Lemm也排除了Extreme公司基于其Sentriant设备的访问控制系统。去年,当他考察该系统时,该系统可以在第3层进行筛选,但无法完全适应到第7层,而第7层的能力正是他希望获得的。
最终,他选择了Juniper的Infranet Controller策略引擎,并将其与Microsoft Internet Authentication Service验证服务结合在一起,确定终端设备应获得哪种访问权。Extreme的交换机和Juniper集成安全网关(Integrated Security Gateway)可以与防火墙、VPN和入侵探测系统结合在一起形成完整的策略执行点。
他说,虽然这些部署工作使用户避免对所有的交换机进行替换,但这仍然没有达到理想的境界。Juniper需要一整套企业范围的管理系统来管理网络访问控制系统的各个部分,从而节省管理工作所消耗的时间。目前,他使用Web接口直接管理单个机器,或者利用NetScreen Security Manager来管理Infranet Controller。
网络访问控制的基本原则
网络访问控制的基本原则是,虽然这类技术还是一种没有完全定义的新兴技术,但它在适当的条件下仍然可以发挥巨大的价值。Forrester Research的分析师Rob Whiteley指出,应用网络访问控制的关键是只用它来满足一些具体的需求。
Whiteley认为,用户在选择网络访问控制技术时应当有长远的发展眼光,使未来的安全性和网络采购活动能够适应这些处在不断发展过程中的、更为宽泛的网络访问控制架构。他说:“谁也不希望部署一串安全孤岛,因此这一点非常重要。”
网络访问控制与您
在确定网络访问控制产品是否适合您的企业之前,您可以向自己提出以下几个问题:
* 如果终端在连接到网络之前就可能已经受到感染,那么它对网络构成的危险有多大?
* 在三种主要的网络访问控制方案(Cisco、TNC或NAP)中,哪一种最容易集成到我现有的安全环境中?我是否能够等到标准或互用性测试出台后再来选择自己的方案?
* 与目前正在进行的其他安全计划相比,网络访问控制的重要性有多高?
* 在实施网络访问控制时会对网络产生一些干扰,我能承受多大程度的此类干扰?
您也可以向厂商提出如下问题:
* 贵公司的产品在哪些方面能够适应更为宽泛的网络访问控制架构?当单个机器的状态发生改变时,它是否能够验证和扫描终端、检查策略符合性、执行策略、创建策略或管理策略?
* 贵公司的网络访问控制产品的未来发展路线图是怎样的?
* 要想支持贵公司的网络访问控制设备,我需要对网络基础设施进行哪些升级和替换?
* 贵公司是否支持移动访问?
* 贵公司是否可以证明产品的投资回报率?
| 共3页: 上一页 [1] [2] 3 |
| 【内容导航】 | |||
|
服 务 CIO 推 进 信 息 化
|
|
