NAC（網(wǎng)絡(luò)接入控制）已經(jīng)是當(dāng)前相當(dāng)重要的控制網(wǎng)絡(luò)接入的一種手段，它一般通過(guò)網(wǎng)絡(luò)編程來(lái)實(shí)現(xiàn)，技術(shù)含量高，這已經(jīng)成為思科、H3C、微軟等企業(yè)的又一商業(yè)利潤(rùn)來(lái)源。但是，如果能夠有一種開源的工具來(lái)實(shí)現(xiàn)NAC，那又將是怎樣的情形呢？

你為什么要考慮開源選擇呢?

網(wǎng)絡(luò)接入控制(NAC)在當(dāng)今的網(wǎng)絡(luò)世界中可謂如日中天，雖然其產(chǎn)品仍處于早期階段。大型的商業(yè)類NAC產(chǎn)品可能價(jià)格不菲。

我們需要注意的一點(diǎn)是,NAC是一套基于網(wǎng)絡(luò)交換機(jī)的網(wǎng)絡(luò)接入控制平臺(tái)，它需要通過(guò)網(wǎng)絡(luò)編程來(lái)實(shí)現(xiàn)，技術(shù)含量高，這已經(jīng)成為思科、H3C、微軟等企業(yè)的又一商業(yè)利潤(rùn)來(lái)源。

開源的NAC產(chǎn)品對(duì)市場(chǎng)造成的影響是巨大的，因?yàn)樗�使商業(yè)類的NAC廠商不能洋洋自得。廠商們必須知道，總會(huì)有一些免費(fèi)的方案存在，而且正被穩(wěn)健地改進(jìn)著;這對(duì)于商業(yè)類廠商增強(qiáng)其產(chǎn)品性能和調(diào)整價(jià)格方面是一個(gè)重要的驅(qū)動(dòng)因素。

此外，開源NAC推動(dòng)著整個(gè)NAC市場(chǎng)形成更多的NAC標(biāo)準(zhǔn)并鼓勵(lì)革新。開源產(chǎn)品允許你訪問(wèn)開源代碼。也許有一種你需要但卻不存在的特性，用開源NAC，你就能夠定制軟件使其適合你的喜好。

幾年來(lái)，開源產(chǎn)品已經(jīng)顯示出他們能夠以零成本(或極低的成本)提供可靠的功能強(qiáng)大的產(chǎn)品。我們可以看一下Linux OS、 Asterisk VoIP 電話系統(tǒng)、Snort、 Nmap、Nessus等產(chǎn)品，所有的這些都是商業(yè)產(chǎn)品成功的替代產(chǎn)品。

如果一個(gè)產(chǎn)品有很好的團(tuán)體支持，那么其特性將能夠很快地被確認(rèn)并加以發(fā)展。這個(gè)過(guò)程與商業(yè)類產(chǎn)品相比會(huì)更加快捷。

成本當(dāng)然是管理員們經(jīng)常轉(zhuǎn)向開源產(chǎn)品的一個(gè)最重要的原因;許多人選擇一個(gè)產(chǎn)品僅僅因?yàn)樗鼉r(jià)格便宜。與一個(gè)免費(fèi)的產(chǎn)品相比，證明一個(gè)貼著高昂價(jià)格標(biāo)簽的商業(yè)產(chǎn)品的可行性的難度要大得多。

選擇開源NAC產(chǎn)品有什么弊端嗎?

當(dāng)然，“免費(fèi)”產(chǎn)品并非十全十美�？傮w而言，開源軟件可能易于缺乏其開發(fā)者的技術(shù)支持，缺乏升級(jí)，甚至缺乏互操作性。如果你要求Windows操作系統(tǒng)的支持，并告訴他們你正在運(yùn)行開源的NAC，你不可能得到任何的支持。對(duì)技術(shù)支持的潛在缺乏將使許多開源軟件用戶轉(zhuǎn)而成為程序員和開發(fā)人員，他們有可能會(huì)花費(fèi)大量的時(shí)間來(lái)修正問(wèn)題。

此外，可能會(huì)存在著對(duì)你的開源方案實(shí)施的一些支持。換句話說(shuō)，在具體實(shí)施時(shí)你并沒有太多的外援，可以說(shuō)主要依靠自力更生。對(duì)于那些喜歡DIY的用戶來(lái)說(shuō)，這可能是不錯(cuò)的。不過(guò)這并不是每一個(gè)管理人員所需要的。

開源的NAC選擇方案哪些?

在當(dāng)今的市場(chǎng)上，并不缺乏開源的NAC參與者。因?yàn)镹AC是一個(gè)熱點(diǎn)問(wèn)題，它成為開源開發(fā)者們要為其編寫程序的題目。下面是筆者所發(fā)現(xiàn)的開源NAC廠商，而且筆者認(rèn)為比較不錯(cuò)：

PacketFence Zero Effort NAC (ZEN)：這是一個(gè)虛擬設(shè)備操作系統(tǒng)，它運(yùn)行在Windows或Linux系統(tǒng)內(nèi)。它可以在設(shè)備連接到網(wǎng)絡(luò)上時(shí)執(zhí)行策略檢查。ZEN基于Fedora Linux、LAMP、Perl和Snort。根據(jù)其Web站點(diǎn)的介紹，它被用于全世界的大學(xué)中。它并不需要任何種類的思科硬件，并且在任何網(wǎng)絡(luò)中都可以正常運(yùn)作。PacketFence ZEN由哈佛的兩位IT人員開發(fā)，擁有一個(gè)Web的圖形用戶管理界面，并且是免費(fèi)的。

FreeNAC：它由瑞士的Swisscom所開發(fā)，是一個(gè)開源的軟件項(xiàng)目，不過(guò)近來(lái)也提供商業(yè)版本。其商業(yè)版本提供了免費(fèi)版本所沒有提供的一些額外特性，而且你可以獲取其安裝和支持。它使用802.1x或思科的VMPS。 此外，F(xiàn)reeNAC還可以提供VLAN和交換機(jī)的端口管理、文檔編制、端口電纜信息、設(shè)備發(fā)現(xiàn)等功能 。

更多的開源NAC：根據(jù)Network World一篇文章的介紹，現(xiàn)在有許多大學(xué)正在開發(fā)開源的NAC項(xiàng)目。如美國(guó)的卡內(nèi)基梅隆大學(xué)和堪薩斯州大學(xué)的開發(fā)人員已經(jīng)開發(fā)了自己內(nèi)部的NAC方案。在卡內(nèi)基梅隆大學(xué)，這個(gè)產(chǎn)品稱為NetReg，其使用還擴(kuò)展到其它大學(xué)。在堪薩斯州大學(xué)，其定制的產(chǎn)品稱為Rings。這個(gè)產(chǎn)品將一個(gè)用戶與一個(gè)MAC地址聯(lián)結(jié)起來(lái)，并勝使用一個(gè)Java 代理來(lái)檢查客戶端試圖連接到網(wǎng)絡(luò)的PC。在KU，這種Rings產(chǎn)品擁有其自身的服務(wù)器，這也是使它成為一個(gè)專門產(chǎn)品的一個(gè)方面。

那么，思科是怎樣做的呢?思科屬于開源的NAC提供者嗎?現(xiàn)在不是，不過(guò)未來(lái)的產(chǎn)品可能是。思科宣稱它們將停止增強(qiáng)目前由其NAC框架所使用的思科安全代理(CTA)。它們起初宣稱下一代NAC客戶端將交給開源團(tuán)體，不過(guò)它們后來(lái)又收回了那個(gè)決定。

另外一個(gè)NAC廠商StillSecure確實(shí)以開源軟件的形式發(fā)布了一個(gè)免費(fèi)的NAC產(chǎn)品版本。StillSecure的免費(fèi)NAC產(chǎn)品也稱為Safe Access Lite。

此外，賽門鐵克和其它的五個(gè)廠商已經(jīng)宣告他們將聯(lián)合起來(lái)構(gòu)建一個(gè)開源的NAC客戶端。賽門鐵克、TippingPoint、 Trapeze Networks、 Extreme Networks、 Identity Engines、Infoblox等公司已經(jīng)形成了一個(gè)稱為Open Secure Edge Access Alliance的組織來(lái)開發(fā)這個(gè)客戶端。這個(gè)客戶端從技術(shù)上可稱為一個(gè)NAC的請(qǐng)求者。這個(gè)請(qǐng)求者運(yùn)行在你的設(shè)備上，并要求獲得準(zhǔn)許從一個(gè)訪問(wèn)控制服務(wù)器連接到網(wǎng)絡(luò)。這個(gè)訪問(wèn)控制服務(wù)器可以增強(qiáng)你的NAC安全策略，如反病毒定義的文件版本、操作系統(tǒng)補(bǔ)丁的水平，以及防火墻的設(shè)置等等。

不要“閉關(guān)鎖國(guó)”

既然NAC市場(chǎng)和產(chǎn)品尚處于成長(zhǎng)階段，筆者相信對(duì)于一些開源NAC產(chǎn)品來(lái)說(shuō)，要想大行其道還有很大的拓展空間，而且這也能夠給商業(yè)類的產(chǎn)品激烈競(jìng)爭(zhēng)的機(jī)會(huì)。在這一點(diǎn)上，NAC商場(chǎng)確實(shí)比較熱，不過(guò)以筆者的觀點(diǎn)，市場(chǎng)上并沒有真正的領(lǐng)軍人物，而且在選擇這些方案之前，你應(yīng)該告誡自己需要保持清醒的頭腦。

開源的NAC方案能夠在許可證上為你節(jié)省大量的金錢，而且還可以給你所需要的靈活性。不過(guò)，要使用開源的NAC，你必須愿意將更多的精力投往這個(gè)產(chǎn)品，因?yàn)樗鼈兪菫槟切┰敢庾约簞?dòng)手的管理人員所設(shè)計(jì)的。還有，將商業(yè)類產(chǎn)品的評(píng)估與開源產(chǎn)品的評(píng)估進(jìn)行比較是一個(gè)非常聰明的舉動(dòng)。