四招教你如何挑選網絡準入控制產品

      近來頻發的重大網絡安全事件引起了人們對網絡安全問題的特別關注，特別是來自于網絡內部的安全威脅開始受到重視。終端網絡準入控制系統被越來越多的網絡管理者納入采購的日程表。

    由于網絡準入控制系統本身的復雜性，面對國內外各種準入控制產品，應該如何才能進行有效的選擇呢？在此提供以下四條黃金法則作為選擇依據：

    一．高適應性，不驚動網絡

    一般考慮到要部署準入控制系統的單位，信息化建設已經達到了一定高度，網絡環境已經建設好，存在多種網絡設備和復雜終端設備。作為網絡準入控制系統的選擇，要考慮產品是否支持多種入網強制技術，是否支持多樣化的異構終端識別（如：智能手機、平板電腦、字符終端、網絡打印機等），以適應各種復雜性的網絡環境。所以選擇準入控制產品必須能夠適應用戶多種多樣的信息系統環境，準入控制系統廠商應該能夠提供各種環境下的準入控制方案，盡量避免進行大范圍的網絡改造。

    二．框架先進，控制力強

    現在各種廠家介紹了很多種網絡準入控制的技術解決方案，那么我們先要了解一下現行的網絡準入控制框架都有哪些？他們分別有什么優缺點？網絡準入控制未來的發展趨勢是怎么樣的？

    根據美國著名調研機構Gartner研究，他們把所有的NAC廠家、技術統一做了歸類與分析，提出了三個NAC技術框架的理論：

    1、基于端點系統的架構--Software-base NAC；主要是桌面廠商的產品，采用ARP干擾、終端代理軟件的軟件防火墻等技術。

    2、基于基礎網絡設備聯動的架構—Infrastructure-base NAC；主要是各個網絡設備廠家和部分桌面管理廠商，采用的是802.1X、PORTAL、EOU等技術。

    3、基于應用設備的架構—Appliance-base NAC；主要是專業準入控制廠商，如ForeScout、盈高科技、Sysgate SNAC。采用的是策略路由、MVG、VLAN控制等技術。

    綜觀這三種框架的進化與發展，現在完全基于Software-base的架構，范圍及控制力度有限，目前已不被用戶接納；而大多數網絡設備廠商現在主要推崇Infrastructure-base的架構，可以促進他們網絡設備的市場銷售，但是對網絡設備要求高，需要特定型號和廠家的設備。存在互相設置壁壘的問題；現在國外比較新興的是采用Appliance-base 架構的NAC設備，這種NAC設備對網絡設備的種類、型號幾乎無要求，在降低部署難度的同時可以達到很好控制力度。

    目前市場認可度比較好的NAC方案，是Appliance-base NAC，即第三代準入系統架構。

    三．高可靠性，確保業務連續性

    用戶一旦建成網絡準入控制系統后，就意味著所有終端每天進入網絡，都依賴于這套網絡準入控制系統的解決方案�，F在市面上的網絡準入控制方案有純軟件、有純硬件也有軟硬件結合的。軟件系統通常安裝在用戶提供的服務器上，價格相對較便宜，但是性能和穩定性受限于服務器和操作系統；硬件系統由于采用了專用的硬件和操作系統，穩定性高，性能可控，但是價格通常較高。建議用戶根據自身網絡規模和網絡重要性，進行合理的選擇。

    另外選擇無論哪種方案，一定要求有完善的逃生方案，具備“Fail-Open”模式，不存在單點故障。絕對不能因為網絡準入控制系統的建設影響業務連續性，導致正常辦公業務無法開展。

    四．配套服務完善，響應及時

    建設網絡準入控制項目不同于部署網關型的產品，只部署在一點，需要進行改動時，僅僅對其一點進行改動就可以了。而網絡準入控制系統的部署關系到網絡中的每一臺終端、每一個使用者，缺乏部署經驗，盲目的進行部署，勢必造成大范圍的問題。因此要建設好網絡準入控制的項目，一定需要有一個相關項目經驗豐富，具有良好風險管理的專業技術服務團隊支撐。

    在項目建設前期，需要能夠規劃出適合用戶網絡的準入控制解決方案。從安全、管理、項目建設成本、風險控制等方面都要有詳細的計劃。在項目實施時，需要有一套完整的項目建設計劃與配套的項目管理制度。在項目運行后，一定要有及時響應的客服體系。技術服務水平的好壞在準入控制項目中尤為突出。

    實現內網安全的基礎在于屏蔽一切不安全的設備和人員接入網絡，并且規范用戶接入網絡的權限。只有選對合適的準入控制產品，對終端訪問實行有效控制與管理，才能從源頭上消除內網的安全威脅，讓管理員高枕無憂。