现在可以将Network Access Control(NAC)措施工具扩展到许多网络安全设备和网络管理工具。将NAC策略措施扩展到这些设备可以加强访问控制,同时仍允许用户和主机标识作为每一个安全和管理工具的一部分使用。
整合用户和主机标识到安全和管理点就意味着能够创建可以识别身份的防火墙设施、在访问控制中使用身份检测和阻止或入侵阻止系统 (IPS)监控、应用企业反病毒工具到访问网络的设备,以及为远程用户强化NAC策略。
扩展NAC
因为市场中的NAC已经很成熟了,并且新的API和标准已经发布,你可以从许多可能的措施模型中作选择。
下面将讨论一些潜在的策略实施点,它们可以在一个包含目前领先的NAC方案的NAC环境中使用。你不能在所有NAC方案中使用所有这些实施点,同时也不是所有实施点供应商都支持实现这个目标所需要的标准和API。但我们将在你继续一个NAC部署之前介绍它的可能性,这样你就能够确定在安全策略中你的组织网络和安全目标是否需要一个整合其它安全设备的方案。
这些实施点的其中一部分有不同的表现因数。多功能的网络和安全设备在近几年已经变得很流行——在许多情况下,包含了下面所讨论的所有实施模型。
注意:以下所描述的是逻辑实施模块,而不是完全独立的设备和器件。
防火墙措施
可能你的单位已经在网络的不同地方部署了许多防火墙,如
网络入口和出口
数据中心之前
独立的位置和部门
由于这些策略的出现,防火墙就在逻辑上成为一个你可以扩展NAC实施的点。
提示:事实上,一些NAC解决方案已经使用防火墙作为一个实施点。然而,对于其它NAC解决方案,将NAC扩展到防火墙需要通过API和标准进行整合。
防火墙也提供了很好的NAC实施点,因为组织可能将一些策略类型基于每一个用户或角色制定的。比如,安置在一个企业数据中心之前并且整合了NAC方案的防火墙可以允许组织为网络的每组用户定义非常细粒度的基于角色的策略。这个组织可能允许所有员工访问诸如电子邮件服务器和某些文件共享,但它可以使用防火墙策略来只允许财务人员访问敏感的财务数据和应用。
这个概念现在更多地被称为“已经身份认证的防火墙(identity-aware firewalling)”,它在所有行业的组织越来越受到欢迎——不仅包括那些满足条例法令的组织,如Sarbanes-Oxley (SOX)、The Health Insurance Portability和Accountability Act (HIPAA),也包括任何需要划分网络和根据用户职能进行信息访问控制的组织。从适应性上看,现在防火墙可以看到用户,不仅允许组织实施细粒度访问控制,也可以检验审计和其它已经实施的报表需求。
在现在的移动世界中,来自多个位置和设备的用户可能在任何时候出现在公司网络的任何地方。结果,一些静态定义的源和目标IP地址——基于防火墙策略的——已经不再精确。通过激活NAC的防火墙策略,你不需要再依赖于静态防火墙策略,从而允许防火墙必须跟踪在不同位置和设备上移动的用户。这个策略与当初制定策略的方法和出发点更加一致了。防火墙安全策略不再需要等到用户物理地在办公台上连接到以太网端口时才应用。现在防火墙可以基于用户和用户组实施策略。
IDP/IPS措施
你可以使用入侵检测和阻挡(IDP)或入侵阻挡系统(IPS)设备作为监控企业网络最终用户行为的机制,它提供了一个反馈回路,你的NAC方案可以用来基于最终用户行为修改访问控制决策。
这些相同的系统能够识别所有通过的流量。在许多情况中,组织已经部署IDP/IPS,这样它们不仅能够确定某个流量是否为恶意的,也能确定哪种应用在使用该流量。这些系统能够基于这个技术限制对特定应用的访问。
比如,一个组织可能不希望用户在网络中使用点对点应用或者未批准的即时通讯应用,所以正确部署的IDP/IPS系统能够通过丢弃不在策略规定范围的流量来帮助实现这种应用级的控制。
通过扩展这种类型的系统到NAC中,这些策略现在可以变成基于角色的。比如,特定组的用户可能有合法的理由使用特定的点对点应用。通过将NAC扩展到IDP/IPS,你可以允许这些特定的用户使用这些应用而完全限制其他用户。
因为最终用户会将许多他们自己的设备接入到企业网络中,所以这种策略实施能够阻挡不受欢迎的应用的网络访问——你可以在用户从受管理的笔记本和PC连接网络时限制他们安装这些相同的应用。
整合使你现在使用的NAC策略更加细粒度——在应用层,而不是在网络层——从而给你在许多标准NAC解决方案中所没有的控制级别。
表1只列出一些你可能应用在你组织中的策略。事实上,如果你有一个具备这些功能的IDP/IPS解决方案,你可能已经使用这些类型策略。但是如果你在IDP/IPS策略中包含了NAC,你就基于具体用户或用户组选择或修改策略的类型,而不是基于源和目标IP地址设置策略。这种类型的策略很适合应用在有不同角色的移动用户的组织中。
【编辑推荐】
