论文部分内容阅读
综合布线中基于硬件的网络接入控制、基于代理的软件网络接入控制、无代理的软件网络接入控制或者动态网络接入控制全都可以改善网络安全。要选择正确的解决方案,IT经理需要考虑他们网络接入控制部署的目标,包括理想的安全水平和管理水平,网络接入控制厂商InfoExpress公司首席执行官、首席技术官和共同创始人Stacey Lum介绍了IT经理需要了解什么知识才能确定适合自己环境类型的最佳网络接入控制选择。
网络接入控制能够改善安全是没有争议的。网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户,并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候,网络接入控制能够创造一个没有病毒感染的通讯流并且没有与安全突破有关的许多其他风险的网络。
很诱人,是吗?是的。但是,没有天上掉馅饼的好事。许多网络接入控制解决方案都太昂贵以至于不能部署和管理。我们在这篇文章中将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。但是,在我们讨论这个问题之前,我们需要简单再了解一下网络接入控制的四种主要类型:基于硬件的网络接入控制;基于代理的软件网络接入控制:无代理的软件网络接入控制;动态网络接入控制。
无论你选择哪一种网络接入控制解决方案,你都需要考虑你部署网络接入控制的目标,如安全与管理水平以及根据你的企业和网络规模的其他因素。
1 网络接入控制与地理分散的网络
对于一个大型网络,有许多部署、管理和运营的考虑。例如:位于交换机上游的基于硬件的网络接入控制解决方案产生一个潜在的单个故障点。如果这些解决方案跟不上目前高速的10G网络干线的速度,这些解决方案就是破坏性的。
而且,网络接入控制解决方案对于地理上高度分散的或者高度分段的网络也许都是不理想的。这种解决方案不仅需要在每一个地方都有一台设备,而且这些方法提供的网络通讯的可见性也非常差。
当你看不到或者不能阻止一个大型子网上的入侵者的通讯的时候,相信你使用网络接入控制获得更大的安全性是没有意义的。带外的替代方法,如使用802.1x的选择,经常需要改变网络和服务器的许多设置。这需要额外的隔离网络和每一台交换机的端口的设置以及需要设置路由器和交换机的访问规则。这不仅增加了管理成本,而且还增加了出现错误的风险。基于硬件的网络接入控制显然并不便宜,或者说并不是一种万灵药。
但是,基于硬件的网络接入控制能够提供高水平的安全,因为它们的重点是网络通讯,能够发现在线路上运行的安全漏洞。
在地理分散的网络中采用基于软件的方法,管理性的挑战依然存在,但是,这些挑战转移到了端点,需要在每一个端点安装一个软件代理。虽然无代理的网络接入控制方法能够减轻这种管理负担,但是,无代理的网络接入控制不能提供一种一致的方法以全面地评估这个端点的状态。这就意味着用重要的安全功能交换可管理性。
因为动态网络接入控制只能利用一部分系统作为安全强制执行者,动态网络接入控制实际上能够帮助你利用分布式网络的力量保护自己。
2 保证中小企业的安全
中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法,如802.1x网络配置,以及在发生问题的时候正确地排除故障。此外,由于资源的局限性,中小企业经常把IT团队的重点放在发展业务的IT计划上。
这正是基于软件的网络接入控制要做的事情:在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上,对于中小企业来说,在防御代理方面有许多可说的事情。例如:在端点能够达到更高水平的审查,从而增强安全性。现实是,代理可以是现有的引起中断最少的解决方案,特别是应用到网络通讯的时候,因为代理是在后台悄悄地运行的,只是定期地向服务器发送更新。因此,如果你是IT资源有限的中小企业,这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
3 理想的安全水平
不管你的企业和网络规模有多大,你都需要用理想的安全水平去权衡成本与可管理性。这是普遍的现象,因为内部文化,容忍风险的限度或者这个企业是否处在管理非常严格的行业等因素都决定了企业应该采取更高水平的安全,还是选择管理的方便性。
例如:如果安全是唯一的考虑的话,基于硬件的802.1x(带外的)解决方案也许是最佳的选择。虽然无代理的网络接入控制避开了安装和维护代理的需求,但是,它也付出了代价。无代理的方法不能提供一种一致的方法来全面评估端点的状态。此外,由于通过检查网络通讯可以确定身份,用户可能会欺骗这个系统。
动态网络接入系统也许会提供管理性和安全之间的正确的平衡。
4 网络接入控制的成本
无论你是一家地理上分散的零售商、制造商或者金融服务公司,管理每一个地方的网络接入控制设备很快将变得非常昂贵。考虑一下,每一个基于硬件的网络接入控制设备都需要大约2万美元。此外,那个设备还需要为初次安装和配置这个设备的专家支付旅差费和工时费。然后,还有持续不断的维护和更新的费用负担。
在某些情况下,根据你的架构的性质,如果不对你的网络配置进行重大的和有风险的修改,远程管理也许就不能实现。如果你要降低成本,基于软件的网络接入控制解决方案也许是一个可行的选择。
5 合作
根据你的需求,把网络接入控制作为一个全面的IT安全解决方案的一部分进行实施也许是最佳的选择。许多大型基础设施厂商已经与安全厂商合作以便用最好的安全技术提供他们的服务。
正如你看到的那样,在你采用网络接入控制之前你有许多事情要考虑。我们希望这篇文章能够帮助你简化这些选择。无论你选择什么类型的解决方案,你最终都将扣动扳机和开始部署。那是你需要一个部署战略的时候。网络接入控制最好是分阶段地实施。这就是说要逐步地部署网络接入控制设备,逐步地解决一个具体的需求或者保证某一个站点的安全或者保证一个网段的安全。随着你更加熟悉这个网络接入控制解决方案,你可以在整个企业部署这个解决方案。在开始的时候,你要计划一个合理的时间数量来监视它的工作情况,向管理员提供一些时间让他们了解网络接入控制对系统和你的网络的影响。
此外,在你启用任何强制功能之前,你要保证你有一个很好的补救措施战略。你会简单地以不符合系统要求封锁人们进入网络吗?你会很好地与补丁管理软件结合在一起吗?你还需要知道你将在什么地方存储你的补救措施文件和不符合要求的任何系统的指令。
尽管由于某些网络接入控制解决方案部署得不够好,导致网络接入控制正面临市场上的某种程度的抵制,考察网络接入控制比以往任何时候都重要。网络接入控制解决方案最近不仅取得了一些进步,而且失败的解决方案的许多问题是由于没有全面地思考网络解决控制从而选择了错误的解决方案,太匆忙地进入了部署阶段或者试图以非常快的速度做太多的事情,现在,你知道如何把事情做得更好了吧。
网络接入控制能够改善安全是没有争议的。网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户,并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候,网络接入控制能够创造一个没有病毒感染的通讯流并且没有与安全突破有关的许多其他风险的网络。
很诱人,是吗?是的。但是,没有天上掉馅饼的好事。许多网络接入控制解决方案都太昂贵以至于不能部署和管理。我们在这篇文章中将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。但是,在我们讨论这个问题之前,我们需要简单再了解一下网络接入控制的四种主要类型:基于硬件的网络接入控制;基于代理的软件网络接入控制:无代理的软件网络接入控制;动态网络接入控制。
无论你选择哪一种网络接入控制解决方案,你都需要考虑你部署网络接入控制的目标,如安全与管理水平以及根据你的企业和网络规模的其他因素。
1 网络接入控制与地理分散的网络
对于一个大型网络,有许多部署、管理和运营的考虑。例如:位于交换机上游的基于硬件的网络接入控制解决方案产生一个潜在的单个故障点。如果这些解决方案跟不上目前高速的10G网络干线的速度,这些解决方案就是破坏性的。
而且,网络接入控制解决方案对于地理上高度分散的或者高度分段的网络也许都是不理想的。这种解决方案不仅需要在每一个地方都有一台设备,而且这些方法提供的网络通讯的可见性也非常差。
当你看不到或者不能阻止一个大型子网上的入侵者的通讯的时候,相信你使用网络接入控制获得更大的安全性是没有意义的。带外的替代方法,如使用802.1x的选择,经常需要改变网络和服务器的许多设置。这需要额外的隔离网络和每一台交换机的端口的设置以及需要设置路由器和交换机的访问规则。这不仅增加了管理成本,而且还增加了出现错误的风险。基于硬件的网络接入控制显然并不便宜,或者说并不是一种万灵药。
但是,基于硬件的网络接入控制能够提供高水平的安全,因为它们的重点是网络通讯,能够发现在线路上运行的安全漏洞。
在地理分散的网络中采用基于软件的方法,管理性的挑战依然存在,但是,这些挑战转移到了端点,需要在每一个端点安装一个软件代理。虽然无代理的网络接入控制方法能够减轻这种管理负担,但是,无代理的网络接入控制不能提供一种一致的方法以全面地评估这个端点的状态。这就意味着用重要的安全功能交换可管理性。
因为动态网络接入控制只能利用一部分系统作为安全强制执行者,动态网络接入控制实际上能够帮助你利用分布式网络的力量保护自己。
2 保证中小企业的安全
中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法,如802.1x网络配置,以及在发生问题的时候正确地排除故障。此外,由于资源的局限性,中小企业经常把IT团队的重点放在发展业务的IT计划上。
这正是基于软件的网络接入控制要做的事情:在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上,对于中小企业来说,在防御代理方面有许多可说的事情。例如:在端点能够达到更高水平的审查,从而增强安全性。现实是,代理可以是现有的引起中断最少的解决方案,特别是应用到网络通讯的时候,因为代理是在后台悄悄地运行的,只是定期地向服务器发送更新。因此,如果你是IT资源有限的中小企业,这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
3 理想的安全水平
不管你的企业和网络规模有多大,你都需要用理想的安全水平去权衡成本与可管理性。这是普遍的现象,因为内部文化,容忍风险的限度或者这个企业是否处在管理非常严格的行业等因素都决定了企业应该采取更高水平的安全,还是选择管理的方便性。
例如:如果安全是唯一的考虑的话,基于硬件的802.1x(带外的)解决方案也许是最佳的选择。虽然无代理的网络接入控制避开了安装和维护代理的需求,但是,它也付出了代价。无代理的方法不能提供一种一致的方法来全面评估端点的状态。此外,由于通过检查网络通讯可以确定身份,用户可能会欺骗这个系统。
动态网络接入系统也许会提供管理性和安全之间的正确的平衡。
4 网络接入控制的成本
无论你是一家地理上分散的零售商、制造商或者金融服务公司,管理每一个地方的网络接入控制设备很快将变得非常昂贵。考虑一下,每一个基于硬件的网络接入控制设备都需要大约2万美元。此外,那个设备还需要为初次安装和配置这个设备的专家支付旅差费和工时费。然后,还有持续不断的维护和更新的费用负担。
在某些情况下,根据你的架构的性质,如果不对你的网络配置进行重大的和有风险的修改,远程管理也许就不能实现。如果你要降低成本,基于软件的网络接入控制解决方案也许是一个可行的选择。
5 合作
根据你的需求,把网络接入控制作为一个全面的IT安全解决方案的一部分进行实施也许是最佳的选择。许多大型基础设施厂商已经与安全厂商合作以便用最好的安全技术提供他们的服务。
正如你看到的那样,在你采用网络接入控制之前你有许多事情要考虑。我们希望这篇文章能够帮助你简化这些选择。无论你选择什么类型的解决方案,你最终都将扣动扳机和开始部署。那是你需要一个部署战略的时候。网络接入控制最好是分阶段地实施。这就是说要逐步地部署网络接入控制设备,逐步地解决一个具体的需求或者保证某一个站点的安全或者保证一个网段的安全。随着你更加熟悉这个网络接入控制解决方案,你可以在整个企业部署这个解决方案。在开始的时候,你要计划一个合理的时间数量来监视它的工作情况,向管理员提供一些时间让他们了解网络接入控制对系统和你的网络的影响。
此外,在你启用任何强制功能之前,你要保证你有一个很好的补救措施战略。你会简单地以不符合系统要求封锁人们进入网络吗?你会很好地与补丁管理软件结合在一起吗?你还需要知道你将在什么地方存储你的补救措施文件和不符合要求的任何系统的指令。
尽管由于某些网络接入控制解决方案部署得不够好,导致网络接入控制正面临市场上的某种程度的抵制,考察网络接入控制比以往任何时候都重要。网络接入控制解决方案最近不仅取得了一些进步,而且失败的解决方案的许多问题是由于没有全面地思考网络解决控制从而选择了错误的解决方案,太匆忙地进入了部署阶段或者试图以非常快的速度做太多的事情,现在,你知道如何把事情做得更好了吧。