思科ISR新增NAC 造就密不透风远程访问

网络接入控制一直被宣传为最高水平的基于网络的安全措施，但是，网络接入控制的应用一直有些停滞不前，因为许多专家称网络接入控制太复杂或者还不太成熟。

　　然而，思科希望改变这种情况。思科9月10日宣布，它将为其广泛应用的集成服务路由器(ISR)发布一种网络准入控制模块，希望把网络接入控制应用到更多的地方，也就是分支办公室。到目前为止，思科集成服务路由器应用已经超过了300万台。

　　思科集成服务路由器网络接入网络模块是一种集成到网络基础设施中的模块式安全解决方案。这种模块在批准远程用户机器通过有线或者无线连接访问企业网络之前能够对远程用户机器进行身份识别、授权、评估和调解。思科安全解决方案经理Fred Kost说，思科集成服务路由器网络接入模块是为分支办公室设计的，能够在通讯发送到广域网之前在本地阻止潜在的威胁和安全漏洞，防止恶意通讯进入企业网络。

　　这个模块包括思科网络接入控制设备服务器的全部功能并且获得了思科2800和3800系列集成服务路由器的支持。这个模块能够在网络设备上强制执行安全政策。这些设备包括Windows、Mac和Linux电脑、笔记本电脑、台式电脑、掌上电脑、打印机和IP电话等。

　　这种网络接入控制模块与防火墙、入侵防御系统和虚拟专用网一起使用以便成功地实现思科集成服务路由器提供的安全功能，为分支机构提供一个安全的基础设施。

　　Kost说，这种模块设计用于分支机构和除了路由基础设施之外没有时间或者资源管理单独的安全解决方案的办公设施。

　　据系统集成商安全实践经理和思科全球技术合作伙伴Ladi Adefala说，分支机构的管理和金融资源都是很有限的，思科集成服务路由器增加网络接入控制模块能够让分支机构更有效地利用其资金。

　　Adefala说，从管理者的观点看，用户将获得用于分支办公室的多功能一体解决方案。你在端点得到了同样水平的安全，而且你得到了不太复杂的东西。

　　他说，当许多企业都把重点放在集中化方面时，模块式的方法消除了围绕如何集中管理安全制定新的解决方案的需求。

　　Adefala说，除了理顺我们的管理之外，网络接入控制集成服务路由器模块还能够让我们把在网络本身的安全努力集中在一起。这个模块还使我们有机会向用户提供把网络和安全更有效地结合起来的解决方案。

　　他补充说，消除了复杂性应该使整个网络接入控制解决方案更容易销售和可担负得起。你要保证你在的分支机构也拥有你的总部拥有的同样的安全水平。这个解决方案就可以做到。

　　市场研究公司Current Analysis的研究经理Andrew Braunberg也同意这个观点。他说，把网络接入控制模块放到集成服务路由器中将给边远地区带来更大的可见性。那里是最需要这种可见性的。

　　他说，他们把网络接入控制功能推向分支机构是有意义的。把网络接入控制和集成服务路由器放在一起在物流和物理上都是有意义的。

　　Braunberg说，他对集成服务路由器网络接入控制模块对于思科要把网络接入控制设备与CNAC框架结合在一起的努力来说是向前迈进一步还是脱离这种做法提出了质疑。有传言称，思科的这项努力已经进行一年了。

在推出集成服务路由器模块的同时，思科还通过提供思科NAC Profiler(网络接入控制轮廓仪)增强其网络接入控制设备服务器的功能。NAC Profiler是一种记录网络设备目录的端点识别技术，能够在网络进程进行之前或者进行过程中对网络设备进行评估。NAC Profiler能够提高没有与要识别的特定用户相关联的网络设备的能力。没有与特定用户建立关联的设备包括打印机、IP电话、无线接入点、传感器和医疗设备。NAC Profiler还能够对批准之后的接入控制进行连续不断的行为评估。

　　思科在声明中称，思科NAC Profiler是在企业正在支持日益增多的对于运营和厂产率都非常重要的设备的时候推出的。NAC Profiler解决了保护多种网络设备的日益增长的复杂化问题。

　　据思科网络接入控制产品营销经理Brendan O'Connell称，NAC Profiler是思科与Great Bay软件公司签订OEM协议带来的结果。这个产品包括网络接入控制设备服务器的一个升级的软件。NAC Profiler服务器从网络接入设备服务器中提取信息并且把信息发送给管理操作台。

　　O'Connell说，这是保证设备真实身份的一种做法。他补充说，在过去，网络接入控制设备不评估打印机、复印机和其它拥有IP地址的设备。它搜集有关网络端点设备的信息以保证这种设备做自己该做的事情。

Braunberg同意这个观点。他说，这是一个重要的提高，保证拥有这些无反应型主机的最