PacketFence:开源NAC奉献网络安全大餐

核心提示： PacketFence这个开源程序的好处在于它将一些组件集中到一起，如Nessus和Snort等，PacketFence:开源NAC奉献网络安全大餐(2)，对于恶意的通信和漏洞检测，这些程序可以让该软件执行诸多安全服务，如果选择PacketFence ZEN版本，那么所有必要的组件都不需要

PacketFence这个开源程序的好处在于它将一些组件集中到一起，如Nessus和Snort等，对于恶意的通信和漏洞检测，这些程序可以让该软件执行诸多安全服务。该软件可以自动地检测网络中的工作站，隔离一些非一致性（也就是不遵守策略）的工作站，并且通过将不符合策略要求的工作站重新定向，使其转到一个可以告诉用户如何改造的网页上，此网页上有一些具体的措施和建议，如清除引起违反策略的部件，安装补丁，或采用其它可行的方法，从而对这些工作站执行救助和修补。

但是，象其它软件一样，如果不进行正确的配置，PacketFence将会给单位带来麻烦。如果进行了正确的配置，PacketFence就可以在一个设备连接到网络上时动态地检测漏洞，用户可以制定漏洞扫描计划，从而可以检查连接到网络的工作站是否拥有漏洞、病毒或其它的网络威胁。如果检测到一个与安全策略相冲突的漏洞，该软件就会自动地隔离该工作站。

虚拟局域网（VLAN）隔离是PacketFence的一个重要特色，它准许软件根据连接到端口的设备动态地改变交换机端口的VLAN成员资格。通过使用SNMP trap，PacketFence可以读取、写入、改变特定端口的VLAN成员资格。例如，在一个新工作站连接到一个端口时，PacketFence将检测到MAC地址。如果其MAC地址并没有位于已注册的工作站数据库中，它将把此特定的端口转给一个注册登记VLAN。

听到这儿，可能有人已经跃跃欲试了。不过，在下载PacketFence之前，用户不妨看看安装PacketFence时需要注意的一些问题。其链接为：

http://www.packetfence.org/dokuwiki/doku.php?id=faq#what_are_the_requirements，其中包含了安装该程序的必要信息。在笔者完成此文时，其最新版本为PacketFence 1.7.3，有源代码、RPM等格式。用户还可以试用PacketFence ZEN版本，这是一个CentOS5.2的Vmware镜像，其中已经安装好了PacketFence。在这里，ZEN的意思是zero effort nac，即不需要用户再安装NAC了。如果用户选择在一台已存在的Red Hat企业版Linux上安装PacketFence，用户将必须分别单独安装所有必要的服务，包括MySQL 和Apache等。然而，如果选择PacketFence ZEN版本，那么所有必要的组件都不需要再安装，用户只需要进行配置就可以了。