部署就位后，运营上的问题就会接踵而至，因为网络团队现在必须学会如何管理和调试这些新设备。而调试过程中最坏的情况是，有些产品需要手动控制一些协议单元，如ARP表项(Trustwave的NAC产品)，或者要将协议管理添加到网络中(Forescout的NAC产品)才能实现接入控制。但是由于这些产品的行为绝不会在网络正常运营时发生，所以一旦出现行为异常时，就没有简单的办法去调试它们。

　　第五大障碍：隐蔽的扩展性问题

　　在我们今年的测试中，NAC部署的一个很明显的弱点就是扩展性和可用性的相对缺失。在2007年的那次NAC测试中，我们曾发现过由于太多的流量通过单一控制点而产生的性能瓶颈问题。早期的NAC产品多半都是完全“串联式”的，这就是说你不得不在你想要控制的设备与网络的其余部分之间放置一台新购买的NAC 设备。

　　很多网络经理们都同意说，要想在整个企业网中进行扩展，就需要在边缘网络处强制执行NAC。而我们这一次所测试的产品都已经完全取消了全串联部署的要求，如今都能够工作在边缘网络，不过都有一些附带条件。例如McAfee的NAC设备在进行初始身份认证和执行端点安全连接检查时需要串联，但是重新配置网络便可以很快退出这种串联状态。Juniper的NAC既提供串联模式也提供边缘模式，在使用串联设备(例如Juniper防火墙)时能够比现有的边缘交换机提供更复杂的安全控制。很多NAC产品继续保留了全串联配置选项，因为在某些环境中(比如将NAC控制应用于WAN、VPN或无线网络)还需要这种配置。

　　虽然我们没有测试高可用性，但我们还是测试了每家厂商所提供的产品能否在出现各种不同类型的失效时保证网络的连续运行，结果发现每一款产品在这方面都是令人信服的。

　　但是网络经理们还是会担忧隐蔽的扩展性问题。我们所测试的一些产品在大规模网络中进行扩展时就出现了明显的问题。举例说，Forescout和 Trustwave的NAC产品一般都需要从它们所控制的端点系统上监控所有的流量。而这一点在大型网络中明显地会成为问题，既不容易理解，也不容易规划。还有一些不那么明显的扩展限制问题，比如对不可靠的SNMP流量的依赖，或者要求每台边缘交换机频繁地检测客户端的状态变化然后进行投票等。此类设计如果针对某一特定端点肯定是不错的，但是当网络迅速扩展，或者当比较老旧的交换机芯片因不曾预料到的管理流量激增而过载时，系统就会崩溃。

　　当我们和厂商们探讨测试中出现的此类问题时，我们得到的回答都是一样的：良好的售前沟通对于成功的部署来说至关重要。要想保证用户们所选择的NAC解决方案 将来可以正确地扩展，网络经理们就必须提供企业网络扩张期的尽可能详尽的信息，那么NAC厂商便能预先正确地规划其产品的部署规模。

　　第六大障碍：ROI和成本不能兼顾

　　好的网络经理应该可以为任何新技术的使用树立成功的案例。这里需要投入，那里需要节约。如果节约大于投入，那就是成功的案例。但是具体到NAC来说，网络经理们要想做出好的案例来却十分困难。

　　这倒不是说NAC带不来任何收益，而是说这些收益常常会陷入云山雾罩的安全ROI领域中，这个领域是最难计算投资回报的领域之一。为了避免小规模的攻击，投入多少值得?为了避免大规模的攻击，需要投入多少?这样的技术能够有效避免攻击吗?这些东西计算起来都很困难。

　　关于NAC的投资回报，只看厂商们提供的价格是无补于事的。有些厂商给我们的价格确实低廉，比如微软配备了Windows Vista、XP和Windows 7的全功能NAC产品，几乎是免费的。但是即便软件全免费，部署NAC也是成本很高的。它需要花费大量的时间，而时间就是金钱。你还必须买更多的交换机或者对现有交换机进行升级才行。你必须十分清楚如何让你的网络良好运行，必须为了很多内部的迁移、增添和变更而预作准备。

　　厂商们该做些什么?

　　NAC 肯定不能满足你的期望，但它也并非一无是处。Frost&Sullivan预测说，NAC厂商将销售7500部NAC设备，总价值至少达2.5亿美元，稳定的年均增长率大约为25%。厂商们尚未看到预测中的这种收入和增长。但是厂商们是够可以做些什么来推进NAC在企业中的部署呢?我们有3条建议：

　　1. 要解决企业组织上的问题，厂商应设计出能够打破网络、桌面和安全这三大要素各自为政局面的产品。假如NAC产品能让每个团队突破NAC的重重迷雾，将NAC产品最佳地部署到网络中，那么成功的可能性就会很大。

　　2. 说到NAC的ROI，有些企业已经看到了NAC所带来的成本节约，因为它降低了数据泄漏或入侵的风险。下面是NAC厂商应该走的方向：即便在缺少安全收益数据时也能计算出其产品所带来的价值。在我们的测试中，我们已经看到了一些设计很好的仪表盘和可见性工具，其价值已经不言而喻。这是任何NAC部署力图促使NAC成为主流所必须的。

　　3. NAC的复杂性是必须要克服的最困难的障碍。厂商们为其产品添加了很多功能，增加了产品的复杂性，这是他们根据用户的需要而添加的。他们不太可能抛弃这一切，从零开始。

　　但是，假如风险投资家们继续为新兴企业提供资金，那么就会有人吸取行业内他人的教训而推出拥有简洁架构的新产品。如若不然，NAC就只能继续作为一个伟大但却不切实际的概念继续忍受着市场的煎熬。

延伸阅读：

网络访问控制(NAC)详解手册