TippingPoint NAC Tutorial transcript Chinese分析和总结分析和总结.docx

TippingPointNACTutorialtranscript-Chinese

大家好，我叫SethGoldhammer，是TippingPoint网络访问控制解决方案的产品线主管；

TippingPoint是一家IPS防护网络提供商。

下面我将提供一个有关网络访问控制(NAC)的简短教程。通常，在了解谁处在网络边界方面，一些客户面临着挑战。

随着设备变得日益移动化，组织不能再仅仅依靠域认证和端口隔离所提供的保护，因为用户很容易就会引入恶意程序，

这些程序可能是由直接利用漏洞的行为，或者是善意用户在传送代码时无意中引入的。现在，网络需要使用边界设备建立信任级别，以了解使用设备的用户的资格，

并根据软件库存了解设备的风险等级。

然后，身份认证和状态政策遵循(posturecompliance)可以规定一台设备对网络资源的访问权限，以保护其他可信端点、重要的网络资产和应用程序。

TippingPoint与研究团队TheInfoPro的研究表明：

需要减少网络漏洞的数量，是人们采用NAC的主要目的；另外，用户还希望为非雇员提供网络访问，并进行智能报告收集，以方便审计或解决故障。

但是，随着许多供应商纷纷进入这个充满前景的领域，由于

产品性能不佳、无法提供承诺的功能、并且需要对网络进行修改，因而增加了网络的复杂程度，客户的希望也随之落空。

客户不仅需要了解自己的当务之急和需求，

还需要了解供应商的解决方案如何使用各种技术来满足这些需求。通过避免采用知名度有限、

需要网络变更和升级，而非利用现有的网络技术、

以及使用有关标准协议的网络诀窍的解决方案，客户能够找到满足他们需求的解决方案。要找到适当的网络访问控制解决方案，

组织需要了解组织的当务之急和安全需求。每一类用户和设备都需要一组适用的策略。

设备必须与之兼容的软件库存因每一类用户和设备而异。

NAC解决方案必须能够灵活管理不同类型的外部用户（无论是日常访问者还是长期承包商）和内部用户（包括特定于应用程序的设备和各种职位的用户）。

网络访问控制不是一种单一的技术，而是不同身份验证、状态评估和访问执行技术的组合。

组织和网络拓扑方面需要处理的重要事务可能会使组织做出不同的决策，采用一组适当的技术来满足组织的特定需求。

这个矩阵为网络控制优先和用户类型提供了建议。

由于设备和用户类型上的差异，许多组织需要在网络的不同区域采用不同的技术。

TippingPoint提供的NAC解决方案能够处理为同类型的用户和设备、网络拓扑以及组织重要事务。

我们的高度可扩展解决方案可应用于NAC的每一个关键领域：

认证、访问执行、状态评估和报告。

该产品的核心组件，NAC策略服务器，可进行扩展，以对上述领域进行集中管理，为多个客户的10000名用户提供服务。

用户可按照各种认证前端方法和后端服务进行标识。可以部署一种或几种执行方法来实施策略，

这些方法包括我们的内嵌式NACPolicyEnforcer（实现粒化控制），或带外选项（包括802.1X和

DHCP）。

状态评估可选。一个基于JAVA的代理可作为信息收集器，以决定软件库存。管理员可以就已安装、正在运行和最近更新的程序的端点遵循性，

为不同类别的数百家供应商设定策略。

我们的目的是帮助您通过了解您所在组织的当务之急和需求，在不提高成本和增加网络复杂性的前提下，找到一种减少网络漏洞的网络访问控制解决方案。

TippingPoint认为，IPS防护网络能够提供全方位的保护；

我希望本教程能够提供足够的信息，为您评估网络访问控制解决方案，

实现网络保护自动化提供帮助。谢谢大家的参与。