亲身经历，要上终端准入控制产品的兄弟姐妹必看

　　这是游侠在华安论坛看到的帖子，在这里分享下：
-------------------------
　　这是我公司几个月以来使用某厂商产品NAC网络准入控制的一次经历，感觉非常的郁闷，所以把这段经历写出来与大家共享，以及一些我对某厂商准入控制的感受，希望能帮助大家选择。

　　话说几个月前公司出了一些安全事故，详细原因我就不多说了，主要是有外来人员随意接入内部网络偷偷拷贝走了公司的一些数据，并放在了某网站的文库中，导致领导知道了非常气愤，当即我们部门的老大就被处分了，当时大家都很郁闷，气愤很凝重，后来老大通知我们开会，让大家发表意见和想法。

　　会议中部门同事都觉得在交换机上端口加MAC地址绑定的方式最好，即将公司所有终端电脑的MAC地址收集起来，按照对应关系，一台一台做绑定。会议之后大家开始分工行动开始收集MAC和个人信息，我就负责在交换机上做绑定，当绑定到80台左右的时候，发现之前绑定的人员打电话来说上不了网了，经过排查后发现，他换了位置导致交换机端口不允许数据包通过，于是又返工重新绑定。当绑定到100台终端的时候，发现如果这样下去工作量是如此的大，因为我公司电脑有3000多台，一开始没有考虑这么多，这样下去反反复复每天就处在绑定终端过程中。鉴于此，我和我的同事就在网上找有关于防止非法接入方面好的方法，最后找了一些好的方法，但是需要购买第三方产品，比如网络准入控制、接入控制等产品，采取的技术原理主要是802.1x、cisco eou、网关型准入控制、arp准入控制、dhcp准入控制等，找了几家厂商互相了解了一下，最后选择了所谓的“准入控制行业标准制定者”某某科技，因为公司高层催的比较急，任务比较重，所以简单看了下界面和效果就选择了这家公司，后来就是噩梦！

　　某某科技厂商的准入控制产品，不需要安装客户端软件，需要一个硬件的盒子，此盒子就是一台工控机，所有终端电脑接入网络需要在浏览器安装插件然后做身份认证才能接入网络，看起来很完美，用了一段时间才发现漏洞百出，甚至导致公司网络瘫痪，如下：

　　1、产品所谓的准入控制其实是部署在我们核心网络的两台6509交换机上，通过在核心设备上做策略路由，将认证流量引入到硬件盒子上，实现准入控制，系统刚部署后周一就出现了问题，因为上网人员过多，导致大家网络都中断2个小时，后来查了原因，是因为硬件盒子没有经过严格并发测试，导致硬件盒子内存占用过多大家都不能通过认证，因为周一是大家收发邮件及访问最繁忙的时候，某某科技给出的原因是核心cisco 6509设备在策略路由的时候有BUG，要升级，当时一听就来气，要升级两台cisco 6509的ios不是那么容易的，要所有业务中断，我和我的老大当即就否决了，让他们拿出解决方案，最后为了不影响工作先取消了策略路由。经过漫长的等待、几周后，厂商的技术专家带来了一台新的盒子，部署上以后，观察了一周，没有问题。后来打听到据说是他们自己的盒子没有经过压力测试，并且radius服务、数据库、后台全部走在一台盒子上，导致压力过大造成的。

　　2、过了几天，还是发现有公司文档泄露在网上的文库网站，我和我的同事纳闷不解，去找某某科技询问详情，原来部署硬件准入控制这种方式有严重漏洞，首先同一交换机之间终端互访没法控制，其次同一vlan下的终端互访不受限制。也就是外包公司和合作公司可以轻易绕过准入控制，访问文件服务器和其它一些在线资源，导致文件还是被外泄，还是不能解决非法外联的问题，公司高层领导为此大动肝火，认为我们部门没有详细了解好就是用了该产品，解决不了问题。

　　3、通过以上一些不爽，我和老大找到某某科技的技术专家，让他们给出解决方案，他们提出可以提供我们802.1x的解决方案，需要我们安装客户端，并且开启接入层交换机的802.1x认证，这样的方案经过一个月的折腾大家都已经失去信心了，为什么？某某科技所谓的802.1x根本不适用我公司，我公司的交换机有cisco的、华为的、锐捷的等都支持802.1x，对于锐捷和cisco的交换机总是出现一些莫名其妙的问题，一会通过认证，一会失败，导致大家上网抱怨，我和老大彻底失望了，根本就是他们的radius对各种品牌的交换机802.1x支持不好，花这么多钱搞出这么多事，我们部门差点就被高层大换血了，我和我的老大都想把这个产品废掉。

　　后来，又是新一轮的在网上搜索，又找了几家公司做了产品测试，比如北信源、赛门铁克、微软NAP、cisco nac、联软科技等，其中联软的产品测试效果不错，听他们技术说是证券行业终端准入控制第一品牌，准入控制产品在高端客户的测试常常遥遥领先，而且联软准入控制和桌面管理可以无缝结合，联软业务数据防泄密等，一开始真以为是在忽悠人，最后看了联软科技他们推荐的方案和实际的测试效果，联软建议我们：

　　1）全网采用802.1x准入控制技术，每个人使用自己的AD域账号接入网络；
　　2）接入网络前做判断，如果是外包公司或临时人员则只能访问有限资源，且接入内网的行为全部被记录，可以时候查看谁把文档拷贝走放到互联网；
　　3）对内部员工做准入控制安全检查，必须安装杀毒软件、微软补丁、公司规定的软件才能接入网络，确保全网终端是安全的才能接入；
　　4）扩展业务数据防泄密模块，可以实现内部员工的业务数据防泄密。

　　通过和联软的技术人员交流，看来他们联软网络准入控制在业界做的还不错，所以测试后我们准备使用联软科技的产品，把某厂商的产品抛弃，忽悠人的公司，到处是互联网广告、什么准入行业标准制定者、什么大地震什么新闻都要和自家产品一起炒作，真实一家忽悠人的公司！

　　经过这么多艰难的选择，我给大家在使用这类产品中的一些建议：

　　1、一定要经过严格的测试才能选择产品；
　　2、一定要在自己的生产环境测试兼容性；
　　3、一定要厂家提供各种解决方案，每种方案原理都要 详细了解；
　　4、一定不要听信厂家所谓的行业制定者，后来知道准入控制NAC是cisco发起制定的一个NAC框架；
-------------------------
作者 bestitsec_z 原文 http://bbs.cisps.org/viewtopic.php?p=227117
-------------------------
　　不过游侠感觉本文非常像是联软公司的软文……but，鉴于还是有一些用途，所以转来给大家分享下。