克里郡位于爱尔兰西南部,该郡议会的网络可通过60个站点为800名用户提供服务,但是议会对在任意指定时刻有谁或有什么接入网络却无从得知。因此当一台笔记本电脑携带病毒导致网络瘫痪时,议会被迫立即寻找一种可以覆盖地理位置,分散的有线与无线网络的网络访问控制(NAC)解决方案。
克里郡议会的网络分析专家Padraig Daughton说:“站点的数量和分散的地理位置是我们面临的大问题。我们考虑过端口安全方法,但是它很难实现。我们还考虑或许可以架设一台DHCP中央服务器为所有站点服务,并捆绑MAC地址,但这种方法也难以实现,它所导致的问题比其所能解决的问题还要多。唯一的解决方法就是网络访问控制。”
由于网络大部分由思科承建,克里郡议会首先考虑了思科的解决方案,但是结果却证明其成本高昂。之后议会评估了五家供应商,最终选择了Bradford Networks与其合作伙伴Khipu。
Bradford的自适应网络安全(Adaptive Network Security)架构和他的网络哨兵(Network Sentry)网络访问控制解决方案承诺可以基于预设策略安全地提供网络资源。
Daughton说:“Bradford的解决方案是最便宜的,它非常适合我们的网络。我们不用去升级任何思科的设备组件。某些解决方案需要在网络中添加四、五台设备,然而Bradford的解决方案只需将其组件安放在网络中间,就可以同时应付有线、无线和VPN用户。”
克里郡议会网络结构分析
鉴于克里郡网络的复杂性,分析其结构是个不小的壮举。议会广域网(WAN)的骨干网采用思科增强型内部网关路由协议的高容量许可无线网络。Daughton 指出:“两个200Mb无线链接从HQ站点到主站点,80Mb的许可无线链接作为骨干网从它们扩展到全郡,其中到一些站点的最后一跳使用10或15M的无线链接。”为了获取额外带宽,议会将CAMP消防因特网链接也利用上了。广域网的其他部分是MPLS网络,采用混合无线和DSL运营商的方式来给无线网络提供弹性和故障转移能力。
反观基于光纤连接的HQ局域网,它使用三个思科3750堆叠交换机和3560交换机。而VPN则使用集成RSA令牌的高可用性思科ASA防火墙。
克里郡如何实施网络访问控制解决方案
因为大多数用户都接入有线网络,所以有线网络是重中之重。Daughton 说:“我们将Khipu网络访问控制的配置生效,并在有线网络上进行一些测试,一旦测试通过就将该解决方案推广到整个网络。为证明该方案的有效性,我们不得不派遣人员到各个站点去进行验证,因此,60个站点耗费了我们大量时间。”
“当时,我们在HQ网络中采用了Khipu解决方案,其他一些站点没有立刻跟进,而是等待了几个月。当对解决方案感到满意后,我们才在接下来的几个月里着手开始进行其他站点的方案实施工作。
没过多久就发现该解决方案有一两个网络访问控制策略需要调整。这些策略确保PC可以访问网络并且解决任何诸如杀毒软件过期之类的问题,但是在PC启动时,这样的修复过于频繁,桌面用户期望对此可以做些修正。
Daughton解释说:“那些一直在线的用户应该有99%的病毒库都是最新的,因此我们制定信任桌面系统的策略,不扫描你的连接,但是每天上午11点会在后台确保你的病毒库是最新的。这样,用户体验大大改善。”
现在即便是无线用户也可以通过无缝身份认证的方式访问网络。Daughton描述说:“我们拥有一台思科的无线控制器,当一个用户访问它时紧接着就会访问Bradford。如果他是一个有效用户,那他将进一步访问我们的ACS。ACS可以告知Active Directory并且进行扫描。因此,你不需要为WEP或WPA密钥浪费时间。”
如今,网络访问控制解决方案已经在无线与有线网络上实施几个月了。Daughton正在为VPN的实施作最后的工作:“我们已经搭建和测试了VPN,等防火墙代码升级后立刻将其上线使用。”