基于代理和无代理的动态网络接入控制

基于代理和无代理的动态网络接入控制,对于动态网络接入控制中“动态网络接入控制”的设置问题,我们曾经探讨过,动态网络接入控制已经能解决大多数设置问题。

从最终用户的角度看,动态网络接入控制的部署应该是透明的,就像它在完全靠自己运行。随着用户登录到这个网络,他们的系统应该悄悄地在后台进行检查,看看他们是否符合内部安全政策。

动态网络接入控制诊断端点的例子包括其当前补丁的水平和功能以及最新的杀毒软件和个人防火墙软件。只有在某些东西出错时用户才知道自己的系统不符合规定。然后,用户将被引导到内部网门户。用户将在那里升级到合适的安全水平。

对于小企业和大型企业来说,这种高度动态的安全水平将使他们获得许多好处。一个拥有动态网络接入控制功能的网络不仅运行得更安全,而且效率更高,符合遵守法规的要求并且产生的服务台电话更少。

虽然动态网络接入控制的好处是显而易见的,但是,动态网络接入控制解决方案完成工作的方法是比较复杂的,无论这种解决方案是基于硬件的、线路内部的、带外的、代理的还是没有代理的都是如此。

基于硬件的动态网络接入控制

我们首先看看基于硬件的方法是如何发挥作用的。这种形式的动态网络接入控制一般需要一台设备。这台设备在内部网络中运行或者在通讯的带外运行。有些这类设备可以取代接入交换机,而有些这类设备在接入层和网络交换机之间工作。无论采用哪一种方法,都需要考虑部署、管理和运行变化等许多问题。

首先,基于硬件的动态网络接入控制解决方案有许多固有的缺陷。最主要的是它创建了这个网络上的一个单个的故障点。这种设备还会影响网络通讯,对于地理上分散的或者高度分散的网络也许是不理想的。

不仅需要每个地方都安装一台这种设备,而且还要进一步安装到网络上。这些方法为网络通讯提供了较少的可见性。当你在一个大型子网上看不到或者不能阻止一个入侵者的通讯的时候,很难相信使用动态网络接入控制设备会更安全。此外,带外的方法(如使用802.11的设备)常常需要更高水平的网络和服务器设置变化以及要跟踪的端口。这不仅增加了网络管理成本而且还提高了错误的风险。

基于代理和无代理的动态网络接入控制

接下来是受到许多批评的基于代理的方法。没人愿意安装、升级和维护另一个端点应用程序。这是IT团队的一个额外负担,是引起服务台电话骤增的催化剂。因为代理位于端点上,使用代理的缺点是它需要采用更高水平的审查。这种审查有助于改善安全。

现实是,代理不是可用的颠覆性的解决方案,特别是在它进入网络通讯的时候。这是因为代理是在后台悄悄运行的,仅仅向政策服务器发送定期的更新,保证全面强制执行安全政策。但是,让我们面对这个问题:没有人愿意安装另一个应用程序,不管这个安全回报是多么高。

接下来是无代理的动态网络接入控制。无代理的动态网络接入控制的常见方法包括在允许端点设备进入网络之前对端点设备进行安全漏洞扫描或者政策评估扫描,或者同时进行这两项扫描。不用说,这种做法会增加繁忙的网络的负担。这个扫描的结果将发送到一个政策服务器,如果有必要的话,将对任何不遵守规定的系统取补救措施。

无代理动态网络接入控制的潜力是明显的:不需要安装任何代理。遗憾的是它并非那样简单。总是有一些不利的方面。无代理的方法不能提供一个一致的方法来全面评估这个端点的状态。此外,身份是通过检查网络通讯确定的,用户能够欺骗这个方法。

动态网络接入控制

采用动态网络接入控制,有一些代理,但是,这些代理仅安装在一定比例的系统中。此外,这种方法也称作P2P网络接入,不需要对网络进行任何改变,也不需要在每一个系统上安装软件。这些代理有一部分是“强制执行者”,要安装在可信赖的系统中,很像是警察部队。

总人口中只有很小比例的执法队伍来保证每一个人都遵守法规。采用这种方法可以得到与代理有关的高水平的安全以及动态网络接入控制的全部好处,没有基于硬件的网络接入设备的麻烦,也不用在每一个网络设备上安装软件。

例如,假设许多执法者安装到了一个局域网的台式电脑中,一个不可信赖的系统试图要登录这个网络。这些执法者在对这个系统进行诊断之前将限制它的网络通讯。此外,如果有必要的话,这些代理要不断地与中央政策服务器进行联系。

因此,一个系统能够完全隔离或者阻止访问某一个网段,或者仅允许访问互联网。正如你看到的那样,动态网络接入控制系统的工作方式有很大的差别。重要的是你要评估你的选择,找到对于你的网络来说最有效的、最节省成本的动态网络接入控制解决方案。