PacketFence:开源NAC奉献网络安全大餐

此后，要同意网络策略，并且同意进行监视以遵循策略。如果在首次注册时，工作站看似干净并遵守策略，并自动地准许成为正常VLAN的部分。否则，工作站将被放置到隔离区，直至解决违反策略的问题。用户不必要做什么操作，就可以将工作站分配给一个正常的或隔离的VLAN中。一旦策略设置完成，并且在PacketFence中进行了定义，那么在工作站违反了策略时，它会被转移到隔离VLAN中；或者在工作站解决了问题后，它就会被转移到正常的VLAN中。不过，如果用户愿意，仍可以将某个工作站放到一个特定的VLAN中。

笔者利用Limewire对点到点的通信进行了隔离，编辑了配置文件/usr/local/pf/conf/violations.conf，并指定p2p通信等为违反策略的通信。要知道，此配置文件包含了一些用户可以启用和禁用的违反策略问题。当然，用户还可以从Web管理控制台配置违反规则选项，如在注册期间和在检测到违反策略时指定可以采取的行动期间，启用违反策略的检测。但是为了检测一种p2p之类的特定通信，用户必须编辑配置文件。在笔者启用了p2p违反策略后，工作站就被转到了隔离VLAN中，切断了它对互联网的访问。在用户首次运行PacketFence期间，必须对它进行配置，在违反策略的程序被关闭后，使其可以自动地将违反策略的设备和用户返回给另一个更为宽容的VLAN。

PacketFence还可以执行其它许多操作。例如，用户可以配置无线访问点（AP），使用注册VLAN和隔离VLAN的概念。要让一个无线AP与PacketFence协同工作，用户必须在AP的配置上指明VLAN。PacketFence还可以检测基于硬件的VoIP电话，以及有可能从软VoIP电话之后进行连接的工作站。还有另外一些情况，如VoIP电话和工作站共享单独一个交换机端口。更新的交换机准许VoIP和工作站可以共享一个端口，因为PacketFence依赖于在每个端口上的设备检测。通过在交换机的级别上进行调整，PacketFence就可以正确地检测VoIP电话设备和工作站。

如果一台工作站违反了已经建立的规则，或者在其系统上检测到了恶意软件，那么PacketFence将把此工作站从网络中隔离开，并将其转到一个已经定义好的网页中，这个网页会指导用户采取必要的措施清除漏洞、病毒、违反策略的做法等，对用户实施救援。如果工作站不能访问某个URL，那是因为没有浏览器或其它原因，结束这种违反策略的唯一方法是直接将共报告给管理员。如果打开了浏览器，用户会被直接指引到一个冲突页面或救治页面，实施必要的修正措施。这种页面要求用户下载并安装反病毒代理，给系统打补丁或清除某些不符合网络策略的程序。

PacketFence使用Nessus作为其漏洞扫描程序，而这种扫描可以根据时间计划或根据某个特别的基础来完成。例如，在一台工作站初次被注册时或新的威胁出现时，就会自动地对其进行扫描。因为Nessus可以自行更新，所以用户可以自动地配置PacketFence，在Nessus收到最新的威胁更新后，使其执行漏洞扫描。

结束语

PacketFence ZEN并不适用于初入此道的系统管理员。甚至对于一些有经验的IT专业人士来说，要设置PacketFence ZEN使其正常运行也有难度。这个ZEN版本的目的是使部署更为容易，不过，虽然它减少了许多复杂的任务，但在设置时仍颇为复杂。这个版本并不能使管理人员轻松安装，所以希望其开发人员能够解决前面提到的这些问题。

关于PacketFence的安装和使用技巧的相关文档算不上丰富，所以要让任何人掌握这个程序都需要花费点儿时间。但是，一旦掌握此程序，它必将为用户奉上脍炙人口的安全大餐。