四大“门神”阻击非法访问

申请免费试用、咨询电话：400-8352-114

在蠕虫、僵尸机和僵尸网络盛行的时代，移动计算机本身也成了一种特洛伊木马。本文设计了六大典型企业应用场景，对市场上主流的四款网络访问控制（NAC）解决方案进行了横向评测，四种NAC策略的优劣昭然若揭。

最基本的网络访问控制（NAC）方案应该具有这种功能: 当系统试图连接到网络上，或者试图进入网络的某个部分（譬如，当它们从边缘交换机连接到核心交换机）时，NAC就会对系统执行企业制订的策略。NAC系统可以对该设备作出决定，然后根据这种决定作出访问控制决策。设备状态有的与已知用户进行验证一样简单，有的与外部或者内部扫描客户机系统一样复杂。外部扫描可能会查找已知漏洞和开启的端口等，而内部扫描会检查操作系统的运行参数和补丁级别、已安装或者运行中的进程、应用程序的更新状态如防病毒特征等等。基于这种“安全状况（posture）”，NAC系统确定该设备获得什么样的访问权（如果获得访问权的话）。结合验证和安全状况就可以获得大量信息，实现NAC策略的细粒度。

另外还要考虑设备在被授予访问权之后出现的变化。无论用户是恶意为之还是无意为之，随着新的进程激活、新的漏洞传播，或者出现导致设备成为攻击者的其他事件，设备在获得访问权后，可能会对网络构成威胁。比较先进的NAC系统能够检测到这几种事件，并且在设备最初连接到网络的时候及时触发有关应对策略。

本文测评了四款NAC解决方案：Enterasys Sentinel Trusted Access、McAfee策略执行器、赛门铁克网络访问控制和趋势科技Network VirusWall Enforcer。我们设计了企业中很典型的六种不同场景，并对每款NAC解决方案进行了配置，以便尽可能正确地处理这些场景。六种场景包括：未通过验证的来客进行访问、通过验证的来客（使用802.1x或者基于Web的验证）进行访问、通过验证的用户（包括设备安全状况良好及安全状况不好）进行访问，以及拥有特殊访问权的特权用户进行访问。

Enterasys：功能最全 配置困难

Enterasys NAC解决方案结合了该公司的Sentinel可信访问管理器（TAM）1.1、Sentinel可信访问网关（TAG）1.1、NetSight策略管理器2.2、NetSight自动安全管理器2.2、Dragon安全命令控制台7.2.5和Dragon网络入侵检测系统7.1。Sentinel系统可以利用Enterasys交换机系列广泛的基于端口的策略功能，但没要求必须有这些功能。Enterasys 结合了策略管理、访问管理和网络IDS等功能，针对我们的测试场景提供了全面而复杂的响应机制。

系统的配置需要三个相关但独立的应用软件，还要能够连接至外部系统用于安全状况扫描和IDS。策略用NetSight策略管理器创建，然后发送到相应的网络执行点。Sentinel TAM负责管理执行策略的Sentinel TAG，它提供了验证代理和网络执行功能。一个TAM可以管理多个TAG，这样就可以集中管理广泛分布的网络。

测试系统使用了一台Enterasys Matrix N系列核心交换机和一台配备了系统子卡的B系列边缘交换机。子卡运行TAG。Enterasys环境还包括了Dragon安全命令控制台和Dragon网络入侵检测系统，前者管理安全事件，后者监控网络流量、报告异常情况，并采取行动。Dragon组件并不是Enterasys实施NAC的必要部分，如果另外需要它们，成本相当高。

Enterasys系统比另外三款解决方案来得全面，特别是添加可选的IDS后。该系统为所有测试场景提供了集成功能，它使用基于代理的方法来扫描客户机，从而确定客户机的安全状况。Enterasys解决方案支持VLAN分配方法; 但如果利用Enterasys交换机，我们可以分配粒度更细的策略。

使用VLAN分配或者端口策略，Sentinel系统可以根据用户身份以及系统的安全状况，相应限制对客户端系统的访问。Sentinel使用网络IDS来检测进出客户端的流量的变化，甚至可以触发对网络配置进行改动，这对防范零日攻击的大企业来说是一个很好的优点。

此外，端口级策略让我们可以对端口进行配置，只允许对每个用户和设备来说有用的流量通过。我们还可以根据用户身份，使用预定义策略来锁定网络，这其实确保了只有合适流量才可以发送或者接收。

至于缺点方面，Sentinel的策略配置相当复杂，特别是因为它跨越了多个产品领域。但一旦一般概念保存在系统中，创建新策略通常只要复制其他策略，然后为每项策略改动特定的协议、网络及其他流量方面的限制即可。

McAfee：系统简易 不防零日攻击

McAfee策略执行器（MPE）2.0是一款策略管理产品，不但与McAfee的防病毒代理相集成，居然还与其他防病毒产品相集成。作为McAfee ePolicy Orchestrator（EPO）的一个免费附件，MPE既是配置及管理访问策略的用户界面，又是执行决策者。它使用EPO作为控制代理，用于处理部署、更新、通知及其他管理任务。

MPE提供了清楚的图形界面，总结了系统、子网和交换机符合策略方面的最新状态。它让管理员可以深入分析细节，又提供了标以颜色的画面来显示环境的最新状态。该系统提供了直观、高度可视化的视图，可了解网络符合策略方面的状态。

该系统基于主机的安全状况，使用VLAN分配命令将主机移到合适的VLAN上，以便补救或者隔离。该系统的独特之处在于，它不依赖McAfee的硬件或者代理。MPE可通过数量众多的代理来收集状态信息，包括所有主要的防病毒客户软件，它可以通过来客访问策略来处理无代理系统。策略配置从定义隔离区（Quarantine Zones）开始，隔离区是为了各种用途而分配的VLAN，有别于传送数据流量的标准VLAN。

一旦VLAN配置完毕，就可以为组成客户机安全状况的状态组合定义规则集。这些状态可能包括众多信息，它们可设置成触发事件、执行策略或者忽视违反情况。

McAfee策略执行器不像Enterasys系统，它无法根据用户身份作出访问决策，只能根据通过/失败验证作出决策。它区别不了通过验证的来客和通过验证的员工，也区别不了通过验证的不相关的用户或者用户组。

该系统还只局限于确定主机的安全状况，所以，不像基于网关和交换机的解决方案，它无法根据来自已拥有访问权的系统的流量来执行策略。这就限制了它应对零日攻击的能力，不过McAfee提供了额外产品来应对这种攻击。

赛门铁克：产品丰富 界面复杂

赛门铁克网络访问控制（SNAC）系统是一个产品家族，包括赛门铁克网络访问控制5.1 MR2、赛门铁克Sygate Enterprise Protection 5.1 MR2以及赛门铁克网络访问控制6100 Enforcer Appliance，可以解决网络访问控制的多个方面。该系统使用基于网关和DHCP的执行设备，而这些设备由通用策略管理系统控制。这种方法让企业可以考虑网络每个部分的功能需求，然后以集成方式来部署适当的解决方案。

部署的产品包括赛门铁克策略管理控制台，以及赛门铁克LAN Enforcer和Gateway Enforcer中的一个或者两个，以及可选产品：面向Windows客户机的Sygate Protection Agent。LAN Enforcer使用代理的安全状况来确定访问权限，而基础设施交换机上的VLAN分配作为执行方法。流量通过时，Gateway Enforcer就实施策略。

进行这次测试时，LAN Enforcer设置成网络上的一个设备，让边缘交换机和核心交换机之间的流量通过Gateway Enforcer传送。Gateway Enforcer是赛门铁克网络访问控制系统中控制来客访问的主要方法。策略通过赛门铁克策略管理控制台来配置，这个控制台是在Windows Server 2003上运行的Java客户程序，负责与Enforcer进行联系。在策略管理控制台里面，可以在策略库中创建策略。策略库将策略分为防火墙策略、主机完整性策略以及操作系统保护策略。

防火墙策略是根据主机安全状况或者数据包检测情况允许或者禁止的特定连接; 主机完整性策略通过确保所需的安全应用程序是最新版本、正常运行，从而保护主机系统免受攻击; 操作系统保护策略规定了哪些应用程序可以在系统上运行。管理员可以使用策略管理控制台中基于向导程序的界面来创建新策略。

规则可以独立于策略来定义。规则在策略编辑器里面创建、编辑及删除。一旦策略在策略库里面创建完毕，就可以分配到将来要运用它们的位置。在每个位置里面，系统根据用户验证状态、主机完整性状态和主机上运行的应用程序来管理策略。策略执行依赖所用Enforcer的类型。因为Gateway Enforcer通过嵌入式过滤（inline filtering）来管理流量，可以根据活动流量来作出决策，所以它提供了比VLAN分配更强的控制功能。

SNAC与McAfee策略执行器一样，它也不支持用户名或者用户组等验证参数引起的策略变化，也无法根据这些特性来分配策略。不过它倒是可以根据客户机是否通过验证来分配策略。

趋势科技：即插即用 重在网关控制

趋势科技Network VirusWall Enforcer（NVWE）2.0和趋势科技控制管理器（TMCM）3.5将NAC网关设备与基于浏览器的配置界面结合起来。NVWE是一种“即插即保护”的设备，旨在确保所有设备（无论本地设备还是远程设备、受管理设备还是未受管理的设备）在被允许访问网络之前，都已确定符合策略。除了可对设备进行端口、无代理以及基于代理的扫描外，NVWE还提供了网络蠕虫预防功能。

作为一种网关解决方案，Network VirusWall Enforcer可以针对试图通过它传送流量的任何设备执行策略。管理员使用基于Web的控制管理器，就可以迅速查明环境状态，并且可以检查、创建及更新策略。Network VirusWall Enforcer为许多不同的防病毒程序提供了众多检查，还提供基于Windows注册表的检查。

硬件的安装对网关而言具有典型性: 一个端口连接到边缘设备，另一个端口连接到核心设备。通过Network VirusWall Enforcer传输的所有流量都必须符合配置好的策略，而实时仪表板可以显示Enforcer的发现结果以及哪些方面可能存在问题。

策略也通过基于Web的界面来配置。系统提供了网络区域（Network Zones）这一概念。管理员借助使用IP地址（单个IP地址或者子网的一批IP地址），就可以定义网络中统一控制的区域。创建策略时，管理员为运用哪项策略指定代理类型（无代理或者持久代理）、端点安装方法类型，以及如何处理非Windows及无法识别的操作系统。还要选择每隔多久重新检查符合策略及不符合策略的端点。

接下来，要设置将使用该策略的“网络区域”，并指定该策略是运用于通过验证的用户还是未通过验证的用户。下一步，定义执行策略，包括防病毒程序、版本和系统威胁。然后，要配置网络病毒策略，包括如何处理传播病毒的端点以及你偏爱采用的补救方法。最后，为补救服务器指定URL例外。之后为在Enforcer上定义的每项策略重复这些步骤。

该系统局限于扫描及截获通过网关的流量。因而，系统无力防范不通过网关的蠕虫及其他攻击。不过，考虑到大多数恶意软件在流量生成方面并不精明，所以网关有可能迅速检测到这类活动，并将不符合策略的系统挡在网络外面。

链接:选型建议

在分析合适的方案之前，先要定义你想要执行的策略，并考虑是否需要根据用户身份和用户组信息来制订策略，或者考虑验证通过/失败机制是否足够。不是所有解决方案都能处理基于身份的场景。赛门铁克和McAfee的解决方案可以独立使用，也可以结合802.1x等验证系统使用，但两者都没有考虑用户身份。Enterasys和趋势科技的解决方案可充当RADIUS代理系统; 趋势科技的系统可以使用LDAP或者AD。两者都能利用用户和用户组信息作为策略的一部分。 (ccw)