思科NAC/华为EAD功能比较之我见

network

思科NAC/华为EAD功能比较之我见


前些天做了思科NAC的项目，并且昨天去H3C做EAD技术交流，有些感受，共享给各位，希望大家共同讨论得到更为客观、准确的概念。

我想不管NAC和EAD从大功能上来说可以分为认证、健康检查、修补策略、管理界面四个大部分，我将按照这四个部分一一进行比较。

认证方面：
(1)EAD：支持portal和802.1x两种认证方式，主推802.1x方式，在接入交换机均支持802.1x交换机的情况下，使用802.1x认证方式；认证流程为接入交换机和用户端用802.1X认证方式，交换机和IMC（相当于思科CAM）之间用radius+，分支交换机如果都是H3C交换机可以直接下发端口ACL，控制力度更细腻，如果分交换机为华为或者思科的交换机可以实现用RADIUS端口VLAN划分方式。portal方式需要配置portal Server，有支持portal server的交换机，例如7500交换机，当全网采用portal方式认证的时候，需要全网的上行流量流经portal server（很像目前的NAC APPLIANCE方式的NAS）
(2)NAC:目前主推APPLIANCE OOB作为园区网主推方式，这种方式与华为的portal方式非常近似，通过NAS的VLAN MAPPING迫使所有流量均经过NAS（类似portal server），并且执行NAM制定的流量和访问策略。在策略下方方面，NAM采用snmp方式划分端口VLAN实现策略划分，支持思科全线交换机（要能够执行思科SNMP命令）。在遇到VPN、无线、HUB等方式接入时，则需要串接NAS的方式。
(3)双方的主体结构很类似，最为理想的情况，H3C为分支交换机均支持802.1x，思科为全线思科产品，当遇到不是最理想的情况，双方均需要串接各自的portal server产品，H3C为portal server，思科则为NAS来解决问题。从控制力度和设备兼容性来说，H3C略占优势。
(4)外置认证源方面双方势均力敌，均支持AD SSO、LDAP、VPN SSO、Radius方式。

健康检查方面
(1) 在安装客户端的情况下，双方大同小异，均支持微软补丁检查、国内主流的防病毒软件安装、运行和代码检查；支持运行进程检查；启动服务检查等功能；
(2) 在不安装客户端的情况下，思科支持nessue漏洞扫描判定客户端状态，而H3C不支持此功能；
(3) 在支持和第三方软件联动方面思科的优势比较明显，当今能够见到的防毒软件的安装、运行和病毒代码都有预设规则（但有些是不正确的，如MCAFEE），而华为相对比较少，但国内常见的基本覆盖，木马检测软件的策略，思科有两种，H3C没有见到。

修补方面：
(1)与微软补丁方面的功能，双方势均力敌，均可以很好的和SMS/WSUS实现自动更新；
(2)防病毒代码方面，思科明显强于H3C，思科可以和当今几乎全部防病毒软件实现自动更新和修补（在互联网或者自建网络防毒服务器），而H3C，只能和金山、瑞星、江民实现自动更新（强联动），其余均要利用手工操作，通过防病毒软件实现更新（弱联动）；
(3)思科的修补策略里面还可以利用连接分发、软件分发等方式实现修补的补充，H3C也支持。

管理界面：
(1)NAC管理界面英文，并且相对专业，规则制定是check->rule->requirement嵌套完成，可以共享的check很多，设置起来稍显复杂。
(2)EAD管理界面中文，操作简便，规则制定一般是直接定义策略，可共享的资源不多，但设置简单。
(3)EAD的管理特色在于，有一定的安全管理功能，例如可以和互联网审计软件联动实现互联网行为记录，可以利用EAD客户端软件记录U盘拔插和copy记录等功能，类似的功能，思科在CSA里面实现，但是需要另行付费。


总体感觉，思科NAC的国际优势非常明显，和第三方的资源整合相对具有优势，功能划分明确，显得更加专业。
H3C EAD本土优势较为明显，设计的有些功能短小精悍，功能实用，而且中文的界面加上友好的设置也是他们在国内的优势。

network

1）认证方式：Cisco NAC 支持本地认证、AD、Kerberos、LDAP、RADIUS、Active Directory、S/Ident等集成 ；支持VPN、无线客户端和AD域的SSO
        请问EAD能否支持多种认证方式及实现SSO？另外，EAD在测试中是否真正能实现SSO,有很多情况他们标出假参数。
2）设备安全状态评估： 拥有众多NAC战略合作伙伴，预定义将近3万条的规则集，检测多种应用，可定期从Cisco站点更新，同时提供强大的自定义功能
    请问EAD除了自定义检查规则，能提供多少预定义规则？能及时从他们的站点上获得最新的对各种应用的检查规则吗？
3) 从另外一个角度，针对guest的检测针对非交互式设备（IP电话，打印机等等）的检测是其他场上所不具备的。

NAC的概念已经成熟，市场也在不断预热，competitor追随着cisco的脚步逐步在跟进。。但目前他们只能在NAC的User Identify and posture assessment 与cisco展开小规模竞争。在更高的层次上他们还没有达到。。

network

1：Cisco NAC 支持本地认证、AD、Kerberos、LDAP、RADIUS、Active Directory、S/Ident等集成 ；支持VPN、无线客户端和AD域的SSO请问EAD能否支持多种认证方式及实现SSO？另外，EAD在测试中是否真正能实现SSO,有很多情况他们标出假参数。
回应：这个没有针对EAD实际做过项目，但是和AD的SSO似乎没有问题，听说用友就是AD SSO，其余的是否为假参数，还真是不知道；

2）设备安全状态评估：这个的确是思科的强项，NAC的思路和EAD不太一样，EAD是把状态检查交给WSUS来做，递交给EAD的是一个结果，并非像思科一样都是本地的策略，所以他们的规则集很少，另外思科的规则集已经达到42000多个了。

3)H3C的确不能实现您说的功能，可是思科的这个功能也是需要付费来购买的。

network

其实还有symantec的SNAC（sygate）和MYcafee的端点控制

我用过symantec的SNAC方案，由于是杀毒软件的延伸，在端点控制上可定制程度很高，和AD权限结合后能有效控制客户端的行为——这个和Cisco的NAC已经有点不同，更着重于控制客户端行为，而不仅仅是符合安全要求。

SNAC的缺点也很明显，过于深入windows的内核，驱动级的保护常常导致和现有软件的冲突，兼容性不好