Cisco、Juniper分推網路存取控制技術

前不久，在新竹科學園區的某家晶圓廠，某位員工將帶回家使用過的筆記型電腦接上公司的網路線，連上企業內部網路，沒想到這位員工的筆記型電腦已中毒，連帶導致整個公司的網路中毒，重要的生財設備─晶圓控制器也受到波及。

上述事件突顯出企業網路安全的新漏洞─外部終端裝置與廣域網路（WAN）的網路存取。事實上，幾年前就已有企業認知到不明筆記型電腦對企業網路的危脅，臺灣電訊（TTN）在3年前就於公司的接待櫃檯前貼上說明，限制訪客在臺灣電訊的辦公室內，以未經IT人員允許的筆記型電腦連網。

Cisco稱NAC，Juniper叫Infranet

臺灣電訊以土法煉鋼的方法防護企業網路安全，但兩大網路設備商最近提出的網路安全技術，可讓企業以較聰明的方式管理外部裝置的網路存取，思科（Cisco）稱之為NAC（Network Admission Control），Juniper的產品則名為Infranet。

不論NAC還是Infranet，都是網路存取控制技術，而且主要是管理來自企業外部的終端裝置，如員工的筆記型電腦、協力廠商的電腦，網路存取控制技術除了提供防火牆做不到的辨認網路使用者的身份，也具備SSL VPN所欠缺的確認終端裝置安全狀態的技術。

也就是說，當員工的筆記型電腦或協力廠商的電腦試圖連線至企業內部網路時，透過網路存取控制技術，企業的IT人員可以知道該臺終端裝置是誰在使用？有沒有中毒？修補程式碼是否最新？在Juniper的實機展示中，甚至可以看到外部試圖連線的電腦正在使用哪些應用程式，當使用者的身份確認無誤，欲連線的終端裝置安全狀態也達企業的安全政策標準，系統會根據使用者的身份，開放不同的網路資源存取權限。

分散式、IP化經營環境驅動新技術成形

會出現網路存取控制技術，源自於企業分散式、行動化經營環境的形成，散布全球各地的員工、上下游協力廠商可從任何地方存取企業的網路資源，但Juniper臺灣暨香港技術總監游源濱指出，現在企業的網路安全技術，僅能管理、防護來自企業內部區域網路（LAN）的個人裝置，對於來自外部，試圖連線至企業內部網路的終端裝置卻缺乏有效的管理方案，形成企業的網路安全漏洞。

Juniper總經理林蒲英則說，在各行各業逐漸往IP化邁進後，網路安全存取控制將會是重要議題。

最近就有銀行主動探詢網路安全存取方案，因為銀行的自動提款機（ATM）監控皆已網路化，萬一企業網路安全存取管理不當，將殃及遠端的數百臺ATM，像上述晶圓廠的員工筆記型電腦造成企業網路癱瘓，換做是銀行，可能就是ATM無法提款，將嚴重影響銀行形象。

新技術支援度仍不夠完整

而在網路安全存取技術的做法上，思科與Juniper大同小異，終端裝置皆需搭配一個小軟體，只是思科採取由使用者自行安裝，Juniper的產品則會在使用者要求連線後主動下載，這個小軟體的用意是要讓後端的系統能夠判斷、執行使用者的身份認證與裝置的安全狀態，後端則需要一臺進行身份管理的安全政策伺服器，及提供掃毒、隔離、更新病毒碼等功能的防毒伺服器。

在最後的防線─防毒伺服器上，思科的合作夥伴較多，臺灣企業主要採用的產品─趨勢科技、賽門鐵克、McAfee都有，而Juniper則訴求與鳳凰科技合作，可從硬體本身的元件來判斷設備的安全性。

不過，Juniper強調，其Infranet的解決方案，企業不必更換現有的路由器、交換器及防火牆、SSL VPN等網路設備，只要設備是Juniper Screen 5.3版的作業系統都可支援Infranet，目前Infranet率先支援企業的防火牆。

而思科的NAC目前僅支援IOS 12.4版的路由器作業系統，交換器、防火牆、SSL VPN等設備要至年底才會加入NAC功能，但思科強調，舊版的交換器、路由器仍可透過IOS的升級使用NAC。

此外，Juniper的Infranet除了進行使用者的身份辨識、終端裝置的安全檢查，現在就已有針對使用者身份提供不同網路資源存取權限的功能，而思科這部份的功能則要等今年底NAC 2.0版的問世。
文⊙陳珮雯