您现在的位置是:首页 > IT基础架构 > 网络与安全 >
网络接入控制(NAC)选择之开源NAC选型
摘要网络接入控制(NAC)在当今的网络世界中可谓如日中天,虽然其产品仍处于早期阶段。大型的商业类NAC产品可能价格不菲,一种便宜的选择是开源方案。...
网络接入控制(NAC)在当今的网络世界中可谓如日中天,虽然其产品仍处于早期阶段。大型的商业类NAC产品可能价格不菲,一种便宜的选择是开源方案。
你为什么要考虑开源选择呢?
开源的NAC产品对市场造成的影响是巨大的,因为它使商业类的NAC厂商不能洋洋自得。厂商们必须知道,总会有一些免费的方案存在,而且正被稳健地改进着;这对于商业类厂商增强其产品性能和调整价格方面是一个重要的驱动因素。
此外,开源NAC推动着整个NAC市场形成更多的NAC标准并鼓励革新。开源产品允许你访问开源代码。也许有一种你需要但却不存在的特性,用开源NAC,你就能够定制软件使其适合你的喜好。
几年来,开源产品已经显示出他们能够以零成本(或极低的成本)提供可靠的功能强大的产品。我们可以看一下Linux OS、 Asterisk VoIP 电话系统、Snort、 Nmap、Nessus等产品,所有的这些都是商业产品成功的替代产品。
如果一个产品有很好的团体支持,那么其特性将能够很快地被确认并加以发展。这个过程与商业类产品相比会更加快捷。
成本当然是管理员们经常转向开源产品的一个最重要的原因;许多人选择一个产品仅仅因为它价格便宜。与一个免费的产品相比,证明一个贴着高昂价格标签的商业产品的可行性的难度要大得多。
选择开源NAC产品有什么弊端吗?
当然,“免费”产品并非十全十美。总体而言,开源软件可能易于缺乏其开发者的技术支持,缺乏升级,甚至缺乏互操作性。如果你要求Windows操作系统的支持,并告诉他们你正在运行开源的NAC,你不可能得到任何的支持。对技术支持的潜在缺乏将使许多开源软件用户转而成为程序员和开发人员,他们有可能会花费大量的时间来修正问题。
此外,可能会存在着对你的开源方案实施的一些支持。换句话说,在具体实施时你并没有太多的外援,可以说主要依靠自力更生。对于那些喜欢DIY的用户来说,这可能是不错的。不过这并不是每一个管理人员所需要的。
开源的NAC选择方案哪些?
在当今的市场上,并不缺乏开源的NAC参与者。因为NAC是一个热点问题,它成为开源开发者们要为其编写程序的题目。下面是笔者所发现的开源NAC厂商,而且笔者认为比较不错:
PacketFence Zero Effort NAC (ZEN):这是一个虚拟设备操作系统,它运行在Windows或Linux系统内。它可以在设备连接到网络上时执行策略检查。ZEN基于Fedora Linux、LAMP、Perl和Snort。根据其Web站点的介绍,它被用于全世界的大学中。它并不需要任何种类的思科硬件,并且在任何网络中都可以正常运作。PacketFence ZEN由哈佛的两位IT人员开发,拥有一个Web的图形用户管理界面,并且是免费的。
FreeNAC:它由瑞士的Swisscom所开发,是一个开源的软件项目,不过近来也提供商业版本。其商业版本提供了免费版本所没有提供的一些额外特性,而且你可以获取其安装和支持。它使用802.1x或思科的VMPS。 此外,FreeNAC还可以提供VLAN和交换机的端口管理、文档编制、端口电缆信息、设备发现等功能 。
更多的开源NAC:根据Network World一篇文章的介绍,现在有许多大学正在开发开源的NAC项目。如美国的卡内基梅隆大学和堪萨斯州大学的开发人员已经开发了自己内部的NAC方案。在卡内基梅隆大学,这个产品称为NetReg,其使用还扩展到其它大学。在堪萨斯州大学,其定制的产品称为Rings。这个产品将一个用户与一个MAC地址联结起来,并胜使用一个Java 代理来检查客户端试图连接到网络的PC。在KU,这种Rings产品拥有其自身的DHCP服务器,这也是使它成为一个专门产品的一个方面。
那么,思科是怎样做的呢?思科属于开源的NAC提供者吗?现在不是,不过未来的产品可能是。思科宣称它们将停止增强目前由其NAC框架所使用的思科安全代理(CTA)。它们起初宣称下一代NAC客户端将交给开源团体,不过它们后来又收回了那个决定。
另外一个NAC厂商StillSecure确实以开源软件的形式发布了一个免费的NAC产品版本。StillSecure的免费NAC产品也称为Safe Access Lite。
此外,赛门铁克和其它的五个厂商已经宣告他们将联合起来构建一个开源的NAC客户端。赛门铁克、TippingPoint、 Trapeze Networks、 Extreme Networks、 Identity Engines、Infoblox等公司已经形成了一个称为Open Secure Edge Access Alliance的组织来开发这个客户端。这个客户端从技术上可称为一个NAC的请求者。这个请求者运行在你的设备上,并要求获得准许从一个访问控制服务器连接到网络。这个访问控制服务器可以增强你的NAC安全策略,如反病毒定义的文件版本、操作系统补丁的水平,以及防火墙的设置等等。
不要“闭关锁国”
既然NAC市场和产品尚处于成长阶段,笔者相信对于一些开源NAC产品来说,要想大行其道还有很大的拓展空间,而且这也能够给商业类的产品激烈竞争的机会。在这一点上,NAC商场确实比较热,不过以笔者的观点,市场上并没有真正的领军人物,而且在选择这些方案之前,你应该告诫自己需要保持清醒的头脑。
开源的NAC方案能够在许可证上为你节省大量的金钱,而且还可以给你所需要的灵活性。不过,要使用开源的NAC,你必须愿意将更多的精力投往这个产品,因为它们是为那些愿意自己动手的管理人员所设计的。还有,将商业类产品的评估与开源产品的评估进行比较是一个非常聪明的举动。
(本文不涉密)
责任编辑: