(组图) 整合NAC与网络安全工具详细介绍

《伪程序的网络访问控制》的“扩展NAC”的第一部分阐述了网络访问控制解决方案如何与入侵检测预防工具、防病毒网关和网络详细目录/设备分类应用整合来增强这些功能。本文为你详细介绍整合NAC与网络安全工具。整合网络访问控制（NAC）解决方案到其它网络安全工具将有助于扩展用户和主机身份认证，同时也可以增强网络上的安全策略。

了解如何整合网络访问控制解决方案与网络安全工具，并找出失误以便更好发展。

了解网络

NAC事实上是第一个能将所有的网络和安全元素上的信息协调到一个位置的方案，这样你就可以根据用户身份和终端安全状态以及每个用户登录到网络上的行为来建立访问控制政策。

新的标准，如TNC的IF-MAP协议，已经实现了这个级别的协调。而随着这些标准的出现并不断被越来越多的供应商所采用，你将可以使用这些新的措施和政策来从其它产品的扩展得到NAC实现的附加价值。接下来将举例探讨NAC部署是如何在其它产品扩展中受益。

扩展NAC：伪程序的网络访问控制

试想目前你的网络中所部署的大量的网络和安全设备——它们之间有何共同点，以及它们在NAC方面有哪些类似之处呢？

这些设备都收集用户在网络上的操作信息。这些信息量很大，而且这些信息都是直接存入日志文件存档，没有人会再看一次。正确的利用这些信息可以让你查看用户网络的行为，并允许你使用这些信息来快速更改访问控制决策。

这些收集用户行为信息的设备都是为实现最佳可视性而在你的网络中有策略性地放置的。大多数情况下，你可以使用这个安置作为附加的覆盖实施方案以便允许你在网络中的每个策略使用用户和主机身份认证信息。

在本文中，我们将探讨如何在制造商提供的功能基础上扩展多个NAC系统，从而在网络中实现NAC与更广泛的系统、设备和应用相配合。

IDP/IPS整合

入侵检测防御（IDP），或入侵防御系统（IPS），最近几年越来越受欢迎，特别是当供应商应对NAC市场的早期挑战时，如感知部署和可用性难点。目前，大多数大型的组织都全面部署了IDP/IPS，但是在使用NAC之前，这些解决方案都被一定程度的限制以防止公司网络中发生新的攻击。你可以配置所有的IPS探测器来中断网络中恶意或其它不需要的流量。比如，假设一个特定的终端发起一个针对公司数据中心的应用服务器的攻击，并且IPS检测到该流量是恶意的，那么IDP/IPS可以通过所配置的策略来中断流量。虽然这个响应是充分的，但是，在某些情况下，你可能想进一步阻止网络以后的攻击。NAC可以帮助你从IDP/IPS设备中获取信息，并在被攻击或发生意外事件时使用这些信息来处理终端用户的访问。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点