主机试图连接到具有NAC功能的网络时，通常经历三个阶段：准入前后的评估、策略选择和策略执行。负责管理每个步骤的标准取决于贵公司的策略和NAC系统具有的功能。

    你在选择产品之前，要明确贵公司的目标到底是什么。举例说，补丁或者反病毒软件的特征过期多久后，主机再也不能访问网络？访客主机的什么条件是可以接受的、从而授予访问权？你是不是希望根据用户ID来授予访问权？

    评估

    NAC周期从评估开始，到评估结束。授予主机完全访问网络之前进行准入前评估。授予访问权后，准入后评估能够定期重新评估主机，确保它从来没有构成威胁。主机评估可以收集一些信息，比如主机的操作系统、补丁级别、运行或者安装的应用程序、安全状况、系统配置、用户登录以及更多信息，然后传送给PDP。收集哪些信息取决于你定义的策略和NAC产品具有的功能。
　　
    NAC评估方法：主机评估是确定主机状态和它应该得到哪种访问权的一个根本方面。以下是如今使用的一些常见评估方法。许多NAC厂商至少支持其中的两种方法。

    问题在于，Windows、Mac OS X和Linux中的安全模型往往需要代理（持久性代理或者一次性代理）拥有本地管理员权限才可以运行。对不允许笔记本电脑和桌面电脑以本地管理员权限来运行（明智做法）的公司而言，这就成了问题。在有些情况下，代理在第一次安装时才可能需要管理员权限；这让IT人员得以避开这个局限性。

    但如果你无法把代理安装到系统上，那该如何是好？这种情况下，就可以通过远程扫描方法来进行无代理评估，比如运行漏洞扫描；或者使用远程过程调用（RPC）或Windows管理工具（WMI）来查询主机。另外，使用入侵检测和网络异常检测技术的被动扫描会根据实际流量来寻找恶意主机。甚至可以这样定义评估：迫使用户签署“可接受使用政策”，之后才授予网络访问权。

    主机获得访问权后进行连接后评估。如果忽视了这一步，后果自负，这是由于主机的条件在处于连接时也会变化。蠕虫可能被激活，或者恶意用户可能开始攻击。连接后评估可以在指定的一段时间后自动启动；需要时由管理员来启动；或者根据主机出现的变化来启动，比如桌面防火墙或者反病毒软件被禁用。新的评估与当前策略进行比较，然后采取规定的动作。连接后评估方面值得关注的是，有些产品使用被动网络监控，或者在NAC系统里面；或者与现有的入侵检测或者网络异常检测系统进行集成，报告可疑活动。这些外部监控系统可以报告网络流量，还能检测出基于主机的评估没有发现的问题。

上一页  [1] [2] [3] [4] 下一页