构建牢固的NAC安全策略

admin

作为一名网管员，构建主机安全策略并不是一件轻松的事情。可以说，有大量的工作要做。不过，任何NAC(网络准入控制)部署的成功都依赖于一个坚实的主机安全策略(HSP)的质量和存在方式。这个主机安全策略对你的NAC来说应该是特定的，因此如果你已经有一套普通的主机安全策略，你就应该对它进行调整使其适应NAC。你的主机安全策略会作为一个指南，帮助你配置NAC策略，指导你处理NAC持续的动态维护。

　　为了让你公司独特的主机安全策略有一个良好的开端，我们这儿给出部署NAC安全策略的几条建议以使你：

　　1、不要将所有的UTM防火墙安置在一个机柜系统中

　　虽然你可以购买几乎无限功能的UTM防火墙，但那并不意味着你应该将所有的防火墙合并到一个单一的系统中。从逻辑上对防火墙功能进行分配是很重要的，因为构建一个全企业单一的、协调的策略是很难的。虽然防火墙供应商们在集中管理方面的步伐已经迈得很大了，没有什么产品能够轻易地在一个单一的策略中以不同的防火墙规则、网络地址转换规则和VPN通道等处理多个控制区域。向入侵检测/防御系统(IDS/IPS)或其它UTM特性和策略中添加规则将会更不易管理。UTM设备能够支持合并，不过你即使花费很长的时间也不能使其真正地融合。一定要确保你不会将设备过分地合并到一个不可管理的设备中。

　　2、仔细地检查性能

　　性能是UTM设备中最容易得到的对象。随着你在UTM防火墙中打开一个一个的特性，性能会严重地下降，或者并不会下降(虽然这种情况很少)。安全产品厂商并不会隐藏这些性能所带来的成本，不过你不会轻易地理解不同的UTM特性对系统性能的影响。一定要确信你确定地知道你的UTM配置的情况，并对它进行测试以确保性能与你的需要相匹配。一般来说，你每选中一个特性，速度就会下降75%到90%。要确保留有足够的余地。例如，IPS规则随着时间的推移会变得更加复杂，因此你的IPS会变得越来越慢。

　　3、公正地对待管理

　　企业越来越多地要求捕获海量的防火墙日志，并成年累月地保持。必须要保证你能为一个拥有大量的磁盘空间、内存和CPU处理能力的专业管理服务器进行计划。虽然一些企业厂商仍然允许通过一个Web图形用户界面来对付管理问题，或者通过与防火墙一起运行的管理服务器来应对。

　　4、验证高有效性和可量测性

　　随着防火墙承担更多的功能确保高有效性和可量测性也更加重要了。因为性能更有可能成为UTM中的瓶颈，双激活(Active-Active,A/A)模式配置比起激活-等待(Active-Passive,A/P)也更具吸引力，不过这种配置也更难于构建和测试。模拟所有不同的失效情况，并确信你在群集的所有不同的状态中测试这些失效，这可能要花费你几天时间而不是几分钟。还要注意UTM设备中，并非每一个特性都以相同方式运行。例如，基本的防火墙和VPN功能通常是在一个群集中共享的，而动态路由则不然。如果VPN通道在一个独立设备发生故障时并没有停止运行，而群集却不知道如何为这个数据包选择路由，那么我们就不能说这是“高效性”。

　　5、怎样对付复杂的配置难于验证问题

　　在我们的测试中，我们经常发现防火墙并没有执行我们认为已经要求的操作，特别是在UTM的附件方面，如反病毒和IPS等。你应该准备为系统管理和配置进行第二次培训，因为你所了解的企业防火墙知识对配置一个恰当的UTM防火墙可能是不够的。即使你认为你知道自己在执行的操作，运行一些简单的测试用以验证你所要求的保护实际上已经激活是很有价值的。不同产品的术语和协议范围有着极大的不同，而UTM特性的一个简单的复选框可能需要一个小时的测试来理解。