网络访问控制(NAC)能够确保网络安全
http://itpx.eol.cn 来源: 作者: 2010-08-04 大 中 小
谈起网络访问控制(NAC),人们都认为它是一个复杂的、不断演变的并且有争议的技术。这要取决于你是听从哪家公司的了,一般情况是,Gartner公司已经拥有并推出NAC三年了;Forrester研究公司认为这项技术是良好的网络安全架构的一个关键组成部分。很可能正如你听到的那样,它是一个形状转换器,没有一个主要的标准。
为了能够得到一些明确的思路,我们采访了三位已经部署了网络访问控制的用户。他们每个人都选择了一个不同的方法。第一种方法就是,NAC配置,走出大学里网络的安全遵从配置的主要动机。随着Central Michigan University (CMU)大学的IT人员更加倾向使用NAC,它们能够使大部分人能够访问网络,将一小部分局限在外。
一个或两个蠕虫病毒
当2003年,学校考虑为27000名大学生部署网络访问控制系统时,这个普通的大学确实有过真实的本地化的痛处。它并不想最终像 Michigan State一样,Blaster和Nachi两个蠕虫病毒摧毁了这个地区的网络。它同时也没有保护好自己的防护线,阻止这个讨厌的蠕虫,必须要依赖有经验的志愿者。
“我们关闭了所有宿舍的网络访问,然后集中学生避开,一次性进行学生系统修补,我们共有26个学生宿舍和公寓,” CMU大学主要校区的网络管理者 Ryan Laus说。
为了防止入侵病毒,网络、帮助台和宿舍员工毁掉了携带最新Windows补丁和学校许可的杀毒软件包的1600多个CD。在不到三天的时间里,大约就有6000多个使用未打补丁系统及过时的防病毒程序的用户出现。另外还有800多个与病毒相关事件发生。因为并不知道是谁的系统被感染了,所以IT关闭了所有的网络,这引起了一部分同学的不满。
这个大学希望有一个自动的流程能够在学生接入到CMU网络前检查他们的设备,如果发现哪个同学的系统被感染了,就要尽快隔离。来自 Bradford Networks公司的一个基于配置的,或者“带外的”的NAC解决方案正好满足了这种需求。这家提供商针对这家大学制定了专门的校园管理解决方案,但是对于CMU来说, 最大的优势是,这个配置不必要放在inline。
“我们有入侵防御系统,我相信我们还会有(WAN优化)Packeteer系统,所以没有必要增加其他的内嵌装置,” Laus说。“我们不希望在我们的网络上再增加新的链接。”如果带外系统毁坏了,那么它只能影响到在那个时候注册的人。在大学网络里的其他用户将不会受到影响。
校园管理者需要管理、保护和控制大约17000个进入CMU网络的设备,学校在会议上已经加强了大学的网络认证和注册政策,其中包括快速认证、定位和追踪网络客户端、隔离危险用户和设备到检疫区。你可以在供应商的网站上案例研究部分阅读到CMU的故事。
“这是一个非常容易的销售。你必须确保你的网络安全,” Laus提醒道。初步的开支大约是100000美元,这个大学使用了四个配置,并支持22000个许可。
免责声明:
① 凡本站注明“稿件来源:中国教育在线”的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本站协议授权的媒体、网站,在下载使用时必须注明“稿件来源:中国教育在线”,违者本站将依法追究责任。
② 本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。