NAC准入是什么东东？

NAC是思科发起的准入控制技术，该技术与微软的NAP技术被广泛的应用。随着技术的不断发展和管理要求的不断提高，金盾公司在全面研究了思科NAC和微软NAP的技术的基础上开发出了金盾网络准入控制保护（NACP）技术，该技术吸取前两种技术的精髓，以身份识别，杜绝非法入侵和接入保护为主要设计理念，具有“不改变网络、不依赖网络设备、部署简单”的特性，是目前最先进、最实用的网络准入技术！

http://hibaiducom/%B1%A6%B1%B4%C0%CF%C6%C5%CE%D2%B0%AE%C4%E3/blog/item/c264df09c0264384d0581b5fhtml

深信服sinfor M5X00产品对您产生作用的主要2个功能：

一、上网行为控制，规范上网行为（这个功能使得你好多网站不能上，不能炒股，好多网络游戏不能玩。**不能看。有的甚至QQ不能上）

二、上网行为监控与记录。（能够看到你的聊天记录，访问网站记录，甚至你登陆网站的账号密码都能记录） 发送的邮件。在网上发的帖子等等都可以监控

sinfor强大的功能中，也就这两个功能让大家有点讨厌。。

目前sinfor 分 17版本和18版本。。 两个版本里面最为讨厌的是 sinfor ingress 插件。他就像个木马客户端程序。能够监控我们大家加密的QQ聊天内容。关闭我们的部分应用程序。监控我们的电脑系统。

本人离开 sinfor时，18版本还没有推出，所以，咱们这里暂时不讲18版的破解问题。。其实原理几乎一样，大同小异而已。 sinfor 监控每个过往数据包，，针对数据包进行封锁。。如果大家想炒股，想上禁止的网站，，就必须突破一个问题，就是，不能让sinfor分析出我们的数据包。还有就是不能让sinfor ingress 再起作用。。而sinfor ingress 又不能删除。否则 sinfor 网关会禁止我们上网。

sinfor再怎么厉害，也不能禁止我们的一些正常应用对不对。。QQ加密的既然都让 sinfor ingress 抓取。

如果有另一种加密方法。能让sinfor侦测不出数据包了不就可以过sinfor了吗。这里我们就不直接讲明了。。否则，被广大 控制 sinfor 的网管发现。此方法就不凑效了。。这种加密方法能让sinfor网关 侦测不出我们数据包的内容，然后就放行。。于是，想炒股的炒股，想聊QQ的聊QQ，邮件照发。网站照上。

这种方法是软方法。。

还有种就是硬方法。。单位买sinfor的目的是方便。。安全，如果买来之后，既不方便，又不安全，相信领导会自己撤了sinfor 的。。。呵呵。。方法不用我说相信大家都明白了。。。

性能测试的准入准则

1、已提供模拟生产环境配置的性能测试环境

2、提交性能测试的功能模块必须已经通过测试

3、提交的《性能测试申请》静态测试已通过（包含：待测功能点、参考指标、测试场景、需求等）

4、已提供测试服务器的管理员权限，便于查看服务器资源

性能测试的准出准则

1、所有业务场景已覆盖完毕，各项指标数据已记录在案

2、测试指标信息满足测试申请表中的要求或评估推测可以满足使用需求

3、已出《性能测试报告》

　　与网关防护设备相比,内网安全产品的部署面临更大挑战。因此,企业需要将内网安全架构中的“终端Agent安装软件”、“准入控制网关”、“终端策略服务器”整合在一台硬件设备上,以实现内网安全产品的轻松部署。

很多企业在部署了防火墙、UTM等网关安全防护设备之后,开始把内网安全产品纳入到规划范围之内。但与网关防护设备相比,内网安全产品的部署将面临更大挑战。因为网关设备的部署只需要对一台设备做好配置就可以了,而内网安全产品需要在大量终端上部署Agent(代理),还需要选择合适的准入控制点,此外,多个功能组件的配置调试也很容易出现问题,这就对企业内部的IT人员提出了更高的要求。

但事实上,对于很多企业来说,它们都非常迫切地需要将网关和终端安全整合,并将内网安全架构中的“终端Agent安装软件”、“准入控制网关”、“终端策略服务器”整合在一台硬件设备上,以实现内网安全产品的轻松部署。

困难重重

两年前,笔者所在的企业就试用了某安全厂商的内网安全产品。然而,在具体部署和实施的过程中,我们遇到了很多困难和问题。

首先就是准入控制点的选择问题。一开始,我们计划选择8021x准入控制方式,但在调试配置的过程中,发现与公司采购的以太网交换机出现了兼容性问题; 之后,我们又尝试了ARP准入控制方式,结果又被防病毒软件当成是ARP攻击予以阻止。

其次就是终端Agent的安装问题。IT管理员手工给每台终端安装Agent软件大约需要20到30分钟的时间,这样,为全公司所有终端部署内网安全产品的工作量就会非常大。

正是由于这些原因,这两年我们的内网安全建设一直还停留在实验阶段,并没能完成大规模的部署。但在此期间,企业遇到的很多安全风险和问题,大都与内网安全相关。2006年年底,企业内网计算机感染了“熊猫烧香”病毒,由于内网PC的补丁更新及杀毒软件升级跟不上,导致病毒泛滥; 2007年到2008年,在几个“**迷”的推动下,企业内部兴起了P2P下载热,很快网络带宽就不堪重负,这对正常办公业务造成了很大影响,虽然企业多次下发了管理规定,但一直屡禁不绝。这些事件的发生,让企业领导更为关注内网安全的建设。

部署难题化解

今年5月,我们了解到启明星辰发布的UTM2统一安全套件,在UTM产品天清汉马USG一体化安全网关上,又集成了内网安全产品天的安装包和策略服务器,并且其是通过USG的Web管理界面统一进行控制的。这就实现了网关和终端的统一部署、统一配置和统一监控。

于是,我们决定在公司的网络上试用一下。在部署过程中,我们同样遇到了准入控制点如何选择的问题。在公司内部,员工主要访问的网络资源有两个:其一是互联网,其二是内部的OA服务器。所有的员工都可以访问OA服务器,但只有部分员工允许上互联网。

开始的想法是把USG配置成桥模式,部署在OA服务器之前,但这个方案的问题是员工上互联网不经过USG,因此也就无法对员工的上网行为进行管控。第二种方案是把USG部署在互联网出口,这个方案也有问题,不访问互联网的员工就不能通过准入控制强制安装客户端软件。

最后,我们使用了三接口桥的配置方式,很好地解决了准入控制点的问题。我们将USG的三个GE接口配置在一个桥组中,分别连接核心交换机、互联网出口和OA服务器,这就实现了在不改变原来路由拓扑的条件下,同时在互联网出口和OA服务器前执行准入控制。

接下来,按照厂商提供的《安装指南》,我们在防火墙策略中配置了内网安全检查功能。配置这条策略后,没有安装客户端软件的PC,就会自动弹出Portal提示页面,指导终端用户自助式安装客户端软件。通过Web Portal提示页面,一天内整个公司300多台PC就全部完成了客户端的安装。整个部署过程的难度比我们预想的要低很多。

网关终端双重安全

在完成了客户端的安装之后,我们通过USG的Web配置界面,配置了各种终端安全策略,并试用了补丁管理功能、终端桌面管理、上网行为管理及外设控制等功能。

其中,应用补丁管理功能,就可以从USG的Web界面上勾选终端必须升级的补丁列表并统一下发,客户端即可自动完成终端的补丁升级。

在终端桌面管理方面,我们启用了终端红黑名单,指定了“NoD32防病毒软件”和“超级巡警安全软件”。终端PC如果没有安装这两个软件,客户端软件会弹出提示界面,并限制其网络访问。此外,我们将一些常用的游戏软件、炒股软件列在了终端黑名单中,如果有用户运行这些软件,会弹出提示界面并关闭这些黑名单中的软件。

通过上网行为管理功能,我们限制了终端使用P2P下载,基于进程来限制网络访问的方式可以限制迅雷等占用网络带宽。使用外设控制功能,我们禁用了一些可以非法外联的接口,比如双网卡、无线网卡、Modem等。总体来说,整个配置过程还是比较简单直观的。

其实,在部署试用UTM2产品的过程中,笔者最大的感触就是其简单易用的特点。部署、配置过程都不需要太多的调试准备,在图形化的界面上通过勾选就可以完成大部分配置,很多时候甚至都不需要看厂商提供的文档。此外,其提供的特性大部分都很贴近用户的实际需要,每一项功能都比较朴实,多个功能之间还可以通过配合来完成一些比较高级的功能。不过,也有一些遗憾,比如资产管理等功能在这款UTM2产品中并没有提供。