NAP技術和NAC技術之間的比較及其分析

NAP技術和NAC技術之間的比較及其分析，希望對大家有幫助。當傳統(tǒng)的終端安全技術(Antivirus、Desktop Firewall等)努力保護被攻擊的終端時，它們對于保障企業(yè)網絡的可使用性卻無能為力，更不要說能確保企業(yè)的彈性與損害恢復能力。針對于此，目前出現(xiàn)了幾種安全接入技術，這些技術的主要思路是從終端著手。

通過管理員指定的安全策略，對接入私有網絡的主機進行安全性檢測，自動拒絕不安全的主機接入保護網絡直到這些主機符合網絡內的安全策略為止。目前具有代表性的技術包括:思科的網絡接入控制NAC技術，微軟的網絡接入保護NAP技術以及TCG組織的可信網絡連接TNC技術等。

綜上所述，NAC和NAP技術的優(yōu)勢在于其背后擁有思科、微軟這樣的網絡與操作系統(tǒng)的巨頭，這些技術將隨著其下一代產品同時綁定發(fā)布。NAC目前已經隨思科的新一代網絡設備一起，在2004年開始推向市場，而NAP技術則計劃于2006年年底，隨微軟的Windows Vista操作系統(tǒng)一起，推向市場。

而TNC的優(yōu)勢在于其開放性，目前TNC規(guī)范已經發(fā)展到1.1版本，TCG組織的成員都可以對其提出自己的意見，并且由于技術的開放，所以國內廠商也可以自主研發(fā)相關產品，例如之前的TPM一樣，可以擁有自主知識產權。

NAC技術

網絡接入控制(Network Access Control，簡稱NAC)是由思科(Cisco)主導的產業(yè)級協(xié)同研究成果，NAC可以協(xié)助保證每一個終端在進入網絡前均符合網絡安全策略。NAC技術可以提供保證端點設備在接入網絡前完全遵循本地網絡內需要的安全策略，并可保證不符合安全策略的設備無法接入該網絡、并設置可補救的隔離區(qū)供端點修正網絡策略，或者限制其可訪問的資源。

NAP技術

網絡訪問保護NAP技術(Network Access Protection)是為微軟下一代操作系統(tǒng)Windows Vista和Windows Server Longhorn設計的新的一套操作系統(tǒng)組件，它可以在訪問私有網絡時提供系統(tǒng)平臺健康校驗。NAP技術平臺提供了一套完整性校驗的方法來判斷接入網絡的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網絡訪問權限。

為了校驗訪問網絡的主機的健康，網絡架構需要提供如下功能性領域:

◆健康策略驗證:判斷計算機是否適應健康策略需求。

◆網絡訪問限制:限制不適應策略的計算機訪問。

◆自動補救:為不適應策略的計算機提供必要的升級，使其適應健康策略。

◆動態(tài)適應:自動升級適應策略的計算機以使其可以跟上健康策略的更新。

TNC技術

可信網絡連接技術TNC(Trusted Network Connection)是建立在基于主機的可信計算技術之上的，其主要目的在于通過使用可信主機提供的終端技術，實現(xiàn)網絡訪問控制的協(xié)同工作。又因為完整性校驗被終端作為安全狀態(tài)的證明技術，所以用TNC的權限控制策略可以估算目標網絡的終端適應度。

TNC網絡構架會結合已存在的網絡訪問控制策略(例如802.1x、IKE、Radius協(xié)議)來實現(xiàn)訪問控制功能。TNC構架的主要目的是通過提供一個由多種協(xié)議規(guī)范組成的框架來實現(xiàn)一套多元的網絡標準，它提供如下功能:NAP技術平臺認證:用于驗證網絡訪問請求者身份，以及平臺的完整性狀態(tài)。

NAP技術終端策略授權:為終端的狀態(tài)建立一個可信級別，例如:確認應用程序的存在性、狀態(tài)、升級情況，升級防病毒軟件和IDS的規(guī)則庫的版本，終端操作系統(tǒng)和應用程序的補丁級別等。從而使終端被給予一個可以登錄網絡的權限策略從而獲得在一定權限控制下的網絡訪問權。

NAP技術訪問策略:確認終端機器以及其用戶的權限，并在其連接網絡以前建立可信級別，平衡已存在的標準、產品及技術。評估、隔離及補救:確認不符合可信策略需求的終端機能被隔離在可信網絡之外，如果可能執(zhí)行適合的補救措施。