說到nac網路訪問控制,浮現在我們腦海中的應該就是軟體+硬體的構成方式,即用軟體作為核心的策略決策點,硬體作為策略執行點,這也是標準的nac構成方式,縱觀業界的主流產品,無論cisco的c-nac、juniper的uac,還是國內的銳捷gsn、h3c的ead等等,均是如此架構。
提到這種架構,讓人最為頭大的莫過於部署,這裡的部署,不是指整套解決方案的部署,而是對於核心軟體系統的部署,其難點來自於幾個方面:
1,tco即總體擁有成本。凡nac類產品,其技術含量較高,**當然也不菲,但對於乙個使用者來說,該軟體的**還不只是擁有它的tco,既然是軟體架構,那麼一定需要一台伺服器嘍,動輒幾萬塊的預算,不是小數目。有了伺服器還不行,還要作業系統和資料庫,目前很多nac軟體都是基於windows server和sql server的,這兩個東西也不便宜,微軟零售價最便宜的windows server版本要6000塊左右,而sql server更是達到了可怕的15萬之巨。這樣算來,一套nac軟體的tco就已達到了二三十萬了,遠不是僅僅該軟體本身所體現出來的那十幾萬元。
2,部署實施複雜度。裝這個軟體跟裝一般的軟體區別不大,面對乙個空伺服器,你少不了安裝作業系統、資料庫和除錯的時間,不要小看這些時間,基本上2個小時是少不了的,前提還是不要出什麼問題,例如驅動問題之類的。然後才是裝nac管理軟體,這樣算來,基本上一天時間還是要的。
3,維護複雜。對於nac軟體系統的維護,由於其構建在伺服器、作業系統和資料庫之上,因此也變得繁複了很多,大部分問題都不是軟體本身的,而是由作業系統或者資料庫配置不當,或者漏洞之類導致的,所以維護變成了乙個龐大的工程。
4,安全堪憂。說起來nac本身是做安全的,但nac軟體本身的安全又怎麼負責呢,乙個開放的伺服器,如果有多名管理員的話,那風險就太大了,隨便誰對伺服器做了什麼不當的配置,都會導致nac伺服器的宕機,其後果就是全部無法上網,影響巨大啊。
上述四條,其實也是很多使用者畏懼nac,不敢上nac的原因,也是nac在中國叫好不叫座的乙個重要因素。
其實,想要解決上述問題,沒有想象那麼難,思路很簡單——硬體化,而硬體化的過程也很簡單:
1,將nac軟體切換到開源資料庫和作業系統
2,將全套軟體連同作業系統和資料庫灌入工控機/伺服器中,打包交付給客戶
經過以上兩步,nac軟體瞬間完成了硬體化,上述四個問題得到了有效的解決,部署速度大幅提公升,難度大幅下降,tco大幅降低。
當然,硬體化的產品也有其侷限性,那就是效能侷限,所以乙個硬體平台,只能適用於一定數量的使用者範圍,當然,基於802.1x協議的認證體系,其本身對於伺服器的壓力還是很小的,所以現在主流的平台,帶機數都能達到上千的水準。
安全也要「易」,談NAC的硬體化
說到nac網路訪問控制,浮現在我們腦海中的應該就是軟體 硬體的構成方式,即用軟體作為核心的策略決策點,硬體作為策略執行點,這也是標準的nac構成方式,縱觀業界的主流產品,無論cisco的c nac juniper的uac,還是國內的銳捷gsn h3c的ead等等,均是如此架構。提到這種架構,讓人最為...
也談nginx的安全限制
一 nginx安全限制 前面已經詳細介紹了nginx負載均衡的配置以及nginx本身自帶的的一些安全措施,詳情請參考 生產環境下的負載均衡配置 隨著業務的增加,網路連線的流量越來越大,合理的控制訪問請求及連線數非常重要,否則仍會出現失去響應的情況。二 增加waf模組 ngx lua waf是乙個基於...
也談被嚴重高估的安全技術
今天,在看過51cto 哪些安全技術被嚴重高估?一文後,深有同感,也想在此再說上幾句,發表一點自己的一些看法。安全技術被嚴重高估,為什麼到現在才開始被人們所提及到。是因為很長一段時間以來,人們只聽到安全廠商們的喊聲,聽到的,看到的都是誇某某安全技術或產品如何如何好,以至於很長一段時間被這些呼聲蒙蔽了...