Cisco（思科）日前发布了网路存取控制（Network Access Control，NAC）的未来计画，第一步将在该公司的整合服务路由器（Integrated Services Router，ISR）上加入NAC功能的模组。此外，也将推出名为NAC Profiler的产品，用来管控无法安装NAC终端软体的连网设备，例如IP电话、印表机等。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    推出NAC的ISR模组，吸引小规模企业采用Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    思科算是市场上最早推出NAC机制的厂商之一，但因为当初思科提出的NAC方案，需要全面采用思科的网路设备，且在终端电脑上也必须安装能够提供控管功能的软体。不过随后思科推出了名为Clean Access的NAC方案，该方案透过Appliance机制，将所有的流量导入思科Clean Access伺服器，以之分辨与判断企业内使用者终端电脑的健康状况、是否已符合公司政策、是否进行安全更新等。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    台湾思科业务开发经理张志渊表示，此次思科在ISR路由器上推出的NAC模组，其运作方式就像是Clean Access方案，是在流量通过路由器时，就进行NAC政策的确认，控管企业内使用者的终端电脑存取。且与Clean Access相同，当终端电脑的健康状况不符合企业原本制订的存取政策时，如未更新防毒软体、电脑有异常封包流量等，就会将使用者导入隔离区。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    该模组与原本思科的Clean Access NAC方案的不同之处，在于支援人数的多寡。张志渊说：「此一模组提供50个与100个终端装置控管的方案，和过去思科支援100～3,500个终端装置以上的NAC方案不同，希望能够切入较小规模的企业市场。」据了解，目前此模组能够在思科2800与3800两个系列的ISR路由器上使用，50个终端装置的费用是3,500美元；100个终端装置的费用则是5,000美元。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    除了吸引较小规模的企业采用思科的NAC方案，该模组还能解决过去思科NAC方案中，较难解决的问题。张志渊表示，就他实际协助台湾金融业导入NAC机制的经验来看，当据点很多的企业使用MPLS VPN服务时，其分支机构与总部之间的网路流量，虽然能够透过总部的NAC机制确认终端电脑是否符合NAC政策，但是分支机构和分支机构之间的资料传输，由于透过MPLS VPN的转送，路由路径有时往往会绕过总部，这也使得这些资料传输就无法受到NAC机制的监控，成为可能的终端控管漏洞。「在这样的状况下，不大可能要企业在分支机构又建置1台NAC伺服器，而现在有较低价位且支援较少人数的ISR NAC模组，就能够解决这样的问题。」张志渊说。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    思科此次公布的计画中，还有一项重点，就是思科将在2～3个月内推出的NAC Profiler，以此产品延伸其NAC方案的控管触角。根据思科日前在Security Standard会议上发布的资料来看，NAC Profiler将有能力控管原本无法透过安装终端软体，或是原本NAC伺服器无法透过流量监测控管的装置，例如IP电话或印表机等。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    NAC Profiler将有能力控管IP电话等终端装置Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    张志渊表示，NAC Profiler的运作原理，是透过网路锁定每个装置的MAC位址，让企业有能力在思科NAC方案中的政策伺服器上，设定控管这些装置的政策，诸如检查异常流量行为等。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    NAC Profiler目前尚未上市，正式推出的时间预计将在2～3个月内，推出之初将以另外一个伺服器搭配软体的方式推出，不过张志渊指出，未来思科将把此产品与原有NAC方案中的政策伺服器整合，让企业能够以单一伺服器就拥有制订政策且控管终端电脑与其它终端装置的能力。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    未来将走向共通标准Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    虽然思科此次公布的NAC计画大幅的扩张了该公司NAC方案所能控管的触角，不过在与其他厂牌的网路设备互通上，仍有无法沟通的问题。NAC机制往往需要不同的网路设备间沟通才能达成，例如由政策伺服器发现了某台终端电脑不合政策，要透过伺服器与交换器的沟通，才能将其流量导至安全的隔离区，避免病毒扩散。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    而思科此次在ISR路由器上推出的NAC模组，目前则无法与他厂牌的交换器互通，这也使得较小规模的企业，或是企业在分支机构要采用此一产品时，势必必须采用思科的交换器才能建置完整的NAC方案。对此，张志渊表示，目前与其他厂牌的网路设备互通，还必须经过实测才能确定可不可行，所以现阶段还是建议使用者采用思科的产品。Dg3WWW.EMU32.COM软件站> 资讯中心
Dg3WWW.EMU32.COM软件站> 资讯中心
    但思科在NAC方案上已经开始逐步向信任网路连线（Trusted Network Connect，TNC）的开放标准靠拢，由于NAC机制需要网路设备间的互相沟通，可以预见的，未来各家厂商走向开放标准将会是难以避免的趋势，思科当然也不例外。据了解，目前ISR的NAC模组也正在扩大与其他厂牌网路设备互通的能力，未来该产品预计将能与符合TNC标准的其他网路设备互通。