我為什么應(yīng)該關(guān)心訪問控制？

　現(xiàn)今病毒與蠕蟲不斷的在影響企業(yè)營運，它可以導(dǎo)致停工、恢復(fù)所需費用、無止盡的修補、公共責任、收入的損失等。最新 的攻擊傳播速度表明了，系統(tǒng)安全更新(patch)遠跟不上脆弱的系統(tǒng)被攻擊的速度，而且我們發(fā)現(xiàn)，系統(tǒng)經(jīng)常在安全業(yè)者提供最新的更新碼(patch、病毒碼)之前就已經(jīng)遭受了攻擊。

　什么問題需要被解決？

　每當端點登錄到網(wǎng)絡(luò)時，它有就具有影響該網(wǎng)絡(luò)安全的潛在的危險。未確實遵循網(wǎng)絡(luò)安全政策（病毒碼過期、系統(tǒng)漏洞未修補等）的服務(wù)器及Desktop普遍存在于企業(yè)網(wǎng)絡(luò)中并難以發(fā)現(xiàn)，且實務(wù)上無法有效控制。每當它們連接網(wǎng)絡(luò)時，它們即增加了網(wǎng)絡(luò)環(huán)境安全的威脅。

　如果上述 endpoints 只要有一臺有感染一種以上的病毒或蠕蟲，找到并且隔離那個系統(tǒng)，甚或?qū)⑵渥跃W(wǎng)絡(luò)移除。在移除的這段時間內(nèi)，你往往會覺得時間和可使用資源永遠不夠。

　最后，當傳統(tǒng)的端點安全技術(shù)（Antivirus、Desktop Firewall…etc.）努力保護被攻擊的端點時，它們對于保障企業(yè)網(wǎng)絡(luò)可使用性卻無能為力，甚或去確保企業(yè)的彈性與損害恢復(fù)能力。
　
　網(wǎng)絡(luò)訪問控制

　網(wǎng)絡(luò)訪問控制（NAC）是一思科（Cisco）主導(dǎo)的泛產(chǎn)業(yè)級的協(xié)同研究成果，NAC可以協(xié)助保證每一 endpoint 在進入網(wǎng)絡(luò)前皆符合網(wǎng)絡(luò)安全規(guī)范。

　NAC機制可以提供保證端點設(shè)備在存取網(wǎng)絡(luò)前是完全遵循已建立的安全策略，并可保證不符合安全策略的設(shè)備無法存取該網(wǎng)絡(luò)、并設(shè)置可補救的隔離區(qū)供端點修正網(wǎng)絡(luò)政策，或者限制其可存取的資源。

　NAC包括幾個必要的組成部分：

　1.Communications agent － Cisco Trust Agent（簡稱CTA）是一個軟件工具，負責搜集端點的安全訊息與設(shè)定等信息，例如防毒軟件、OS及Cisco Security Agent（CSA），并把這些訊息傳遞到網(wǎng)絡(luò)存取裝置（Network access devices）。
　2.Network access devices － 每一個設(shè)備在一開始尋求網(wǎng)絡(luò)服務(wù)時將先與一個網(wǎng)絡(luò)存取裝置（router、switch、VPN concentrator、or firewall）聯(lián)系。這些裝置能要求端點必須提供由CTA產(chǎn)生的「安全憑證」，并且將這些訊息轉(zhuǎn)送至政策服務(wù)器（policy server）以取得該端點存取網(wǎng)絡(luò)之「允許權(quán)」。
　3.Policy servers － 思科安全存取控制服務(wù)器（Cisco Secure Access Control Server，簡稱ACS）或其它供貨商政策服務(wù)器檢查從網(wǎng)絡(luò)存取裝置轉(zhuǎn)送至的端點安全憑證，判定并給予其適當?shù)拇嫒��?quán)限（permit, deny, quarantine, restrict）。
　4.Management systems － CiscoWorks VPN/Security Management Solution（VMS）、 CiscoWorks Security Information Manager Solution（SIMS）、以及NAC cosponsor management solutions規(guī)范了NAC的要素，并提供監(jiān)控和報告工具，以及管理端點安全的應(yīng)用服務(wù)。
　5.Advance service － 進階服務(wù)提供了結(jié)合計劃、設(shè)計、以及建置咨詢服務(wù)，用以幫助IT人員快速部署NAC解決方案，以落實Cisco NAC所提供的承諾。

標簽： 安全 服務(wù)器 漏洞 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。