Cisco(思科)日前發布了網路存取控制(Network Access Control,NAC)的未來計畫,第一步將在該公司的整合服務路由器(Integrated Services Router,ISR)上加入NAC功能的模組。此外,也將推出名為NAC Profiler的產品,用來管控無法安裝NAC終端軟體的連網設備,例如IP電話、印表機等。
推出NAC的ISR模組,吸引小規模企業採用
思科算是市場上最早推出NAC機制的廠商之一,但因為當初思科提出的NAC方案,需要全面採用思科的網路設備,且在終端電腦上也必須安裝能夠提供控管功能的軟體。不過隨後思科推出了名為Clean Access的NAC方案,該方案透過Appliance機制,將所有的流量導入思科Clean Access伺服器,以之分辨與判斷企業內使用者終端電腦的健康狀況、是否已符合公司政策、是否進行安全更新等。
臺灣思科業務開發經理張志淵表示,此次思科在ISR路由器上推出的NAC模組,其運作方式就像是Clean Access方案,是在流量通過路由器時,就進行NAC政策的確認,控管企業內使用者的終端電腦存取。且與Clean Access相同,當終端電腦的健康狀況不符合企業原本制訂的存取政策時,如未更新防毒軟體、電腦有異常封包流量等,就會將使用者導入隔離區。
該模組與原本思科的Clean Access NAC方案的不同之處,在於支援人數的多寡。張志淵說:「此一模組提供50個與100個終端裝置控管的方案,和過去思科支援100~3,500個終端裝置以上的NAC方案不同,希望能夠切入較小規模的企業市場。」據了解,目前此模組能夠在思科2800與3800兩個系列的ISR路由器上使用,50個終端裝置的費用是3,500美元;100個終端裝置的費用則是5,000美元。
除了吸引較小規模的企業採用思科的NAC方案,該模組還能解決過去思科NAC方案中,較難解決的問題。張志淵表示,就他實際協助臺灣金融業導入NAC機制的經驗來看,當據點很多的企業使用MPLS VPN服務時,其分支機構與總部之間的網路流量,雖然能夠透過總部的NAC機制確認終端電腦是否符合NAC政策,但是分支機構和分支機構之間的資料傳輸,由於透過MPLS VPN的轉送,路由路徑有時往往會繞過總部,這也使得這些資料傳輸就無法受到NAC機制的監控,成為可能的終端控管漏洞。「在這樣的狀況下,不大可能要企業在分支機構又建置1臺NAC伺服器,而現在有較低價位且支援較少人數的ISR NAC模組,就能夠解決這樣的問題。」張志淵說。
思科此次公布的計畫中,還有一項重點,就是思科將在2~3個月內推出的NAC Profiler,以此產品延伸其NAC方案的控管觸角。根據思科日前在Security Standard會議上發布的資料來看,NAC Profiler將有能力控管原本無法透過安裝終端軟體,或是原本NAC伺服器無法透過流量監測控管的裝置,例如IP電話或印表機等。
NAC Profiler將有能力控管IP電話等終端裝置
張志淵表示,NAC Profiler的運作原理,是透過網路鎖定每個裝置的MAC位址,讓企業有能力在思科NAC方案中的政策伺服器上,設定控管這些裝置的政策,諸如檢查異常流量行為等。
NAC Profiler目前尚未上市,正式推出的時間預計將在2~3個月內,推出之初將以另外一個伺服器搭配軟體的方式推出,不過張志淵指出,未來思科將把此產品與原有NAC方案中的政策伺服器整合,讓企業能夠以單一伺服器就擁有制訂政策且控管終端電腦與其它終端裝置的能力。
未來將走向共通標準
雖然思科此次公布的NAC計畫大幅的擴張了該公司NAC方案所能控管的觸角,不過在與其他廠牌的網路設備互通上,仍有無法溝通的問題。NAC機制往往需要不同的網路設備間溝通才能達成,例如由政策伺服器發現了某臺終端電腦不合政策,要透過伺服器與交換器的溝通,才能將其流量導至安全的隔離區,避免病毒擴散。
而思科此次在ISR路由器上推出的NAC模組,目前則無法與他廠牌的交換器互通,這也使得較小規模的企業,或是企業在分支機構要採用此一產品時,勢必必須採用思科的交換器才能建置完整的NAC方案。對此,張志淵表示,目前與其他廠牌的網路設備互通,還必須經過實測才能確定可不可行,所以現階段還是建議使用者採用思科的產品。
但思科在NAC方案上已經開始逐步向信任網路連線(Trusted Network Connect,TNC)的開放標準靠攏,由於NAC機制需要網路設備間的互相溝通,可以預見的,未來各家廠商走向開放標準將會是難以避免的趨勢,思科當然也不例外。據了解,目前ISR的NAC模組也正在擴大與其他廠牌網路設備互通的能力,未來該產品預計將能與符合TNC標準的其他網路設備互通。文⊙劉哲銘
思科延伸NAC觸角 |
||
| ISR路由器整合NAC模組 | ||
| 思科新發表的ISR NAC模組,其功能與思科原有的Clean Access NAC方案相同,唯支援的人數規模較少,此模組支援50與100個終端裝置控管的功能。目前能夠支援的ISR路由器為2800與3800兩個系列,此一模組仍無法與他廠牌的交換器溝通,不過思科方面表示,未來將會支援更多廠牌的交換器。 | ||
NAC模組 |
ISR 路由器2800系列 |
ISR 路由器3800系列 |
| 以NAC Profiler管控印表機、IP電話等設備 | ||
| NAC Profiler是思科推出的新產品,能夠透過鎖定連網設備的MAC位址,進而制訂管控設備的NAC政策。這樣的做法能將過去無法透過安裝終端軟體;或是無法被思科NAC機制偵測到的連網設備,納入NAC的政策管理中,這些設備包括IP電話、印表機等。 | ||
| 資料來源:思科提供,iThome電腦報整理,2007年10月 | ||
熱門新聞
2026-01-19
2026-01-20
2026-01-20
2026-01-16
2026-01-19
2026-01-20