| 出版日期:2005-06-06 总期号:1417 本年期号:40 |
|
 |
终端管理知里知外
文 湖北省来凤县人民银行 龚炜 日前,Cisco和Microsoft相继宣布,将针对脆弱的终端设备提出一套完善的准许接入控制(Admission Control,简称AC)方案。当这一消息在业内宣布后,引来人们对于终端管理话题的热烈讨论。从目前所推出的各种各样网络管理的系统管理软件来看,终端在各种软件上的拓扑显示也许就是一个灰色的图标,对于终端上各种各样的应用而言,网络管理系统软件都无法知晓,因此,如何对终端进行智能化的管理,真正做到“知里知外”,网络管理系统还有很长一段路要走。 技术原理透视 目前,从微软和思科推出的终端智能管理的机制来看,都是基于同一原理:即利用安装于主机中的代理查询其它应用如AV软件、补丁管理或个人防火墙的运行和安全状况,然后将信息收集传送至策略服务器,策略服务器将主机现行状态与预定义策略进行比较作出相应决断。 互操作问题 NAC(网络准许接入控制)与NAP(网络准许接入保护)都为专有准许接入控制系统,Cisco与Microsoft已公开保证将实现NAC与NAP间的兼容和互操作。 两家公司在一份联合声明中明确向客户承诺,在不久的将来完全实现NAC和NAP间的互操作,届时两类协议组件将能相互识别,并进行增强的策略“共享”。同时,Cisco已准许Microsoft对NAC通信协议进行部分修改,以适应后者的隔离系统;Microsoft则将其客户端及服务器API技术转让给Cisco。但是,迄今两家公司仍各自掌控着关键核心技术。 Cisco声称,他们的最终目标是开发出一类标准主体,以创建通用网络准许接入平台,便于其它硬/软件开发商集成。但这不可能在短期内实现,因为公司对标准主体建议文稿还没有框架。 与此同时,其它一些安全组织也在致力于多厂商终端准许接入控制系统的研究,目的是形成一类互操作标准。比较著名的是可信任网络连接(简称TNC)方案。TNC由半标准化组织TCG(可信任计算工作组)发起,而是TCG为专注可信任平台模块(TPM,为基于硬件的安全解决方案)研究的产业组织。 其它相关技术 TNC的发起(2004年5月),可以说对Cisco在这一领域的霸主地位形成了严峻挑战,因为TCG成员包含了Juniper、Extreme和Foundry这些很有实力的网络公司,甚至NAC方案的合作伙伴Sygate与Symantec也加入了这一阵营。TCG最初希望在去年底形成一类针对多厂商终端策略控制的开放架构规范,但事与愿违。 此外,Enterasys的可信任终端系统(TES)也具有很大吸引力,它采用Matrix 交换机、NetSight策略服务器,以及Check Point/Zone Labs(或Sygate)的主机代理,执行与NAC类似的功能。Alcatel、HP、Foundry以及Extreme也在联合开发准许接入解决方案,他们采用Sygate的Host Integrity(主机集成)客户端作为桌面代理。 在无线终端方向Vernier最初为一家专门从事无线安全开发的网络公司,最近宣布推出名为EdgeWall的安全工具,能执行网络准许接入功能而不需要主机代理。EdgeWall位于交换机与接入点(AP)之间,用于质询新机器搜寻AP的行为,确认其合法性。它能执行弱点扫描,并基于扫描结果准许或阻止某客户端接入;还能持续监控网络通信,检测蠕虫、病毒或其它非正常连接程序(如P2P应用程序)。但由于EdgewWall不使用代理,因而它必须登录每台机器方能实现基本的NAC/NAP功能,如确认AV软件客户端的位置或检测最新的补丁程序。另外,EdgeWall设备必须在获取每台主机的认证证书后方能执行检测功能。 |
||||||||||||||||||||
