弱电工程中网络接入控制方案设计.docVIP

弱电工程中网络接入控制方案设计 　　综合布线中基于硬件的网络接入控制、基于代理的软件网络接入控制、无代理的软件网络接入控制或者动态网络接入控制全都可以改善网络安全。要选择正确的解决方案，IT经理需要考虑他们网络接入控制部署的目标，包括理想的安全水平和管理水平，网络接入控制厂商InfoExpress公司首席执行官、首席技术官和共同创始人Stacey Lum介绍了IT经理需要了解什么知识才能确定适合自己环境类型的最佳网络接入控制选择。 　　网络接入控制能够改善安全是没有争议的。网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户，并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候，网络接入控制能够创造一个没有病毒感染的通讯流并且没有与安全突破有关的许多其他风险的网络。 　　很诱人，是吗?是的。但是，没有天上掉馅饼的好事。许多网络接入控制解决方案都太昂贵以至于不能部署和管理。我们在这篇文章中将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。但是，在我们讨论这个问题之前，我们需要简单再了解一下网络接入控制的四种主要类型：基于硬件的网络接入控制；基于代理的软件网络接入控制：无代理的软件网络接入控制；动态网络接入控制。 　　无论你选择哪一种网络接入控制解决方案，你都需要考虑你部署网络接入控制的目标，如安全与管理水平以及根据你的企业和网络规模的其他因素。 　　 　　1　网络接入控制与地理分散的网络 　　 　　对于一个大型网络，有许多部署、管理和运营的考虑。例如：位于交换机上游的基于硬件的网络接入控制解决方案产生一个潜在的单个故障点。如果这些解决方案跟不上目前高速的10G网络干线的速度，这些解决方案就是破坏性的。 　　而且，网络接入控制解决方案对于地理上高度分散的或者高度分段的网络也许都是不理想的。这种解决方案不仅需要在每一个地方都有一台设备，而且这些方法提供的网络通讯的可见性也非常差。 　　当你看不到或者不能阻止一个大型子网上的入侵者的通讯的时候，相信你使用网络接入控制获得更??的安全性是没有意义的。带外的替代方法，如使用802.1x的选择，经常需要改变网络和服务器的许多设置。这需要额外的隔离网络和每一台交换机的端口的设置以及需要设置路由器和交换机的访问规则。这不仅增加了管理成本，而且还增加了出现错误的风险。基于硬件的网络接入控制显然并不便宜，或者说并不是一种万灵药。 　　但是，基于硬件的网络接入控制能够提供高水平的安全，因为它们的重点是网络通讯，能够发现在线路上运行的安全漏洞。 　　在地理分散的网络中采用基于软件的方法，管理性的挑战依然存在，但是，这些挑战转移到了端点，需要在每一个端点安装一个软件代理。虽然无代理的网络接入控制方法能够减轻这种管理负担，但是，无代理的网络接入控制不能提供一种一致的方法以全面地评估这个端点的状态。这就意味着用重要的安全功能交换可管理性。 　　因为动态网络接入控制只能利用一部分系统作为安全强制执行者，动态网络接入控制实际上能够帮助你利用分布式网络的力量保护自己。 　　 　　2　保证中小企业的安全 　　 　　中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法，如802.1x网络配置，以及在发生问题的时候正确地排除故障。此外，由于资源的局限性，中小企业经常把IT团队的重点放在发展业务的IT计划上。 　　这正是基于软件的网络接入控制要做的事情：在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上，对于中小企业来说，在防御代理方面有许多可说的事情。例如：在端点能够达到更高水平的审查，从而增强安全性。现实是，代理可以是现有的引起中断最少的解决方案，特别是应用到网络通讯的时候，因为代理是在后台悄悄地运行的，只是定期地向服务器发送更新。因此，如果你是IT资源有限的中小企业，这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。 　　 　　3　理想的安全水平 　　 　　不管你的企业和网络规模有多大，你都需要用理想的安全水平去权衡成本与可管理性。这是普遍的现象，因为内部文化，容忍风险的限度或者这个企业是否处在管理非常严格的行业等因素都决定了企业应该采取更高水平的安全，还是选择管理的方便性。 　　例如：如果安全是唯一的考虑的话，基于硬件的802.1x(带外的)解决方案也许是最佳的选择。虽然无代理的网络接入控制避开了安装和维护代理的需求，但是，它也付出了代价。无代理的方法不能提供一种一致的方法来全面评估端点的状态。此外，由于通过检查网络通讯可以确定身份，用户可能会欺骗这个系统。 　　动态网络接入系统也许会提供管理性和安全之间的正确的平衡。 　　 　　4