日历

2008 8.21 Thu
     12
3456789
10111213141516
17181920212223
24252627282930
31      
«» 2008 - 8 «»

日志分类

存 档

文章搜索

日志文章

2008年05月11日 18:45:16

NAC vs. NAP vs. TNC vs. EAD vs. ?


                                                                                                                                                                                                                                         
NACNAPTNCEADNAC - NAP
背景NAC由于是CISCO发布的,所以其构架中接入设备的位置占了很大的比例,或者说NAC自身就是围绕着思科的设备而设计的.
Cisco的NAC方案,着重在网络架构及政策规划与管理能力。当然,前提是企业内大多采用Cisco设备,并且想藉由Cisco设备与其安全方案,来保护客户端。		NAP则偏重在终端agent以及接入服务(VPN、DHCP、802.1x、IPsec组件),这与微软自身的技术背景也有很大的关联.Microsoft的NAP方案,则着重在系统状态的监控与矫正。前提是您的服务器或桌上型计算机采用的是微软操作系统,而且希望这些主机都能安全地运作。
而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证,或者说TNC的目的是给TCG发布的TPM提供一种应用支持。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的,目标是解决可信接入问题,其特点是只制定详细规范,技术细节公开,各个厂家都可以自行设计开发兼容TNC的产品,并可以兼容安全芯片TPM技术。Trusted ComputingGroup的TNC方案,则提供一个弹性的安全架构。藉由安装在客户端主机的硬件设施来确认是否发生问题,并根据硬件来监控或执行客户端安全的政策。
华为的EAD和cisco的思路相当。华三EAD是采用客户端的形式,即PC启动后,由用户打开该客户端应用,从其中选择连接方式,然后建立连接。
这个连接过程中包括验证和对PC安全性的检查、刷新IP地址、实施访问控制。基本步骤类似CCA OOB方式。具体状态均有中文提示,安全检测目前了解到的是包括系统补丁以及病毒软件、病毒定义的检查。
EAD系统目前还无法进行SSO。
目前EAD可以支持Router/FW的VPN客户检查,另外在年中可以支持无线客户检查。
EAD系统可以实时监测用户机器的状态,如打开程序等等,对出现隐患的机器实时强制下线。

对于交换机接HUB的情况,应该是采用在交换机端口动态添加访问控制列表的方式,对逐个MAC进行访问控制,有点类似华三的802.1x客户端的工作情况。
因此不是所有的交换/路由设备都可以支持EAD。

目前华三公司内部使用EAD系统进行终端控制,据反映,连接过程时间较长,约30-60秒。
EAD客户端占用内存情况为空闲时12兆,CCA客户端约为4兆。
*互操作性和客户选择客户现在拥有多种架构和产品选择。他们将能选择在实施一种互操作解决方案时,最适合其需求的组件、基础设施和技术。


*投资保护此互操作架构能帮助客户保护其CiscoNAC和/或Microsoft NAP部署的投资。例如,客户现在能继续部署CiscoNAC,随后通过部署Windows Vista和Windows Server “Longhorn”,将Microsoft NAP与CiscoNAC集成在一起。


*WindowsVista中包括的单一代理运行Windows Vista或Windows Server“Longhorn”的计算机将包括Microsoft NAP代理组件,将其作为核心操作系统的一部分,同时用于Cisco NAC和Microsoft NAP。


*独立软件提供商集成生态系统为简化第三方状态代理和运行WindowsVista的客户端状态实施组件的开发,NAP客户端API(应用编程接口)将作为唯一可编程接口,用于为Cisco NAC和Microsoft NAP提供状态报告。


*跨平台支持为支持除Windows外的客户端操作系统,微软将为第三方软件开发商提供NAP客户端技术组件的许可。思科则将继续支持和开发NAC客户端(思科信任代理),用于非WindowsVista和非Windows Server“Longhorn”平台的操作系统,并将继续按照其公开承诺,提交Cisco NAC协议,并通过开放标准流程实现标准化。


*代理部署和升级支持从客户体验和流程上讲,部署基于互操作性的WindowsVista和WindowsSever“Longhorn”系统所需要的代理组件,将和部署普通Windows操作系统服务以及Windows升级和WindowsServer升级服务客户端组件的分布机制类似。


架构层次都分为客户端、策略服务以及接入控制三个主要层次。NAC分为:Hosts Attempting Network Access、Network Access Device、Police Decision Points三层;
NAP分为:NAP客户端、NAP服务器端、NAP接入组件(DHCP、VPN、IPsec、802.1x);TNC分为AR、PEP、PDP三层
http://www.cisco.com/go/nachttp://www.microsoft.com/nap

Tags: NAC   NAP  

类别: 系统管理 |  评论(0) |  浏览(259) |  收藏
发表评论