你可以敲门，但你进不去

有一种新的网络控制形式称为网络访问控制(NAC)，它将对工业以太网产生重大影响。NAC已经出现在IT媒体上好几年了，但直到最近才开始影响主流IT组织。

NAC是管理无线和有线网络设备访问的系统的总称。用户认证、用户权限、防病毒、防间谍软件、应用、O/S补丁、升级状态检查。

NAC已广泛应用于拥有私有网络但在公共环境中运行的大学和学院。典型的NAC实现将只允许网络访问已注册的设备，其中有一个有效的用户帐户，并且所有必需的补丁都已安装。NAC通过确保所有端点设备在允许访问公司网络或批准的虚拟局域网(VLAN)之前符合公司IT安全策略来提高网络安全性。当设备不符合策略要求时，通常会被定向到一个特殊的VLAN，对访问进行限制。

新兴标准

NAC系统有许多已建立的和新兴的标准，这些标准使它们更易于安装和管理，包括IEEE 802.1X、可扩展身份验证协议(EAP)、远程身份验证拨号用户服务(RADIUS)，以及可信计算组(TGC)的努力www.trustedcomputinggroup.org)．TGC成员为跨多个平台的可信计算构建模块和软件接口开发和支持开放的、与供应商无关的行业标准规范。这些标准的存在意味着您的公司将来很有可能使用NAC。

NAC将对基于工业以太网的网络产生影响，因为NAC在网络访问之前会自动检查安全和补丁策略。工业端点设备(如嵌入式pc、HMI站和专用应用服务器)将具有与标准办公环境系统不同的防病毒、反间谍软件、应用程序和O/S补丁策略。

您的站点可能有各种各样的工业应用程序和系统，并且每个应用程序和系统可能有其自己批准的补丁和升级列表。如果您的公司正在安装或评估NAC，那么您的制造IT组织应该做好准备。

两种口味的NACs

nac有两种口味，带内和带外。带内系统是放置在接入层交换机和分布交换机或核心交换机之间的网络设备。它们成为网络中的一扇门:只有通过准入测试的系统才能进入。

带内系统可以提供良好的控制级别，只允许访问特定的服务或服务器。然而，带内系统将需要在配电开关柜中重新布线。带外NAS系统通过交换机端口连接到网络，不需要重新布线。带外系统将更容易安装，特别是在经过验证的系统上。但它们不提供带内系统所提供的相同级别的细粒度控制，这意味着它们通常不控制端口或服务器访问。

在NAC安装中制造IT的主要任务是确定应该执行的补丁策略。这从审计开始，以识别正在使用的所有系统和软件，以及它们的应用程序和O/S补丁级别的文档。然后使用此信息为每个应用程序生成安全策略。

每个应用程序可能有多个安全策略，每个安装的补丁级别都有一个安全策略，因为大多数站点不能同时升级应用程序的所有副本。最后，在安装O/S或应用程序补丁时，您可能必须更改应用程序的安全策略。

nac为企业网络提供了有价值的保护，但成本将在制造系统升级和补丁期间增加。

作者信息

Dennis Brandl是BR&L Consulting, Cary, NC的总裁，该公司专注于制造IT解决方案(dbrandl@brlconsulting.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。