供应商对比:支持移动性的网络访问控制解决方案(NAC)

日期: 2012-03-18 作者:Amy Larsen DeCarlo翻译:曾少宁 来源:TechTarget中国 英文

经过几年的发展,网络访问控制(NAC)解决方案市场开始进入真正的复兴期。移动性,或者企业网络中员工自带设备的增加,将NAC解决方案需求提高到新的高度。   这些解决方案都具有许多不同的移动访问控制机制,其中包括身份验证、访问控制措施和终端安全。但是,一般情况下,由于供应商的强项与关注点不同,NAC解决方案也各有千秋。

现在,NAC解决方案提供商可以分成几个类别,其中包括网络交换与路由提供商;提供独立NAC产品或在大产品中整合NAC技术的安全公司;以及只专注于这项技术的专业公司。   每一个供应商都有不同的最佳路由喜好,目的是保护网络不受未知和有害的攻击,同时仍然能够保持移动性。在本篇关于NAC供……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

经过几年的发展,网络访问控制(NAC)解决方案市场开始进入真正的复兴期。移动性,或者企业网络中员工自带设备的增加,将NAC解决方案需求提高到新的高度。

  这些解决方案都具有许多不同的移动访问控制机制,其中包括身份验证、访问控制措施和终端安全。但是,一般情况下,由于供应商的强项与关注点不同,NAC解决方案也各有千秋。现在,NAC解决方案提供商可以分成几个类别,其中包括网络交换与路由提供商;提供独立NAC产品或在大产品中整合NAC技术的安全公司;以及只专注于这项技术的专业公司。

  每一个供应商都有不同的最佳路由喜好,目的是保护网络不受未知和有害的攻击,同时仍然能够保持移动性。在本篇关于NAC供应商对比的文章中,本站详细分析了顶级提供商解决自带设备(BYOD)环境中NAC问题的方法。结果发现,供应商之间既存在一些显著的战略差别,也有一些相同点。

  支持移动性的五大NAC解决方案

  Aruba Networks在2011年11月收购了Avenda Systems,获得了该公司的eTIPS策略决策点(PDP),这个产品可以阻止或限制设备的网络访问权限。eTIPS是一种感知身份的NAC解决方案,它使用RADIUS及其他协议,如SNMP、SSH或TACACS,让路由器与交换机进行设备访问控制。访问权限基于企业政策,它与设备的安全配置要求与用户角色有关。这个解决方案在一个集中界面上整合了验证与授权的管理、监控和报告功能。

  eTIPS会挖掘来自不同数据存储的身份信息,其中包括Active Directory、LDAP和SQL。然后,eTIPS将信息(如位置、日期、时间和认证类型)与特征数据使用环境相结合。这个解决方案会使用无代理方法评估连接设备的安全状态,具有反病毒、反垃圾邮件、防火墙及其他保护措施。这项技术特别适合多供应商环境,它同时支持有线与无线设备供应商,包括思科、Enterasys和Juniper。eTIPS还支持许多托管和非托管设备,范围不局限于常规移动设备,还包括一些制造设备、医疗设备和摄像器材。根据最近收购的特点,eTIPS可能在未来会有技术整合。这项技术很适合作为Aruba无线设备产品的补充。

  思科的基于代理的身份服务引擎(ISE)有两个版本:基础版本提供基于802.1x的验证与执行;高级版本能够检查设备的合规性,包括补丁、反病毒及其他企业安全配置需求。思科ISE根据分配的用户角色、分组、工作位置与验证结果进行流量转发。

  基于Radius的设备同时支持思科与非思科设备,它可将流量限制在有限的访问访客区,这很适合在BYOD环境中使用。思科ISE解决方案是基于订阅的定价模式,与更传统的CapEx模式相比,这种模式实际上就长期而言并不便宜。

  ForeScout Technologies的 CounterACT平台组合了NAC与威胁防护及终端防护,为大型企业提供了一种多面解决方案,支持多种设备集。这家专业安全供应商使用单独一种设备和无代理方法减少部署时间,并且支持更多的终端。此外,这个云安全厂商还瞄准BYOD领域,增加了一些特性,如游客网络,它允许设备和其他非托管终端访问部分资源。CounterACT可以通过多种方法控制访问,直到修复完成。这些方法包括使端口无效、VLAN控制、VPN中断、网络设备中的接入控制清单 (ACL)模块、无线允许/拒绝和隔离。

  虽然ForeScout是一个相对较小的公司,但是这个供应商已经成功地拥有一些客户。它的无代理解决方案最受那些业务动态变化频繁的大型公司的欢迎。这些公司都希望尽快地部署NAC解决方案。

  Juniper的无代理NAC解决方案包括几个网关设备,它们分别针对合规性和扩展性要求非常严格的中型、大型和政府客户。Juniper产品的品牌名称为统一访问控制(UAC),它们能够验证访客用户身份,根据用户角色与设备安全配置的企业策略,在有线与无线网络之间进行流量转发。UAC设备通过2层桥接方式连接企业网络,能够为终端设备分配企业IP地址。它的Junos Apple iOS客户端支持各种苹果设备,如iPad和iPhone。由于UAC设备是基于标准的,所以它们很适合在混合网络环境中使用。此外,UAC设备极具扩展性,一台设备就能够管理多达200名用户。

  McAfee有独立的NAC产品,它的终端保护套件中也有NAC支持,这个套件还包括合规性审查和终端安全性功能。此外,McAfee NAC产品还能够通过特定的软件与 McAfee的IPS设备进行整合。从而,这些产品可根据企业安全政策使用IPS控制设备的进出访问。McAfee解决方案还有一个安全访客访问入口,它处理非托管设备,这个入口会验证设备的安全状态,以此决定是否允许转发到所请求的资源,或者将它隔离,直至设备配置完成更新。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐