NAP技術(shù)和NAC技術(shù)之間的比較及其分析
NAP技術(shù)和NAC技術(shù)之間的比較及其分析,希望對大家有幫助。當(dāng)傳統(tǒng)的終端安全技術(shù)(Antivirus、Desktop Firewall等)努力保護(hù)被攻擊的終端時,它們對于保障企業(yè)網(wǎng)絡(luò)的可使用性卻無能為力,更不要說能確保企業(yè)的彈性與損害恢復(fù)能力。針對于此,目前出現(xiàn)了幾種安全接入技術(shù),這些技術(shù)的主要思路是從終端著手。
通過管理員指定的安全策略,對接入私有網(wǎng)絡(luò)的主機(jī)進(jìn)行安全性檢測,自動拒絕不安全的主機(jī)接入保護(hù)網(wǎng)絡(luò)直到這些主機(jī)符合網(wǎng)絡(luò)內(nèi)的安全策略為止。目前具有代表性的技術(shù)包括:思科的網(wǎng)絡(luò)接入控制NAC技術(shù),微軟的網(wǎng)絡(luò)接入保護(hù)NAP技術(shù)以及TCG組織的可信網(wǎng)絡(luò)連接TNC技術(shù)等。
綜上所述,NAC和NAP技術(shù)的優(yōu)勢在于其背后擁有思科、微軟這樣的網(wǎng)絡(luò)與操作系統(tǒng)的巨頭,這些技術(shù)將隨著其下一代產(chǎn)品同時綁定發(fā)布。NAC目前已經(jīng)隨思科的新一代網(wǎng)絡(luò)設(shè)備一起,在2004年開始推向市場,而NAP技術(shù)則計劃于2006年年底,隨微軟的Windows Vista操作系統(tǒng)一起,推向市場。
而TNC的優(yōu)勢在于其開放性,目前TNC規(guī)范已經(jīng)發(fā)展到1.1版本,TCG組織的成員都可以對其提出自己的意見,并且由于技術(shù)的開放,所以國內(nèi)廠商也可以自主研發(fā)相關(guān)產(chǎn)品,例如之前的TPM一樣,可以擁有自主知識產(chǎn)權(quán)。
NAC技術(shù)
網(wǎng)絡(luò)接入控制(Network Access Control,簡稱NAC)是由思科(Cisco)主導(dǎo)的產(chǎn)業(yè)級協(xié)同研究成果,NAC可以協(xié)助保證每一個終端在進(jìn)入網(wǎng)絡(luò)前均符合網(wǎng)絡(luò)安全策略。NAC技術(shù)可以提供保證端點(diǎn)設(shè)備在接入網(wǎng)絡(luò)前完全遵循本地網(wǎng)絡(luò)內(nèi)需要的安全策略,并可保證不符合安全策略的設(shè)備無法接入該網(wǎng)絡(luò)、并設(shè)置可補(bǔ)救的隔離區(qū)供端點(diǎn)修正網(wǎng)絡(luò)策略,或者限制其可訪問的資源。
NAP技術(shù)
網(wǎng)絡(luò)訪問保護(hù)NAP技術(shù)(Network Access Protection)是為微軟下一代操作系統(tǒng)Windows Vista和Windows Server Longhorn設(shè)計的新的一套操作系統(tǒng)組件,它可以在訪問私有網(wǎng)絡(luò)時提供系統(tǒng)平臺健康校驗(yàn)。NAP技術(shù)平臺提供了一套完整性校驗(yàn)的方法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài),對不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。
為了校驗(yàn)訪問網(wǎng)絡(luò)的主機(jī)的健康,網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域:
◆健康策略驗(yàn)證:判斷計算機(jī)是否適應(yīng)健康策略需求。
◆網(wǎng)絡(luò)訪問限制:限制不適應(yīng)策略的計算機(jī)訪問。
◆自動補(bǔ)救:為不適應(yīng)策略的計算機(jī)提供必要的升級,使其適應(yīng)健康策略。
◆動態(tài)適應(yīng):自動升級適應(yīng)策略的計算機(jī)以使其可以跟上健康策略的更新。
TNC技術(shù)
可信網(wǎng)絡(luò)連接技術(shù)TNC(Trusted Network Connection)是建立在基于主機(jī)的可信計算技術(shù)之上的,其主要目的在于通過使用可信主機(jī)提供的終端技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的協(xié)同工作。又因?yàn)橥暾孕r?yàn)被終端作為安全狀態(tài)的證明技術(shù),所以用TNC的權(quán)限控制策略可以估算目標(biāo)網(wǎng)絡(luò)的終端適應(yīng)度。
TNC網(wǎng)絡(luò)構(gòu)架會結(jié)合已存在的網(wǎng)絡(luò)訪問控制策略(例如802.1x、IKE、Radius協(xié)議)來實(shí)現(xiàn)訪問控制功能。TNC構(gòu)架的主要目的是通過提供一個由多種協(xié)議規(guī)范組成的框架來實(shí)現(xiàn)一套多元的網(wǎng)絡(luò)標(biāo)準(zhǔn),它提供如下功能:NAP技術(shù)平臺認(rèn)證:用于驗(yàn)證網(wǎng)絡(luò)訪問請求者身份,以及平臺的完整性狀態(tài)。
NAP技術(shù)終端策略授權(quán):為終端的狀態(tài)建立一個可信級別,例如:確認(rèn)應(yīng)用程序的存在性、狀態(tài)、升級情況,升級防病毒軟件和IDS的規(guī)則庫的版本,終端操作系統(tǒng)和應(yīng)用程序的補(bǔ)丁級別等。從而使終端被給予一個可以登錄網(wǎng)絡(luò)的權(quán)限策略從而獲得在一定權(quán)限控制下的網(wǎng)絡(luò)訪問權(quán)。
NAP技術(shù)訪問策略:確認(rèn)終端機(jī)器以及其用戶的權(quán)限,并在其連接網(wǎng)絡(luò)以前建立可信級別,平衡已存在的標(biāo)準(zhǔn)、產(chǎn)品及技術(shù)。評估、隔離及補(bǔ)救:確認(rèn)不符合可信策略需求的終端機(jī)能被隔離在可信網(wǎng)絡(luò)之外,如果可能執(zhí)行適合的補(bǔ)救措施。