鱼与熊掌不可兼得――腹诽一下symantecNAC(2)

完美的性能杀手
 
部署nac的最大好处,就是可以将不符合安全标准的机器隔离网络,那必然就需要对机器的情况进行检查――Symantec称之为完整性检查。
一般情况下,我们可以检查杀毒软件是否安装、病毒库是否及时更新、是否禁止某些程序等等等等......这个都是可以写访问列表进行控制的,如果符合标准,SNAC通过控制交换机的端口让客户端进入网络,否则就丢到一个隔离区里,另行处理。
 
那么如果我通过了检查之后就把SNAC从机器上卸载了呢?聪明人当然不止你我,symantec也想到了这个问题,于是我们可以设定检查完整性的频率。这就涉及到一个问题,多久检查一次才是合理的?
 
如果不考虑检查完整性带来的性能损失,自然是越短越好,毕竟谁也不希望自己的网络里有漏洞可钻。事情的另一面则是,检查完整性会瞬间提高CPU的占用率,策略越多,占用越大,碰到性能不好的机器,表现出来的状况就是过个一会儿卡一下,如果你这时正在测试性能......
 
完整性检查的影响其实还是相对较小的,毕竟没有哪个公司会写几百条的策略。另一个杀手才是真正致命的――OSP。OSP是啥,OS protection,操作系统保护,可以让你的电脑像中毒了一样什么都做不了的驱动级超级功能,什么U盘,统统禁掉,什么MSI,统统不让装,什么DLL,统统不让链接,所有经过网卡的流量,一律检查,所有磁盘读写操作,一律过目
 
是不是很爽?我是爽了,刚部署的那几天,天天要去处理性能问题,PS里鼠标拖动卡、3DMAX里模型换个方向卡,保存就更卡了,没个1、2分钟就别想动,那些程序员就更闹翻天,一触发网络流量,第一个包的ping值肯定是60ms以上,第二个包才恢复到1ms,#@¥!@#¥,这算哪门子事情。
 
访问文件服务器的速度迅速降低,如果流量大了,更会发生不定期短线事故,遇上IDE硬盘的机器那简直就是生不如死,网速骤然降低10秒钟才开始重新传送,感觉OSP的检查窗口不够用了...
 
无奈,把OSP关了,情况稍微减轻,不过控制功能随之丧失
算了,先用着吧

本文出自 “xmuxsp” 博客,谢绝转载!

你可能感兴趣的:(职场,休闲,Symantec,NAC)