NAC太貴 新方案更彈性

在企業對於內部防禦的需求逐漸升高的情形下，各家廠商接連著推出網路存取控制（Network Access Control，NAC）的產品，但由於導入NAC常需要大規模變更現有硬體架構，如導入802.1x標準的設備、變更交換器廠牌、整合原有認證系統等，或是在每個終端部署小型軟體等複雜的程序，使得許多企業都對NAC的龐大投資金額望之卻步。為了解決這樣的問題，幾家NAC的廠商開始推出變更網路架構較少的NAC方案，減少企業開支，吸引企業採用。

思科與極進皆推出彈性方案
以思科（Cisco）的NAC機制為例，近來就提供NAC Appliance的方案，以一臺Clean Access伺服器直接架設在網路資料流的路徑上，執行過濾流量封包的機制，達到存取控制的效果，改變過去採用思科NAC機制就必須全面改換該公司交換器和路由器產品的狀況。

思科業務開發經理張志淵表示，過去和企業客戶接洽時發現，由於思科NAC機制在硬體上的需求，企業必須大幅變更現有網路架構，使得企業對於該公司的NAC方案接受度不高，所以思科才接著推出NAC Appliance的方案，讓思科的NAC機制能夠在企業變更最小的網路架構狀況下，達到相同效果。「過去我們需要很努力去尋找企業客戶採用NAC，但是NAC Appliance的方案推出後，現在已經有1～20個企業向我們提出借測的需求。」張志淵說。

事實上，以一個有幾百個據點的銀行來看，如果採用過去思科的NAC機制，硬體加上NAC軟體的授權費用，很可能就需要上千萬，而新的NAC Appliance的方案，則只要幾百萬就做得到。NAC Appliance和思科先前推出的NAC機制最大的不同，是以in-band或out-of-band的做法，將所有網路流量的封包都先導入該方案的Clean Access伺服器，進而將未經過認證的使用流量導向隔離的網域，判斷使用者的帳號、密碼以及是否符合安全規範等程序，都由該伺服器負責，再透過每個終端安裝的幾KB大小的軟體，進行流量導向和政策執行。

極進網路(Extreme)日前推出的NAC產品Sentriant AG，則以另一種的做法吸引企業採用。代理該產品的逸盈科技經理朱賡祐表示，Sentriant AG是一個軟體方案，將安裝此軟體的伺服器放在企業內核心交換器，和身分認證的DHCP或RADIUS伺服器間，就能由此分析流量，判斷使用者權限。

Sentriant AG此類產品的做法，由於只需透過核心交換器取得OSI網路層第三層的資料，所以可以支援不同廠牌的交換器。朱賡祐更指出，事實上即便企業使用第二層的交換器也沒有限制，不過由於會擔心惡意使用者改變IP的資料，造成安全上的顧慮，所以一般來說還是建議企業使用第三層的交換器來做。

朱賡祐表示，一般來說，NAC可分為Web、Appliance或利用交換器硬體加速3種不同基礎上建置的做法，其中以Appliance為基礎的做法最為常見。除了以交換器硬體的方式做之外，其他做法或多或少都必須變更企業內原有的網路架構，或是必須在終端安裝軟體。這使得臺灣企業對於NAC的接受度不高，其主因還是在於原有設備的投資很可能都浪費掉了。而Sentriant AG除了讓企業可以減少網路架構的變動外，甚至可以做到不須在終端安裝軟體。發現危險的流量時，若企業是採用DHCP架構，Sentriant AG可以配發該使用者隔離區的IP，以此達到存取的隔離；而若是在802.1x的架構下，Sentriant AG則以類似思科的做法，將其導向至隔離區的虛擬網域，以達到隔離的效果。

Sentriant AG也提供安裝軟體和Active-X的模式，端視企業的需求而定。「就過去的經驗來看，企業來詢問NAC相關的建置時，最先問的問題就是要變更多少原有的網路架構，」朱賡祐說，「我們代理很多家不同的NAC產品，現在看來也是以Sentriant AG這種變更網路架構較少的方式，比較受企業青睞。」

誠品以Sentriant AG建立NAC機制
誠品書店就是採用Sentriant AG建置NAC機制的企業之一，該公司在總部與50幾個據點，都採用該產品，最主要的原因還是在於Sentriant AG不須大規模變更現有網路硬體架構，並且也可以選擇不在終端安裝軟體，減少企業在導入NAC機制時的整體投資與管理成本。

這些減少變更網路架構的NAC產品出現，究其原因，代表過去必須強制變更許多網路架構的NAC做法，對於企業來說，投資實在過於龐大，且變更幅度越大，企業的IT人員在管理上也更為困難，也才使得NAC廠商開始推出僅需較少變動的產品。思科的NAC Appliance可支援100人～10萬人的企業使用者規模，並且支援微軟NAP。
Sentriant AG現在的4.2版本則只支援微軟的平臺，未來5.0版本才支援Linux等平臺。文⊙劉哲銘