网络接入控制：现在应用还是等待？

　　作者: 东缘 编译, 　出处:IT专家网,　责任编辑: 张琰珺,　 2008-08-18 02:00

　　随着网络接入方式越来越丰富，由各种接入源所带来的安全风险也愈加增多，但是面对接入控制技术的可圈可点，企业用户似乎还在为是否启用接入控制产品而犹豫。

　　【IT专家网独家】网络接入控制听起来好像是万灵药：这个技术不仅能够识别谁在使用你的公司的网络，而且还能够保证用户的接入方法是没有病毒的和完全符合你的公司的安全政策的。最近，报道网络接入控制的消息很多。支持者声称网络接入控制能够保证企业网络的干净和健康。这是以前的技术办不到的。

　　随着VPN(虚拟专用网)、掌上电脑和无线技术的普及，许多企业对网络接入处所带来的威胁都很难进行防御。

　　进入网络接入控制领域，许多企业正开始看到这个技术是解决网络接入问题的一个答案，特别是对于客户或者承包商的接入。由此，网络接入控制还适用于远程和无线用户。

　　位于纽约的研究公司451 Group的高级企业安全分析师Paul Roberts解释说，如果你有一个商业合作伙伴需要互联网接入进行演示，或者一个在你的机构中临时工作的承包商，你要能够向他们提供网络接入，但是，不要让他们机器中运行的恶意软件进入你的企业网络或者不要让他们访问你的整个企业网络。网络接入控制提供了一种方法，保证在他们接入你的公司网络的时候他们所说的身份是真实的，他们的系统是最新更新的并且没有受到任何东西的感染。

　　但是，网络接入控制还远远不是一个完善的技术。它仍在成熟之中，存在一些竞争的派系并且没有行业标准，从而导致一些人不知道是否应该等待一段时间再使用这个技术。

　　咨询公司Opus One的高级合作伙伴Joel Snyder说，并不是每一家公司目前都需要这个技术。然而，你应该认真考虑这个问题，你是否担心访问你的网络的人员的身份识别，是否担心你的系统的端点安全状况，你是否需要在用户层面上有更强大的、更精细的接入控制。

　　但是，有迹象表明企业正准备采用这个技术。据451 Group在2008年2月发表的一篇研究报告称，因为遵守法规的问题，企业目前正准备应用网络接入控制技术，企业需要索定客人接入和防止丢失数据的威胁。

　　市场研究公司Current Analysis负责企业软件和安全的研究经理AndrewBraunberg说，网络接入控制技术肯定正在成熟。思科和可信计算组织等一些主要参与者已经认识到他们必须要与微软合作，因为他们现在与微软有互操作协议。这仅仅是互操作问题正在解决的一个例子。但是，这个问题还需要时间。

　　一个混淆的命题

　　自从2001年以来，网路接入技术一直忽冷忽热地发展。思科是第一家推出这种技术的公司，让企业在允许系统进入企业网络之前对那个系统进行诊断。思科的技术应用在交换和路由基础设施中。其它公司很快跟了上来。微软是其中之一。微软采取的不同的方法，通过其网络接入保护产品为其操作系统层增加了这种技术。其它一些专门的网络接入控制厂商从此也加入了这个行列。这些厂商包括Forescout、Mirage Networks、Bradford Networks和Vernier Networks。

　　作者: 东缘 编译, 　出处:IT专家网,　责任编辑: 张琰珺,　 2008-08-18 02:00

　　随着网络接入方式越来越丰富，由各种接入源所带来的安全风险也愈加增多，但是面对接入控制技术的可圈可点，企业用户似乎还在为是否启用接入控制产品而犹豫。

　　这个事情更令人困惑的是，每一个厂商在网络接入控制方面都采用了不同的方法。不过，归纳起来有两种基本的方法：Inin-Bandband(带内频段)和Outout-of-Bandband(带外频段)。前者安装在用户与网络的其它部分之间，也就是在接入层交换机和核心交换机之间。这种方法防止不符合公司政策的系统进入企业网络。这方面的例子包括Vernier Networks公司的Edgewall、Nevis Networks公司的LANenforcer和ConSentry Networks公司的LANShield Controller。

　　市场研究公司Gartner分析师John Pescatore说，当企业被迫允许未知的设备访问其网络的时候，In-Band band系统是一个很好的选择。他说，当一个承包商的机器连接到你的企业网络时，他可能有一些你不喜欢的软件，但是，你不能让承包商从他的公司的机器中删除这个软件。但是，如果你在承包商和你的企业网络之间有某种内嵌的东西，这个承包商在发送危险的东西的时候，你就可以进行封锁。

　　Pescatore称，另一个选择是带外网络接入控制。这些产品使用现有的网络架构，允许网络与交换基础设施沟通并且在网络的任何地方都能够封锁一些东西。这对于复杂的网络架构来说是非常有用的。采用带外网络接入控制选择的厂商包括Mirage Networks和Bradford Network等公司。

　　Roberts称，你选择什么方式和选择哪一家厂商将取决于几个因素。第一步是确定你的直接需求。根据这个答案，你将知道你是现在需要部署网络接入控制还是需要以后再部署这个技术。你将知道是考虑使用带内解决方案还是使用带外解决方案。

　　第二步是考察你现有的厂商，看这些厂商是否有一个兼容的网络接入控制解决方案。例如，如果你是全部采用思科产品的公司，采用思科的网络准入控制(C-NAC)设备是有意义的。同样，如果你计划很快升级到微软的Vista或者Longhorn，你应该认真考虑微软的NAS产品。

　　Pescatore指出，不同种类的环境可能比单一的厂商环境更好。因此，另一个选择是可信计算组织的TNC(可信网络连接)产品。这种产品是采用开放标准开发的。

　　但是，无论你选择等待还是选择应用，你的公司很快都将采用某种类型的网络接入控制系统。据市场研究公司Gartner称，2007年全球网络接入控制设备市场的收入为2.25亿美元，预计到2008年年底将增长到4.40亿美元。这个市场将继续增长到2010年，那时的销售收入将达到7亿美元。随着2010年之后网络接入控制成为所有类型技术中的一个标准配置，网络接入控制市场的销售收入将持平。

　　IT专家网原创文章，未经许可，严禁转载！