Juniper看好IF-MAP協定將成為NAC的共通標準

瞻博（Juniper）服務層技術事業群架構副總裁 （即該公司技術長）Oliver Tavakoli，日前接受iThome電腦報周刊的專訪時，重申了Juniper在網路存取控制（NAC）相關技術標準的立場，力推由信任運算聯盟（TCG）的TNC工作小組，所推出的最新標準IF-MAP（Interface for Metadata Access Point）。

除了重申支持IF-MAP的立場外，Oliver Tavakoli也在訪談中透露了Juniper的交換器作業系統（OS），未來將會有一番大變革，Juniper將會提供企業以模組化的方式構築自己的網路架構管理系統。

開放標準IF-MAP，會成為NAC互通的重要協定
在NAC方面，Oliver Tavakoli表示，信任運算聯盟的TNC工作小組，所推出的最新標準IF-MAP，將有能力讓支援該協定的設備，在網路遭受到攻擊或是異常狀況發生時，相互溝通，進而阻擋攻擊來源。

舉例來說，如果相關網路設備偵測到終端電腦有異常的流量或攻擊，透過IF-MAP協定，其他的網路設備將會知道此一IP位址具備危險性，會自動阻斷其連線，確保災害不再擴大。防火牆也會自動調整、變更針對該終端的政策。Oliver Tavakoli說：「這等於是提供了企業使用者對網路透明度的掌握，未來使用者將有能力透過各個設備回報的資訊，瞬間掌握有問題或造成威脅的使用者是誰？使用了哪一種應用？這項發展將讓NAC的防護能力更強。」

Oliver Tavakoli表示，IF-MAP所帶來的影響力還不止於此，透過這個開放的標準，等於解決了不同廠商NAC架構間的互通。「而且這是大勢所趨，即便是思科（Cisco），未來也必須要支援這個標準。」Oliver Tavakoli說。

事實上，思科曾聲明NAC方案將遵循IETF的標準，但IETF的標準現在其實就是跟著TNC架構來走，加上微軟也是TCG的一員，並且支持TNC架構，所以Oliver Tavakoli才會如此篤定的推斷。「顯而易見的，」Oliver Tavakoli說，「2～3年內IF-MAP就將成為不同網路存取方案廠商，與資安設備廠商間互通的共通標準，而我們的方案將全面支援這個標準。」他指出，大約1個月前，Juniper就已經和一些資安設備廠商合作展示了利用IF-MAP協定互通的能力。

Oliver Tavakoli更進一步指出，長期來看，企業應該把NAC視做基礎架構的一部分。Oliver Tavakoli說：「等到IF-MAP協定完善且普及後，未來企業將不再是為了做NAC才導入，而是網路設備本身就內建這樣的功能。長遠來看，絕對沒有一家廠商能夠完全防堵所有的攻擊模式。」

Juniper 的技術長Oliver Tavakoli認為，共通標準才是網路設備廠商在各方面合作該走的路。

單一OS並不表示Juniper將拋棄其它的OS
除了表明Juniper未來在NAC上將會持續支持開放的TNC架構外，Oliver Tavakoli也發表了未來Juniper設備的OS發展藍圖。他表示，雖然Juniper近來持續的將許多功能整合到JUNOS（Juniper長期以來使用在路由器上的作業系統）上，讓JUNOS成為一個多功能平臺，可以同時支援安全防護、路由與交換等功能，並且提出各種設備都使用單一OS，讓使用者更容易操作與維護的理想，但是這些都不代表未來Juniper會放棄其他現存的作業系統。

Oliver Tavakoli表示，這是因為Juniper如果放棄其他的作業系統，如NetScreen（長期使用在Juniper的防火牆上）等，反而會損害到自己的商業利益。Oliver Tavakoli說：「我們擁有很多習慣使用非JUNOS作業系統的用戶，所以即便現在JUNOS已經整合了NetScreen等作業系統的功能，我們也不可能強迫客戶轉換使用習慣，轉而使用JUNOS。」

雖然如此，不過Oliver Tavakoli也指出，Juniper還是深信JUNOS單一OS平臺所能帶來的效益，未來推出更強效能的設備時，將會採用JUNOS的作業系統，以此做為誘因，吸引有需要的企業轉換自己的使用習慣，使用JUNOS作業系統的網路與安全設備。「如果設備的效能只多5％，你不可能吸引企業轉而使用JUNOS作業系統的設備，但如果效能多了1～2倍，或是多了很多企業需要的新功能，那麼自然就會吸引企業使用。」

而在管理方面，Oliver Tavakoli表示，為了讓使用JUNOS的設備，在管理上不會因為太多功能而難以操作，未來2～3年內，Juniper將會推出模組化的管理程式，讓使用者無論透過中央控管的軟體管理，或是逐臺設備設定時，能夠自己選擇需要管理的元素，如路由、交換、安全等功能，讓不習慣用JUNOS的使用者，能夠減輕在逐一設定上的難度。Oliver Tavakoli說：「或許單一設備來看，一臺擁有交換和安全功能的JUNOS設備，或許會比過去使用NetScreen作為OS的單純防火牆，在設定上來得複雜。但是未來透過這種模組化的管理軟體，使用者將能很簡單的完成設定。如果是透過中央控管的軟體，使用者更有可能或許根本沒有感覺，因為我們中央控管的方式並沒有改變。未來我們還計畫提供給大型企業和網路服務廠商，一套開放的Web中央管理介面，同樣也是模組化的，讓他們能夠自行選擇需要管理的項目，更方便的統一管理所有的設備。」

不過Oliver Tavakoli坦承，現在Juniper還做不到這一點，這將會是未來他們努力的方向。「明年你就會看到我們的設備內會出現這種模組化的管理軟體，然後2～3年內，中央控管的模組化管理軟體就會問世。」Oliver Tavakoli說。

這代表未來Juniper的設備在管理上將會有大規模的改變，企業使用者將能透過模組化的中央控管模式，以更簡單的方式，選擇與拼湊管理上需要的功能與介面，並且能夠減少逐臺設定與控管的難度。不過這些優勢，小規模的企業可能無法感受得到，這些企業難免還是必須面對Juniper採用JUNOS作業系統的設備使用上越來越複雜的問題。

交換器和伺服器虛擬化的配合，也該以開放的標準為主
而在虛擬化方面，Oliver Tavakoli表示，Juniper現在其實還不確定自己的安全設備，應該在虛擬化環境中提供什麼樣的功能。「很多客戶都希望實體環境有的安全功能，虛擬環境中都有。但如果要把所有在實體環境中安全設備的功能，都做到虛擬環境中，勢必會浪費很多伺服器的效能，甚至有可能40～50％都耗掉，這樣完全不合乎邏輯。」Oliver Tavakoli說。

至於交換器與伺服器虛擬化的配合上，Oliver Tavakoli則重批對手思科的做法。「思科推出了虛擬交換器，告訴你用他們的虛擬交換器效能會比較好，然後又推出了伺服器，告訴你用他們的伺服器虛擬化的效能會比較好。這就像買一臺車，然後車商告訴你要走他們開的路，加他們家的油，才能發揮最好的效能。」Oliver Tavakoli說。他認為，網路設備廠商應該與虛擬化相關的廠商，如伺服器廠商、虛擬化軟體廠商，共同研究一套公開的標準，透過標準讓不同廠牌的廠商的設備都能以互相溝通的方式，提升虛擬化環境的效能。Oliver Tavakoli說：「事實上我們也正在和一些廠商共同研擬制訂這樣標準的可能性。」文⊙劉哲銘