四大“門神”阻擊非法訪問

申請免費試用、咨詢電話：400-8352-114

在蠕蟲、僵尸機和僵尸網絡盛行的時代，移動計算機本身也成了一種特洛伊木馬。本文設計了六大典型企業(yè)應用場景，對市場上主流的四款網絡訪問控制（NAC）解決方案進行了橫向評測，四種NAC策略的優(yōu)劣昭然若揭。

最基本的網絡訪問控制（NAC）方案應該具有這種功能: 當系統試圖連接到網絡上，或者試圖進入網絡的某個部分（譬如，當它們從邊緣交換機連接到核心交換機）時，NAC就會對系統執(zhí)行企業(yè)制訂的策略。NAC系統可以對該設備作出決定，然后根據這種決定作出訪問控制決策。設備狀態(tài)有的與已知用戶進行驗證一樣簡單，有的與外部或者內部掃描客戶機系統一樣復雜。外部掃描可能會查找已知漏洞和開啟的端口等，而內部掃描會檢查操作系統的運行參數和補丁級別、已安裝或者運行中的進程、應用程序的更新狀態(tài)如防病毒特征等等?；谶@種“安全狀況（posture）”，NAC系統確定該設備獲得什么樣的訪問權（如果獲得訪問權的話）。結合驗證和安全狀況就可以獲得大量信息，實現NAC策略的細粒度。

另外還要考慮設備在被授予訪問權之后出現的變化。無論用戶是惡意為之還是無意為之，隨著新的進程激活、新的漏洞傳播，或者出現導致設備成為攻擊者的其他事件，設備在獲得訪問權后，可能會對網絡構成威脅。比較先進的NAC系統能夠檢測到這幾種事件，并且在設備最初連接到網絡的時候及時觸發(fā)有關應對策略。

本文測評了四款NAC解決方案：Enterasys Sentinel Trusted Access、McAfee策略執(zhí)行器、賽門鐵克網絡訪問控制和趨勢科技Network VirusWall Enforcer。我們設計了企業(yè)中很典型的六種不同場景，并對每款NAC解決方案進行了配置，以便盡可能正確地處理這些場景。六種場景包括：未通過驗證的來客進行訪問、通過驗證的來客（使用802.1x或者基于Web的驗證）進行訪問、通過驗證的用戶（包括設備安全狀況良好及安全狀況不好）進行訪問，以及擁有特殊訪問權的特權用戶進行訪問。

Enterasys：功能最全 配置困難

Enterasys NAC解決方案結合了該公司的Sentinel可信訪問管理器（TAM）1.1、Sentinel可信訪問網關（TAG）1.1、NetSight策略管理器2.2、NetSight自動安全管理器2.2、Dragon安全命令控制臺7.2.5和Dragon網絡入侵檢測系統7.1。Sentinel系統可以利用Enterasys交換機系列廣泛的基于端口的策略功能，但沒要求必須有這些功能。Enterasys 結合了策略管理、訪問管理和網絡IDS等功能，針對我們的測試場景提供了全面而復雜的響應機制。

系統的配置需要三個相關但獨立的應用軟件，還要能夠連接至外部系統用于安全狀況掃描和IDS。策略用NetSight策略管理器創(chuàng)建，然后發(fā)送到相應的網絡執(zhí)行點。Sentinel TAM負責管理執(zhí)行策略的Sentinel TAG，它提供了驗證代理和網絡執(zhí)行功能。一個TAM可以管理多個TAG，這樣就可以集中管理廣泛分布的網絡。

測試系統使用了一臺Enterasys Matrix N系列核心交換機和一臺配備了系統子卡的B系列邊緣交換機。子卡運行TAG。Enterasys環(huán)境還包括了Dragon安全命令控制臺和Dragon網絡入侵檢測系統，前者管理安全事件，后者監(jiān)控網絡流量、報告異常情況，并采取行動。Dragon組件并不是Enterasys實施NAC的必要部分，如果另外需要它們，成本相當高。

Enterasys系統比另外三款解決方案來得全面，特別是添加可選的IDS后。該系統為所有測試場景提供了集成功能，它使用基于代理的方法來掃描客戶機，從而確定客戶機的安全狀況。Enterasys解決方案支持VLAN分配方法; 但如果利用Enterasys交換機，我們可以分配粒度更細的策略。

使用VLAN分配或者端口策略，Sentinel系統可以根據用戶身份以及系統的安全狀況，相應限制對客戶端系統的訪問。Sentinel使用網絡IDS來檢測進出客戶端的流量的變化，甚至可以觸發(fā)對網絡配置進行改動，這對防范零日攻擊的大企業(yè)來說是一個很好的優(yōu)點。

此外，端口級策略讓我們可以對端口進行配置，只允許對每個用戶和設備來說有用的流量通過。我們還可以根據用戶身份，使用預定義策略來鎖定網絡，這其實確保了只有合適流量才可以發(fā)送或者接收。

至于缺點方面，Sentinel的策略配置相當復雜，特別是因為它跨越了多個產品領域。但一旦一般概念保存在系統中，創(chuàng)建新策略通常只要復制其他策略，然后為每項策略改動特定的協議、網絡及其他流量方面的限制即可。

McAfee：系統簡易 不防零日攻擊

McAfee策略執(zhí)行器（MPE）2.0是一款策略管理產品，不但與McAfee的防病毒代理相集成，居然還與其他防病毒產品相集成。作為McAfee ePolicy Orchestrator（EPO）的一個免費附件，MPE既是配置及管理訪問策略的用戶界面，又是執(zhí)行決策者。它使用EPO作為控制代理，用于處理部署、更新、通知及其他管理任務。

MPE提供了清楚的圖形界面，總結了系統、子網和交換機符合策略方面的最新狀態(tài)。它讓管理員可以深入分析細節(jié)，又提供了標以顏色的畫面來顯示環(huán)境的最新狀態(tài)。該系統提供了直觀、高度可視化的視圖，可了解網絡符合策略方面的狀態(tài)。

該系統基于主機的安全狀況，使用VLAN分配命令將主機移到合適的VLAN上，以便補救或者隔離。該系統的獨特之處在于，它不依賴McAfee的硬件或者代理。MPE可通過數量眾多的代理來收集狀態(tài)信息，包括所有主要的防病毒客戶軟件，它可以通過來客訪問策略來處理無代理系統。策略配置從定義隔離區(qū)（Quarantine Zones）開始，隔離區(qū)是為了各種用途而分配的VLAN，有別于傳送數據流量的標準VLAN。

一旦VLAN配置完畢，就可以為組成客戶機安全狀況的狀態(tài)組合定義規(guī)則集。這些狀態(tài)可能包括眾多信息，它們可設置成觸發(fā)事件、執(zhí)行策略或者忽視違反情況。

McAfee策略執(zhí)行器不像Enterasys系統，它無法根據用戶身份作出訪問決策，只能根據通過/失敗驗證作出決策。它區(qū)別不了通過驗證的來客和通過驗證的員工，也區(qū)別不了通過驗證的不相關的用戶或者用戶組。

該系統還只局限于確定主機的安全狀況，所以，不像基于網關和交換機的解決方案，它無法根據來自已擁有訪問權的系統的流量來執(zhí)行策略。這就限制了它應對零日攻擊的能力，不過McAfee提供了額外產品來應對這種攻擊。

賽門鐵克：產品豐富 界面復雜

賽門鐵克網絡訪問控制（SNAC）系統是一個產品家族，包括賽門鐵克網絡訪問控制5.1 MR2、賽門鐵克Sygate Enterprise Protection 5.1 MR2以及賽門鐵克網絡訪問控制6100 Enforcer Appliance，可以解決網絡訪問控制的多個方面。該系統使用基于網關和DHCP的執(zhí)行設備，而這些設備由通用策略管理系統控制。這種方法讓企業(yè)可以考慮網絡每個部分的功能需求，然后以集成方式來部署適當的解決方案。

部署的產品包括賽門鐵克策略管理控制臺，以及賽門鐵克LAN Enforcer和Gateway Enforcer中的一個或者兩個，以及可選產品：面向Windows客戶機的Sygate Protection Agent。LAN Enforcer使用代理的安全狀況來確定訪問權限，而基礎設施交換機上的VLAN分配作為執(zhí)行方法。流量通過時，Gateway Enforcer就實施策略。

進行這次測試時，LAN Enforcer設置成網絡上的一個設備，讓邊緣交換機和核心交換機之間的流量通過Gateway Enforcer傳送。Gateway Enforcer是賽門鐵克網絡訪問控制系統中控制來客訪問的主要方法。策略通過賽門鐵克策略管理控制臺來配置，這個控制臺是在Windows Server 2003上運行的Java客戶程序，負責與Enforcer進行聯系。在策略管理控制臺里面，可以在策略庫中創(chuàng)建策略。策略庫將策略分為防火墻策略、主機完整性策略以及操作系統保護策略。

防火墻策略是根據主機安全狀況或者數據包檢測情況允許或者禁止的特定連接; 主機完整性策略通過確保所需的安全應用程序是最新版本、正常運行，從而保護主機系統免受攻擊; 操作系統保護策略規(guī)定了哪些應用程序可以在系統上運行。管理員可以使用策略管理控制臺中基于向導程序的界面來創(chuàng)建新策略。

規(guī)則可以獨立于策略來定義。規(guī)則在策略編輯器里面創(chuàng)建、編輯及刪除。一旦策略在策略庫里面創(chuàng)建完畢，就可以分配到將來要運用它們的位置。在每個位置里面，系統根據用戶驗證狀態(tài)、主機完整性狀態(tài)和主機上運行的應用程序來管理策略。策略執(zhí)行依賴所用Enforcer的類型。因為Gateway Enforcer通過嵌入式過濾（inline filtering）來管理流量，可以根據活動流量來作出決策，所以它提供了比VLAN分配更強的控制功能。

SNAC與McAfee策略執(zhí)行器一樣，它也不支持用戶名或者用戶組等驗證參數引起的策略變化，也無法根據這些特性來分配策略。不過它倒是可以根據客戶機是否通過驗證來分配策略。

趨勢科技：即插即用 重在網關控制

趨勢科技Network VirusWall Enforcer（NVWE）2.0和趨勢科技控制管理器（TMCM）3.5將NAC網關設備與基于瀏覽器的配置界面結合起來。NVWE是一種“即插即保護”的設備，旨在確保所有設備（無論本地設備還是遠程設備、受管理設備還是未受管理的設備）在被允許訪問網絡之前，都已確定符合策略。除了可對設備進行端口、無代理以及基于代理的掃描外，NVWE還提供了網絡蠕蟲預防功能。

作為一種網關解決方案，Network VirusWall Enforcer可以針對試圖通過它傳送流量的任何設備執(zhí)行策略。管理員使用基于Web的控制管理器，就可以迅速查明環(huán)境狀態(tài)，并且可以檢查、創(chuàng)建及更新策略。Network VirusWall Enforcer為許多不同的防病毒程序提供了眾多檢查，還提供基于Windows注冊表的檢查。

硬件的安裝對網關而言具有典型性: 一個端口連接到邊緣設備，另一個端口連接到核心設備。通過Network VirusWall Enforcer傳輸的所有流量都必須符合配置好的策略，而實時儀表板可以顯示Enforcer的發(fā)現結果以及哪些方面可能存在問題。

策略也通過基于Web的界面來配置。系統提供了網絡區(qū)域（Network Zones）這一概念。管理員借助使用IP地址（單個IP地址或者子網的一批IP地址），就可以定義網絡中統一控制的區(qū)域。創(chuàng)建策略時，管理員為運用哪項策略指定代理類型（無代理或者持久代理）、端點安裝方法類型，以及如何處理非Windows及無法識別的操作系統。還要選擇每隔多久重新檢查符合策略及不符合策略的端點。

接下來，要設置將使用該策略的“網絡區(qū)域”，并指定該策略是運用于通過驗證的用戶還是未通過驗證的用戶。下一步，定義執(zhí)行策略，包括防病毒程序、版本和系統威脅。然后，要配置網絡病毒策略，包括如何處理傳播病毒的端點以及你偏愛采用的補救方法。最后，為補救服務器指定URL例外。之后為在Enforcer上定義的每項策略重復這些步驟。

該系統局限于掃描及截獲通過網關的流量。因而，系統無力防范不通過網關的蠕蟲及其他攻擊。不過，考慮到大多數惡意軟件在流量生成方面并不精明，所以網關有可能迅速檢測到這類活動，并將不符合策略的系統擋在網絡外面。

鏈接:選型建議

在分析合適的方案之前，先要定義你想要執(zhí)行的策略，并考慮是否需要根據用戶身份和用戶組信息來制訂策略，或者考慮驗證通過/失敗機制是否足夠。不是所有解決方案都能處理基于身份的場景。賽門鐵克和McAfee的解決方案可以獨立使用，也可以結合802.1x等驗證系統使用，但兩者都沒有考慮用戶身份。Enterasys和趨勢科技的解決方案可充當RADIUS代理系統; 趨勢科技的系統可以使用LDAP或者AD。兩者都能利用用戶和用戶組信息作為策略的一部分。 (ccw)