隨著微軟Windows Server 2008和XP SP3、Vista等作業系統版本上市,微軟的網路存取控制機制NAP(Network Access Protection)不再是空中樓閣,各項支援的產品都已經到位。基於微軟在作業系統上無可比擬的市場優勢,各家原本就擁有NAC(Network Access Control)機制解決方案的網路設備廠商,於是開始逐漸朝向支援的方向前進。
北電SNA 2.0將與微軟的NAP機制相容
北電(Nortel)也不例外,即將在今年第二季上市的最新版本NAC解決方案,SNA(Secure Network Access)2.0,也將開始全面支援微軟的NAP機制,未來將可以把NAP機制在終端收集資訊的能力,整合至北電的SNA機制中。
北電企業網路事業部產品技術經理邵聖忠表示,現在SNA 1.6版在收集終端電腦的健康狀況資訊時,是透過北電SNA機制中名為Tunnel Guard的終端軟體,以之確認終端電腦是否符合企業所制定的範本。
其確認方式是先建立一臺符合規定的電腦,讓SNA以之為健康狀況的範本,掃描包括作業系統、內含的檔案名稱、大小,然後分析透過Tunnel Guard傳回的其它終端電腦健康資訊,檢視是否符合此一範本。但目前在病毒碼更新的部分,使用者如果要做到自動偵測,SNA則僅支援賽門鐵克與趨勢的產品,其他廠牌則必須使用手動的方式更新範本。
而SNA 2.0支援微軟NAP後,帶來最大的改變,就是在終端電腦的健康狀況偵測方式上。未來SNA 2.0將可以透過微軟的NAP收集終端電腦的健康狀況資訊。目前要使用微軟的NAP機制,使用者必須擁有Windows Server 2008做為後端伺服器的作業系統,終端電腦所使用的作業系統則必須是Windows XP SP3的版本,或是Vista。
邵聖忠指出, NAP在收集完終端電腦的健康資訊後,會回報給後端Windows Server 2008的伺服器,由它統整判斷終端電腦的健康狀況,決定是否放行該臺電腦進入內網,或是將其阻擋導入矯正伺服器,等到該臺終端電腦符合政策之後才放行。判斷完成後,會交由北電SNA機制中的大腦SNAS(Secure Network Access Switch),也就是一般NAC機制中的政策伺服器,然後再命令交換器阻斷或放行使用者進入內網。
這樣的做法最大的好處,就在於可以省去在終端電腦安裝Tunnel Guard的過程,而直接使用微軟作業系統內建支援NAP機制的功能,透過NAP機制中的SOH(Statement of Health)協定直接檢查終端電腦的健康狀況。雖然目前多數以Appliance架構建置NAC解決方案的廠商,都支援Clientless的模式,如思科(Cisco)、北電、Juniper、Extreme等,但是所謂Clientless,事實上還是必須在使用者登入內網時,透過Java或是ActiveX以Web介面下載一個快速檢查終端電腦健康狀況的小型軟體,除了會影響到企業內網使用的效能外,終端電腦是否能夠順利使用這些軟體,也是一大問題。
|
|
| 所有尚未認證的設備一開始會被限制在紅色網段警戒隔離區,且僅允許其進行認證作業,如果符合政策SNAS便會命令交換器將該用戶設備切換至其綠色網段;若認證結果不通過,則該用戶設備將維持在紅色網段警戒隔離區。 |
開放標準和作業系統優勢,讓各家廠商支援微軟NAP
正是因著這樣的狀況,與微軟的NAP整合,長遠來看將會讓廠商能夠更為精簡自己的NAC方案,解決過去在部署NAC終端軟體上所可能遭遇的困難。除了北電之外,目前思科、Juniper都有支援微軟NAP的計畫。
臺灣思科技術經理謝東興表示,目前思科的NAC方案已經可以做到與微軟的NAP機制互通。在Juniper方面,Juniper先進技術資深經理林佶駿指出,該公司的UAC(Unified Access Control,統一存取控制)機制將在2.2版開始支援微軟的NAP機制,正式推出的時間預計在第二季左右。
與微軟的NAP機制互通,除了在作業系統內建的優勢外,由於微軟是信任運算聯盟(Trusted Computing Group,TCG)的一員,NAP中的SOH功能將納入信任網路連線(Trusted Network Connect,TNC)的開放標準中,在現今NAC市場仍未有一個共通標準出現的狀況下,微軟的NAP機制可以視作是採用Appliance機制的各家廠商,在解決終端軟體問題上的一個共通契機。也因此,北電、思科和Juniper等幾家大廠開始支援NAP機制的動向,也就格外受人矚目。
南亞科技考慮以NAP和他廠NAC共用
和NAP互通這樣的做法,確實能夠吸引到部分希望能夠減少導入NAC機制所需改變的企業。南亞科技資訊處部經理劉誠先就表示,目前該公司導入的思科NAC機制,僅使用在無線網路和部分會議室的有線網路,未來希望在內網的有線網路上能夠使用NAP機制,如果NAC能夠和思科的NAP互通,這一點將對該公司在NAC機制的導入上帶來很大的助益。「所以當初看到很多廠商的NAC要和微軟NAP互通時,我們就感到非常興奮。」劉誠先說。
從南亞科技的例子來看,可以發現和NAP互通這一舉措,對於企業用戶來說是利多於弊。當NAC機制能夠支援作業系統內建的NAP標準,代表著企業在部署NAC時,投資將能更為減少,並且不會因為現有投資設備的局限,而減少所能夠選擇的方案。這也正是為什麼各家大廠都開始支援NAP的主要原因。文⊙劉哲銘
| 已知支援NAP的各家廠商比較 |
|||
| 廠商 | Cisco | Juniper | Nortel |
| 支援NAP的解決方案版本 | NAC Appliance | UAC 2.2 | SNA 2.0 |
| 支援建置NAC方案的架構 | 802.1x、DHCP或廠商專屬架構 | 802.1x、DHCP或廠商專屬架構 | 802.1x、DHCP或 廠商專屬架構 |
| 支援NAP的時間 | 已支援 | 第二季 | 第二季 |
| 政策執行據點 | 交換器 | 防火牆或交換器 | 交換器 |
| 政策伺服器 | Cisco NAC Appliance Server | Infranet Controller | NSNA |
| 資料來源:iThome整理,2008年4月 | |||
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12