北京时间2011年8月6日上午,受标普下调美国主权信用评级影响,纽约股市三大股指全线大幅下挫,道琼斯指数下跌超过600点,失守11000点关口。信用下降和巨额外债迅速成为了全球股市的操盘手,巨大的外部洪流完全左右了整个市场,管理和监管者们只能抚面暗自神伤。
事实上,当您的网络规模日渐庞大的时候,往往在入网节点中隐藏的操盘暗流也日渐汹涌,非法或难以管控的接入随时有可能让您的网络性能如美国股市般一泻千里。一个典型例子是,某上市公司的信息部门管理了2000台左右的终端节点,而由于生产工厂远离信息管理部门,生产角落的hub接入便泛滥成灾,某日,某工突发奇想,将hub的2个端口用随身携带的网线连接完毕,便蝴蝶效应般地带来了全网的性能瘫痪。呜呼哀哉,我们的网络管理者空有一堆的CCIE认证,却栽倒在几十块的廉价hub和一根网线脚下。管理学有云:“能用他人智慧去完成自己工作的人是伟大的”,交换机是智慧的,因为它能承载全网高速的信息传递;hub是愚蠢的,因为它根本连方向都分不清楚。但最终,人还是智慧的,因为我们懂得如何利用工具来解决问题。
还记得2年前那部极度黑色的电影《窃听风云》吗?片中简单如一部手机都可以成为窃听器的场面让人觉得不寒而栗:只要在监听器中输入对方的手机号码,就可以听到对方身边的一切讯息,即便在关机情况下,隐藏的系统也一样也能够依靠电池传送监听到的声音。
不断电即可监听,说来很理想化,其实也是利用了系统自带的协议和模块。网络中的各类通信设备既然能传输数据,其实也就拥有数据的控制能力,只是需要第三方的系统辅助发挥其功效而已,一个最理想的例子就是有一个指挥全网接入和隔离的控制中心,通过标准化的协议如snmp、DHCP,或厂商自带的协议如EOU、VG等获取到网络中上下翻飞的暗流,并撤去承载的基础,“水能载舟,亦能覆舟”,这便是网络准入控制NAC的精髓所在。
具有讽刺意味的是,现实中,越来越多的管理者们在成千上万点的网络面前,只能依赖不断升级交换设备的性能来对抗网络中从石器时代进化到B2轰炸机的操盘暗流,在考虑是选C系还是H系,选5还是选6的casino游戏中,却无视非法、违规接入从根源上带来的腐臭,最后就演变成了军备竞赛:你弄台玩万兆的玩物,我接上10个hub,再多种些能生根发芽的木马,咱看看谁耗得过谁?最后我们看到的可笑一幕是,信息化建设正在、不断在、将来还是在给违规用户铺路造桥。
解决上述接入问题的NAC技术在网络安全国际市场已经发展到了第8个年头,普遍定义为对入网的设备及用户进行控制和管理,通过对设备、用户的身份合法性及安全性管理协助管理者“统治”(注意,我说的就是“统治”)整个网络,您的网络将在NAC的协管下健康有序。而对于国内前卫的NAC缔造者而言,我们更愿意相信NAC是框构下一代3C网络(可信(creditable)、可行(capable)、通畅(clear))的基础,除去已固化其中的对终端和用户的管控能力,国内的前沿厂商(如杭州盈高科技)也在不断发展NAC框架对各类网络设备及服务器资源的整合及联动,并希望最终能够形成全网节点管理的一体化视图,这将是另一个层次的“云”概念——我们会借助全网的力量来帮助您管理节点。管理学有云:“能用他人智慧去完成自己工作的人是伟大的”,是不是很像?
