資安進入協同防禦新世代(二)

NAC應用可全面導入或局部使用
由於廠商本身的核心優勢考量與發展方向，網路協同防禦解決方案涵蓋的面向和規模有極大的落差。有些網路設備廠商只處理自家品牌、跨品牌的路由器、交換器與安全閘道設備之間的內部區網存取控制；有些則從末端安全向上發展，以跨個人電腦、伺服器與安全閘道的集中控管平臺為基礎，延伸與網路設備支援，整合強制阻擋功能。

這些NAC解決方案中，最基本的能單純滿足乙太網路和Windows電腦控管，不過無法涵蓋到無線網路、VPN與跨廠牌設備的網路存取控管；較複雜的NAC可以同時處理超高速網路環境、跨品牌的網路設備和資安設備、無線網路，遠端存取應用上則能和IPSec VPN和SSL VPN協同防禦，並同時支援多種作業系統與多種末端設備，例如個人電腦、伺服器、PDA，甚至包括網路印表機、POS系統和VoIP等設備。

選擇適合企業本身環境的網路隔離解決方案？
Forrest Research在2005年6月發布「如何選擇正確的網路隔離解決方案」，有系統地整理全球主要的NAC解決方案，他們將網路存取控制定名為「網路隔離」（Network Quarantine，除了隔離，還包括封鎖和矯正的功能），分成兩種架構：網路連接埠（Port-based）控管和伺服器（Server-based）控管，簡單地說就是硬體設備和軟體兩大類。

網路連接埠的隔離控管需要搭配網路設備端，例如路由器、交換器和VPN作為認證，可再細分為網路埠控管設備（Port-based Appliance）和網路埠控管交換器（Port-based switch）。

網路埠控管設備：屬於最容易建置的解決方案，系統從網路層利用VLANs和MAC address位址，隔離不合乎安全政策規範的使用者。企業可用基礎架構的認證閘道，控制使用者存取；企業還可以採用混合式的基礎架構閘道兼具使用者認證和區域網路交換，或以監控閘道的角色，利用XML、CLI指令碼或SNMP，發出命令給區域網路交換器隔離這些不安全的電腦。

網路埠控管的交換器：直接整合到區域網路交換器，以作為身分/安全性認證的強制執行節點。同樣採用VLANs和MAC address位址隔離個人端電腦，優點是可以處理大型、複雜的網路拓樸架構，但是交換器多半會被要求能夠支援802.1x，如果企業近幾年來都沒有汰換交換器，很可能需要為了這個架構而全面升級，最好先確認公司的交換器設備是否能透過更新韌體取得這樣的功能。企業也可以選擇透過SNMP的通訊協定來命令交換器，以及能支援跨廠牌交換器存取控制清單（Access Control List，ACL）的NAC解決方案，或者考慮其他非交換器的政策強制執行架構。

伺服器架構的政策強制執行軟體：這類型的系統可以整合控管一般伺服器和個人電腦作業系統，當這些不受控管的電腦透過DHCP取得列管IP時，限制他們的網路存取，或是用CLI指令碼、SNMP，對交換器發出隔離該部電腦的命令。

網路連接埠（Port-based）和伺服器（Server-based）隔離控管，通常還可以延伸到末端安全，這就需要和個人端電腦的防毒、個人防火牆、防間諜等安全防護軟體連動，在Forrest Research的報告中，根據部署彈性和控管準確度，分為無個人端程式（Clientless）、完整個人端程式（Full-client）和半個人端程式（Semi-Clientless）三種，為了能有效套用政策到所有的網路存取，企業可以混合使用這三種個人端程式，但可能會演變成建置多個網路隔離架構和多個網路設備供應商的複雜關係。

逐漸朝開放、標準化邁進
大家對NAC架構的認知，多半仍停留Cisco NAC在過去幾年所傳達出的印象：大部分人都認為導入這樣的架構，企業需要將路由器和交換器全部統整為單一品牌的設備，組成Total Solution才能發揮綜效。事實上，其他NAC解決方案相關廠商為了達到初期建構協同防禦的效果，的確總是從自家品牌的網路設備開始著手聯防，所以更使得大眾誤解NAC架構可能需要大幅更換網路架構的所有相關設備。

目前單一廠商的NAC解決方案的確佔大多數，然而既然企業的網路環境需求和複雜度不一，各家廠商都在尋求解套的方法，例如調整架構、以標準協定協同防禦，或是與其他廠商結盟。

就目前的解決方案發展而言，Cisco去年即推出能跨不同品牌網路設備的NAC Appliance（Cisco Clean Access）。從我們整理的各家NAC解決方案比較表可以發現，有些廠商已經支援標準化的通訊協定，能串連不同品牌與類型的網路設備和資安防護系統。