博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2264|回复: 3

思科NAC/华为EAD功能比较之我见

[复制链接]
发表于 2009-2-11 03:23:51 | 显示全部楼层 |阅读模式
思科NAC/华为EAD功能比较之我见


前些天做了思科NAC的项目,并且昨天去H3C做EAD技术交流,有些感受,共享给各位,希望大家共同讨论得到更为客观、准确的概念。

我想不管NAC和EAD从大功能上来说可以分为认证、健康检查、修补策略、管理界面四个大部分,我将按照这四个部分一一进行比较。

认证方面:
(1)EAD:支持portal和802.1x两种认证方式,主推802.1x方式,在接入交换机均支持802.1x交换机的情况下,使用802.1x认证方式;认证流程为接入交换机和用户端用802.1X认证方式,交换机和IMC(相当于思科CAM)之间用radius+,分支交换机如果都是H3C交换机可以直接下发端口ACL,控制力度更细腻,如果分交换机为华为或者思科的交换机可以实现用RADIUS端口VLAN划分方式。portal方式需要配置portal Server,有支持portal server的交换机,例如7500交换机,当全网采用portal方式认证的时候,需要全网的上行流量流经portal server(很像目前的NAC APPLIANCE方式的NAS)
(2)NAC:目前主推APPLIANCE OOB作为园区网主推方式,这种方式与华为的portal方式非常近似,通过NAS的VLAN MAPPING迫使所有流量均经过NAS(类似portal server),并且执行NAM制定的流量和访问策略。在策略下方方面,NAM采用snmp方式划分端口VLAN实现策略划分,支持思科全线交换机(要能够执行思科SNMP命令)。在遇到VPN、无线、HUB等方式接入时,则需要串接NAS的方式。
(3)双方的主体结构很类似,最为理想的情况,H3C为分支交换机均支持802.1x,思科为全线思科产品,当遇到不是最理想的情况,双方均需要串接各自的portal server产品,H3C为portal server,思科则为NAS来解决问题。从控制力度和设备兼容性来说,H3C略占优势。
(4)外置认证源方面双方势均力敌,均支持AD SSO、LDAP、VPN SSO、Radius方式。

健康检查方面
(1) 在安装客户端的情况下,双方大同小异,均支持微软补丁检查、国内主流的防病毒软件安装、运行和代码检查;支持运行进程检查;启动服务检查等功能;
(2) 在不安装客户端的情况下,思科支持nessue漏洞扫描判定客户端状态,而H3C不支持此功能;
(3) 在支持和第三方软件联动方面思科的优势比较明显,当今能够见到的防毒软件的安装、运行和病毒代码都有预设规则(但有些是不正确的,如MCAFEE),而华为相对比较少,但国内常见的基本覆盖,木马检测软件的策略,思科有两种,H3C没有见到。

修补方面:
(1)与微软补丁方面的功能,双方势均力敌,均可以很好的和SMS/WSUS实现自动更新;
(2)防病毒代码方面,思科明显强于H3C,思科可以和当今几乎全部防病毒软件实现自动更新和修补(在互联网或者自建网络防毒服务器),而H3C,只能和金山、瑞星、江民实现自动更新(强联动),其余均要利用手工操作,通过防病毒软件实现更新(弱联动);
(3)思科的修补策略里面还可以利用连接分发、软件分发等方式实现修补的补充,H3C也支持。

管理界面:
(1)NAC管理界面英文,并且相对专业,规则制定是check->rule->requirement嵌套完成,可以共享的check很多,设置起来稍显复杂。
(2)EAD管理界面中文,操作简便,规则制定一般是直接定义策略,可共享的资源不多,但设置简单。
(3)EAD的管理特色在于,有一定的安全管理功能,例如可以和互联网审计软件联动实现互联网行为记录,可以利用EAD客户端软件记录U盘拔插和copy记录等功能,类似的功能,思科在CSA里面实现,但是需要另行付费。


总体感觉,思科NAC的国际优势非常明显,和第三方的资源整合相对具有优势,功能划分明确,显得更加专业。
H3C EAD本土优势较为明显,设计的有些功能短小精悍,功能实用,而且中文的界面加上友好的设置也是他们在国内的优势。
 楼主| 发表于 2009-2-11 03:24:03 | 显示全部楼层
1)认证方式:Cisco NAC 支持本地认证、AD、Kerberos、LDAP、RADIUS、Active Directory、S/Ident等集成 ;支持VPN、无线客户端和AD域的SSO
        请问EAD能否支持多种认证方式及实现SSO?另外,EAD在测试中是否真正能实现SSO,有很多情况他们标出假参数。
2)设备安全状态评估: 拥有众多NAC战略合作伙伴,预定义将近3万条的规则集,检测多种应用,可定期从Cisco站点更新,同时提供强大的自定义功能
    请问EAD除了自定义检查规则,能提供多少预定义规则?能及时从他们的站点上获得最新的对各种应用的检查规则吗?
3) 从另外一个角度,针对guest的检测针对非交互式设备(IP电话,打印机等等)的检测是其他场上所不具备的。

NAC的概念已经成熟,市场也在不断预热,competitor追随着cisco的脚步逐步在跟进。。但目前他们只能在NAC的User Identify and posture assessment 与cisco展开小规模竞争。在更高的层次上他们还没有达到。。
 楼主| 发表于 2009-2-11 03:24:15 | 显示全部楼层
1:Cisco NAC 支持本地认证、AD、Kerberos、LDAP、RADIUS、Active Directory、S/Ident等集成 ;支持VPN、无线客户端和AD域的SSO请问EAD能否支持多种认证方式及实现SSO?另外,EAD在测试中是否真正能实现SSO,有很多情况他们标出假参数。
回应:这个没有针对EAD实际做过项目,但是和AD的SSO似乎没有问题,听说用友就是AD SSO,其余的是否为假参数,还真是不知道;

2)设备安全状态评估:这个的确是思科的强项,NAC的思路和EAD不太一样,EAD是把状态检查交给WSUS来做,递交给EAD的是一个结果,并非像思科一样都是本地的策略,所以他们的规则集很少,另外思科的规则集已经达到42000多个了。

3)H3C的确不能实现您说的功能,可是思科的这个功能也是需要付费来购买的。
 楼主| 发表于 2009-2-11 03:24:40 | 显示全部楼层
其实还有symantec的SNAC(sygate)和MYcafee的端点控制

我用过symantec的SNAC方案,由于是杀毒软件的延伸,在端点控制上可定制程度很高,和AD权限结合后能有效控制客户端的行为——这个和Cisco的NAC已经有点不同,更着重于控制客户端行为,而不仅仅是符合安全要求。

SNAC的缺点也很明显,过于深入windows的内核,驱动级的保护常常导致和现有软件的冲突,兼容性不好
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 05:50 , Processed in 0.110011 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表