整合網(wǎng)絡(luò)訪問控制（NAC）解決方案到其它網(wǎng)絡(luò)安全工具將有助于擴(kuò)展用戶和主機(jī)身份認(rèn)證，同時(shí)也可以增強(qiáng)網(wǎng)絡(luò)上的安全策略?！秱纬绦虻木W(wǎng)絡(luò)訪問控制》的“擴(kuò)展NAC”的第一部分闡述了網(wǎng)絡(luò)訪問控制解決方案如何與入侵檢測預(yù)防工具、防病毒網(wǎng)關(guān)和網(wǎng)絡(luò)詳細(xì)目錄/設(shè)備分類應(yīng)用整合來增強(qiáng)這些功能。

了解如何整合網(wǎng)絡(luò)訪問控制解決方案與網(wǎng)絡(luò)安全工具，并找出失誤以便更好發(fā)展。

擴(kuò)展NAC：偽程序的網(wǎng)絡(luò)訪問控制

試想目前你的網(wǎng)絡(luò)中所部署的大量的網(wǎng)絡(luò)和安全設(shè)備——它們之間有何共同點(diǎn)，以及它們在NAC方面有哪些類似之處呢？

這些設(shè)備都收集用戶在網(wǎng)絡(luò)上的操作信息。這些信息量很大，而且這些信息都是直接存入日志文件存檔，沒有人會再看一次。正確的利用這些信息可以讓你查看用戶網(wǎng)絡(luò)的行為，并允許你使用這些信息來快速更改訪問控制決策。

這些收集用戶行為信息的設(shè)備都是為實(shí)現(xiàn)最佳可視性而在你的網(wǎng)絡(luò)中有策略性地放置的。大多數(shù)情況下，你可以使用這個(gè)安置作為附加的覆蓋實(shí)施方案以便允許你在網(wǎng)絡(luò)中的每個(gè)策略使用用戶和主機(jī)身份認(rèn)證信息。

在本文中，我們將探討如何在制造商提供的功能基礎(chǔ)上擴(kuò)展多個(gè)NAC系統(tǒng)，從而在網(wǎng)絡(luò)中實(shí)現(xiàn)NAC與更廣泛的系統(tǒng)、設(shè)備和應(yīng)用相配合。

了解網(wǎng)絡(luò)

NAC事實(shí)上是第一個(gè)能將所有的網(wǎng)絡(luò)和安全元素上的信息協(xié)調(diào)到一個(gè)位置的方案，這樣你就可以根據(jù)用戶身份和終端安全狀態(tài)以及每個(gè)用戶登錄到網(wǎng)絡(luò)上的行為來建立訪問控制政策。

新的標(biāo)準(zhǔn)，如TNC的IF-MAP協(xié)議，已經(jīng)實(shí)現(xiàn)了這個(gè)級別的協(xié)調(diào)。而隨著這些標(biāo)準(zhǔn)的出現(xiàn)并不斷被越來越多的供應(yīng)商所采用，你將可以使用這些新的措施和政策來從其它產(chǎn)品的擴(kuò)展得到NAC實(shí)現(xiàn)的附加價(jià)值。接下來將舉例探討NAC部署是如何在其它產(chǎn)品擴(kuò)展中受益。

IDP/IPS整合

入侵檢測防御（IDP），或入侵防御系統(tǒng)（IPS），最近幾年越來越受歡迎，特別是當(dāng)供應(yīng)商應(yīng)對NAC市場的早期挑戰(zhàn)時(shí)，如感知部署和可用性難點(diǎn)。目前，大多數(shù)大型的組織都全面部署了IDP/IPS，但是在使用NAC之前，這些解決方案都被一定程度的限制以防止公司網(wǎng)絡(luò)中發(fā)生新的攻擊。你可以配置所有的IPS探測器來中斷網(wǎng)絡(luò)中惡意或其它不需要的流量。比如，假設(shè)一個(gè)特定的終端發(fā)起一個(gè)針對公司數(shù)據(jù)中心的應(yīng)用服務(wù)器的攻擊，并且IPS檢測到該流量是惡意的，那么IDP/IPS可以通過所配置的策略來中斷流量。雖然這個(gè)響應(yīng)是充分的，但是，在某些情況下，你可能想進(jìn)一步阻止網(wǎng)絡(luò)以后的攻擊。NAC可以幫助你從IDP/IPS設(shè)備中獲取信息，并在被攻擊或發(fā)生意外事件時(shí)使用這些信息來處理終端用戶的訪問。

如果你實(shí)現(xiàn)了IDP設(shè)備與NAC解決方案全面的整合（市場上有些解決方案能夠達(dá)到這個(gè)級別的整合），那么IDP將繼續(xù)執(zhí)行它的核心功能——檢測網(wǎng)絡(luò)流量和中斷無用的數(shù)據(jù)包。然而，在NAC整合允許IDP/IPS發(fā)送無用流量的明細(xì)（包括嚴(yán)重性、用戶IP地址和攻擊特征）到NAC解決方案。當(dāng)接受到該信息時(shí)，NAC可以對相關(guān)的終端用戶或終端采取措施。NAC可以通過將用戶進(jìn)行隔離、失效用戶的會話，或者甚至失效用戶的帳號（根據(jù)管理員所設(shè)置的政策）來處理這個(gè)事件。圖1描述了在公司網(wǎng)絡(luò)中一個(gè)NAC和IDP/IPS混合解決方案。

圖1所顯示的整合類型允許一個(gè)有大量用戶和設(shè)備認(rèn)證信息的NAC解決方案和一個(gè)有大量流量和行為信息的IDP/IPS解決方案之間的全面協(xié)調(diào)。

圖1：一個(gè)NAC/IPS整合例子

　　安全故障和事件管理整合

　　近幾年來，安全故障/信息和事件管理（SIEM）產(chǎn)品越來越受到歡迎，許多供應(yīng)商也開始涉足這個(gè)市場。這些產(chǎn)品可以協(xié)調(diào)網(wǎng)絡(luò)設(shè)備上豐富的信息，并讓SIEM產(chǎn)品在NAC部署中成為一個(gè)非常合理的整合或擴(kuò)展。

　　技術(shù)資料

　　SIEM產(chǎn)品可以收集不同設(shè)備的日志并關(guān)連相關(guān)的信息，這樣它就可以有效地確定網(wǎng)絡(luò)中的事件、攻擊或者其它的異常現(xiàn)象。SIEM產(chǎn)品所提供的信息允許IT管理員審查這些事件和潛在漏洞，從而可以在黑客利用這些問題之前采取相應(yīng)的操作來解決這些問題。SIEM產(chǎn)品利用諸如流和事件相互關(guān)系的工具來提供風(fēng)險(xiǎn)和漏洞分析給網(wǎng)絡(luò)管理員和安全人員。

　　和IDP/IPS類似（在前面已經(jīng)討論過），SIEM產(chǎn)品的局限在于在產(chǎn)品發(fā)現(xiàn)了攻擊之后，它們?nèi)绾巫柚顾鶛z測到的攻擊繼續(xù)發(fā)生。NAC可以通過防御后續(xù)惡意的行為來彌補(bǔ)這個(gè)缺點(diǎn)，從而可以使SIEM發(fā)揮更大的作用和價(jià)值。通過正確的整合，你可以將SIEM上的事件直接引導(dǎo)到NAC策略服務(wù)器。通過組合NAC，你可以對SIEM采取與IDP/IPS的相似操作。根據(jù)攻擊的嚴(yán)重性和類型，你可能采取包括從臨時(shí)隔離終端用戶到失效終端用戶帳戶的操作，這樣他或她只有在管理員進(jìn)行了進(jìn)一步的調(diào)查之后才能夠重新登錄。這個(gè)組合的解決方案比兩個(gè)單獨(dú)的解決方案的簡單相加更強(qiáng)大。

　　整合方案的完整范圍是取決于SIEM和NAC供應(yīng)商一起努力支持相同標(biāo)準(zhǔn)或API來進(jìn)行該信息的交換的意愿有多強(qiáng)烈的。由于NAC正變得越來越流行，很多SIEM供應(yīng)商很可能都意識到這些類型整合的可能性，并且開始開發(fā)支持這些標(biāo)準(zhǔn)的產(chǎn)品。

圖2：一個(gè)整合SIEM的NAC策略

　　網(wǎng)絡(luò)反病毒整合

　　由于反病毒在公司網(wǎng)絡(luò)中很受重視，因此，將NAC擴(kuò)展到網(wǎng)絡(luò)反病毒網(wǎng)關(guān)對組織而言很有意義。在必要的情況下，網(wǎng)絡(luò)反病毒應(yīng)用會不斷地查看網(wǎng)絡(luò)中的流量、掃描病毒和執(zhí)行清理。

　　小貼士！擴(kuò)展NAC到你的網(wǎng)絡(luò)反病毒網(wǎng)關(guān)都會有獨(dú)立的網(wǎng)關(guān)以及整合到其它多功能網(wǎng)絡(luò)的網(wǎng)關(guān)和在垂直產(chǎn)業(yè)中受到顧客歡迎的安全設(shè)備。

　　但是，如果反病毒網(wǎng)關(guān)的反應(yīng)并不只是中斷流量，而且還能發(fā)送信號到NAC實(shí)現(xiàn)，那么你的組織可以完成一個(gè)能快速反應(yīng)的基礎(chǔ)架構(gòu)，它能知道如何應(yīng)對用戶和機(jī)器行為：

　　比如，NAC系統(tǒng)可能隔離或者斷開用戶，如圖2所示

　　NAC系統(tǒng)可以采用更加敏銳的方法，如在終端啟動(dòng)反病毒掃描

　　NAC系統(tǒng)同時(shí)還可以確保來自該終端的后續(xù)流量在直接到達(dá)目的地之前通過網(wǎng)絡(luò)反病毒網(wǎng)關(guān)

　　網(wǎng)絡(luò)清單/設(shè)備分類整合

　　網(wǎng)絡(luò)清單是很多NAC部署的主要部分，這主要是因?yàn)樵谔囟ǖ墓揪W(wǎng)絡(luò)中的許多設(shè)備并不需要運(yùn)行所要求的NAC軟件或者NAC環(huán)境的認(rèn)證。

　　圖3顯示網(wǎng)絡(luò)清單或者設(shè)備分類解決方案是如何適應(yīng)典型的NAC部署的。如圖3所顯示，在大多數(shù)NAC解決方案中的策略服務(wù)器足夠處理大多數(shù)管理的設(shè)備。這些設(shè)備一般都可以運(yùn)行某種形式的NAC軟件，同時(shí)NAC系統(tǒng)能夠正確地掃描和認(rèn)證它們，如802.1X。這個(gè)范疇的設(shè)備一般包括：

　　•運(yùn)行各種操作系統(tǒng)的臺式和筆記本電腦

　　•智能手機(jī)

　　•PDA

　　•激活802.1X的VoIP電話

圖3：一個(gè)帶有NAC的清單和設(shè)備分類示例

　　當(dāng)你的組織需要處理還沒有整合NAC解決方案的設(shè)備時(shí)，就可以使用網(wǎng)絡(luò)清單解決方案。根據(jù)不同的組織類型，這些設(shè)備甚至比你的網(wǎng)絡(luò)中的管理多得多。這些設(shè)備類型包括較老的和低端的設(shè)備

　　•VoIP電話和PDA

　　•打印機(jī)

　　•掃描儀

　　•安全攝影機(jī)

　　•視頻會議設(shè)備

　　•HVAC系統(tǒng)

　　•醫(yī)療設(shè)備

　　在大型的公司網(wǎng)絡(luò)中，很多激活I(lǐng)P的設(shè)備并不具備恰當(dāng)?shù)能浖砑せ钊娴腘AC身份認(rèn)證。

　　記??！網(wǎng)絡(luò)清單解決方案必須了解這些設(shè)備，并將它們歸檔以便確定它們實(shí)際的類型，并將它們報(bào)告給NAC解決方案，這樣NAC才可以決定它們將在網(wǎng)絡(luò)中獲得哪種訪問級別。

　　詳細(xì)目錄系統(tǒng)絕對必須能夠確定一個(gè)真正的未管理設(shè)備和一個(gè)看似為未管理設(shè)備的已管理設(shè)備之間的不同。比如，如果用戶知道NAC授權(quán)打印機(jī)訪問網(wǎng)絡(luò)，那么一個(gè)不擇手段的用戶可能嘗試通過偽裝為網(wǎng)絡(luò)上的打印機(jī)繞過NAC策略。例如，該用戶可能通過克隆一個(gè)已知的打印機(jī)MAC地址來偽裝成為一個(gè)打印機(jī)。一個(gè)好的網(wǎng)絡(luò)清單系統(tǒng)具備監(jiān)控主機(jī)行為和將其分辨為筆記本電腦而非打印機(jī)的功能，這意味著只有用戶具備正確的身份認(rèn)證，設(shè)備才可以連接到網(wǎng)絡(luò)上，這樣就斷絕了用戶繞過NAC策略的風(fēng)險(xiǎn)或跳過重要的身份認(rèn)證和設(shè)備分類的步驟。