您现在的位置是:首页 > IT基础架构 > 网络与安全 >

网络上实施思科NAC五大步

2008-09-10 23:02:00作者:何庆源来源:

摘要在你在自己的网络上实施网络准入控制(Network Admission Control,简称NAC)之前,你首先需要清楚你要进行什么操作;在多数情况下,NAC可能是一个大型的复杂项目,而不管你要实施哪家厂商的产品。笔者将以思科的NAC产品为例,将其实施步骤分解为五步,并讨论一些你需要关注...

  在你在自己的网络上实施网络准入控制(Network Admission Control,简称NAC)之前,你首先需要清楚你要进行什么操作;在多数情况下,NAC可能是一个大型的复杂项目,而不管你要实施哪家厂商的产品。笔者将以思科的NAC产品为例,将其实施步骤分解为五步,并讨论一些你需要关注的问题。
 
  第一步:实施之前首先需要定义目标
 
  现在几乎人人都在谈论NAC,不过千万不可贸然行事。首先,在投入时间和金钱之前,先问自己如下几个问题,只有这样你才能更好地定义自己的目标:
 
  需要保障安全的是什么对象?
 
  我们在什么地方缺乏安全性,思科的NAC如何帮助我们解决这些问题?
 
  实施一个思科NAC解决方案的总体影响是什么?除了保障PC(或其它的任何目标)的安全,对帮助台的工作人员、终端用户、在外的销售人员、远程访问用户会有什么影响?
 
  实施思科的NAC方案的益处与由此引起的影响孰轻孰重?
 
  在这个时点上你真得需要采用NAC吗?对于任何专家来说,何时实施NAC都是一个难以回答的问题。当然,NAC目前提供了一些重要特性,而且它毫无疑问地会使你的网络更安全。然而,NAC的技术性能与特性仍处于初期阶段。
 
  你需要审视是什么驱使你决定实施NAC.不要因为这是一种趋势而采用它,要确信这项技术适合你公司的需要,并且能够解决安全问题,而不会给用户或管理员带来太多的负担。
 
  此外,还要记住,你可能没有足够的信息来获知实施这样一种大型方案所带来的影响。例如,可能你并不知道定期外出的销售人员会从副总裁的办公室连接到你的网络中。如果你实施了思科的NAC,而副总裁却大发雷霆,因为你实施了这种新的安全措施,结果他最喜欢的销售人员无法访问互联网,你该怎么办?这些问题总是令人难堪,因此要在其发生这前尽力阻止其发生。
 
  第二步:定义NAC项目的实施范围
 
  在将任何资金投到一个思科NAC项目之前,你的思科销售商应能够为你提供某个工作范围,它应该一步一步地告诉你思科的NAC项目将包含哪些东西。
 
  将工作范围与它可能为企业带来的利益、需要和弊端相比较。考虑这个范围适合你的需要吗?你正在进行的工作能够真得能为你解决问题吗?
 
  第三步:你的NAC系统将如何设计?
 
  一旦你认为自己不是为了赶时髦而购买这种最新的最流行的方案,就要问一下自己,应该如何设计NAC的实施。因为思科NAC可在网络中的不同点上实施,所以公司提前知道其执行点应该在什么地方是很重要的。一般说来,NAC可被部署在三个点上:内联(inline)、带外(out-of-band)、软件代理。
 
  实际上,执行点的问题是伴随着NAC实施的最重大的设计问题之一。例如,如果一家公司将其NAC系统设计为“内联式”,而NAC设备失效,那么此设备后面的所有计算机将再也不能访问网络了。IT管理人员应该准备好相关的文件材料和人员培训,要知道一旦发生这种情况应采取哪些措施。
 
  最后,要考虑哪种类型的NAC设计能够满足你的安全需要,并且尽可能地不打扰终端用户。例如,你可以采用思科、Nevis、Vernier等厂商提供的“内联式” 方案,或者采用ForeScout提供的“带外”方案。另外一方面,你还可以用来自思科、InfoExpress、Elemental等公司的软件代理来部署NAC.笔者以为,思科的内联式设计目前更为流行,因为其相对而言部署和管理起来都不太复杂。

 

 

  第四步:分析和测试你的NAC选择
 
  除非你过去实施过NAC,与仅仅自己动手摸索、操作相比,观察分析和分析白皮书的帮助作用可能并不太大。因此,在你将其在自己的网络上测试之前,你不应该购买一个NAC方案。你的思科产品销售商应在这方面提供帮助。
 
  一旦你已经测试了一个NAC方案,就需要确定它会执行你要求的任何事情。例如,NAC解决方案应该能够运行一次预准入检查、后准入检查、主机地位检查。此外,一个NAC方案还应该能够用现有的架构确认你的网络资源。例如,一个NAC解决方案应该能够用Windows的活动目录来确认用户和计算机。
 
  要问一下自己实施一个NAC方案对你的真正含义。任何一种在全公司实施的产品(它可能要涉及到每一个设备)将会相当昂贵。实施的成本将依赖于你作出的设计选择,因此一定要确保你用所实施的方法衡量自己的设计选择。例如,部署软件代理可能要比基于硬件的方法花费更少。
 
  另一方面,在网络中插入一个独立的NAC设备可能不会花费太多时间,但其配置成本却可能很高,因此需要准备一个备份单元,以应对主要单元失效的问题。
 
  小型测试的例子可能有:
 
  为来宾网络设置一个NAC解决方案:对于临时来访的销售人员等,需要访问一个用思科NAC设备保障其安全的网络。因此,其计算机就可以用最新的反病毒定义、操作系统补丁等检查。
 
  为一小组节点设置一个NAC解决方案:用此方法,在将一个NAC方案在整个系统中实施之前,你就可以看出一个插入式NAC是怎样的。
 
  仅为无线用户设置一个NAC:如果你有大量的无线用户,就应当通过这些用户的子集实施测试。
 
  第五步:在网络中实施NAC
 
  在所有的正确计划之后,你决定在你的网络中实施NAC结构,不过还有一些问题需要考虑:
 
  谁来实施?是组织中的拥有NAC经验的任何人吗?或者你要依赖于一个外部的公司来实施?
 
  NAC如何适应你的网络安全策略?为强化安全,NAC的实施必须与对网络安全的改变保持一致和统一;你绝对不希望人们想方设法绕过NAC和你设置的安全措施。
 
  你如何展开NAC系统的部署?
 
  这种实施对用户的总体影响是什么?
 
  最后,实施计划看起来是什么样子?实施计划适合你最初的需要吗?谁来评审计划以确保它的简易可行?此计划是基于所执行的动态测试吗?
 
  在任何生产性网络上实施NAC不是一个简单任务,因此你需要保障你的实施计划得到了测试并如计划进行。
 
  结束语
 
  当然,这些措施并不限于思科的NAC,而是几乎可适用于任何NAC解决方案。虽然NAC是一个十分时髦的词,但你要保障不是因为它流行才采用。你需要确信你的网络真得存在安全问题,而这种NAC的实施能够真正地解决这些问题。你不妨问一下自己本文中所提出的问题,并试着用其保障NAC方案的实施获得成功。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们