安全雜談：瞭解 NAC 產品的一般測試指南

【原創文章，版權所有，賽迪獨家發佈，合作網站如欲轉載，請註明出處「賽迪網」和文章作者「freedom」！謝絕非合作網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

NAC產品一般在邊緣位置採用802.1X認證；通過一個限制性的入口，採用基於Web的認證，或私有的客戶端或協議認證，或採用被動式認證；它使用RADIUS或其它的協議嗅探；或採用靜態的基於媒體訪問控制的或基於端口的認證。評估一個NAC產品認證性能的關鍵是決定其機制是否足夠寬泛從而可以在你的環境中運行。

更大的NAC部署依賴於與公司認證資料庫緊密集成，如活動目錄或某個其它的輕量級目錄訪問協議伺服器。

評測一個NAC產品的端點特性時，關注每一次評估可以提供的信息是很重要的。測試每一個NAC時，需要注意：

・它是否能夠評估一個用戶系統的設備水平。

・它是否考慮用戶系統的安全狀態

・它如何處理多用戶團體（管理的、未管理的及臨時用戶等），它如何適應各種用戶平台。

・端點的安全評估如何與可能的補救策略相集成。

NAC的強化可從兩個方向進行觀察：細節水平和位置。要評估細節水平，你必須測試一些主要的強化類型，如基於虛擬局域網的訪問限制和簡單的資料包過濾器等，看其如何與你的NAC計劃相適應。

要評估位置，你應當評測NAC強化的三個選擇：網絡訪問的所在地點，網絡訪問之後的位置，網絡的核心，將其映射到你的網絡中。

任何NAC的部署都會帶來網絡、安全、桌面人員的引進，因此，應當在每一個層次上考查每一種NAC產品。

下面我們看一些適用於一個NAC方案標準的管理評估問題：

・圖形用戶界面設計是否令人滿意而舒適，其設計使操作更容易了還是妨礙了操作？

・安裝過程容易理解嗎，特別是在客戶端工具需要被技術人員和非技術人員反覆安裝時，更需要考慮這個問題。

・對技術人員和非技術人員這些產品的報告功能可用嗎？

・警告功能可以充分地配置嗎？

・這種產品支持公司需要的正常操作（包括災難恢復、伸縮性、可測量性和高可用性）要求嗎？

下面是一些與NAC產品客戶端的管理有關的特定問題：

・客戶端管理能夠輕鬆地將網絡訪問功能（認證或授權）與端點安全評估結合起來嗎？

・如果安裝了客戶端軟體，客戶端包括了可輕鬆地部署和更新NAC所需要的所有部件的能力嗎？

強化的端點管理要求下面的評估標準：

・在NAC產品提供了其自己的增強點，這種機制能夠與一般的企業管理工具相集成並生成日誌信息嗎？

・NAC的強化管理與現有架構的強化和改變控制的過程是如何集成的？

在評估策略伺服器的管理時需要考慮的關鍵因素有：

・策略伺服器與公司的客戶端安全產品和控制台是怎樣集成的？

・策略伺服器與公司現有的目錄集成得怎樣？

・策略伺服器是如何促進策略描述和部署的？

・NAC產品如何交付分佈式管理功能？

(