鱼与熊掌不可兼得——腹诽一下symantecNAC(2)
原创
©著作权归作者所有:来自51CTO博客作者xmuxsp的原创作品,谢绝转载,否则将追究法律责任
完美的性能杀手
部署nac的最大好处,就是可以将不符合安全标准的机器隔离网络,那必然就需要对机器的情况进行检查——Symantec称之为完整性检查。
一般情况下,我们可以检查杀毒软件是否安装、病毒库是否及时更新、是否禁止某些程序等等等等......这个都是可以写访问列表进行控制的,如果符合标准,SNAC通过控制交换机的端口让客户端进入网络,否则就丢到一个隔离区里,另行处理。
那么如果我通过了检查之后就把SNAC从机器上卸载了呢?聪明人当然不止你我,symantec也想到了这个问题,于是我们可以设定检查完整性的频率。这就涉及到一个问题,多久检查一次才是合理的?
如果不考虑检查完整性带来的性能损失,自然是越短越好,毕竟谁也不希望自己的网络里有漏洞可钻。事情的另一面则是,检查完整性会瞬间提高CPU的占用率,策略越多,占用越大,碰到性能不好的机器,表现出来的状况就是过个一会儿卡一下,如果你这时正在测试性能......
完整性检查的影响其实还是相对较小的,毕竟没有哪个公司会写几百条的策略。另一个杀手才是真正致命的——OSP。OSP是啥,OS protection,操作系统保护,可以让你的电脑像中毒了一样什么都做不了的驱动级超级功能,什么U盘,统统禁掉,什么MSI,统统不让装,什么DLL,统统不让链接,所有经过网卡的流量,一律检查,所有磁盘读写操作,一律过目
是不是很爽?我是爽了,刚部署的那几天,天天要去处理性能问题,PS里鼠标拖动卡、3DMAX里模型换个方向卡,保存就更卡了,没个1、2分钟就别想动,那些程序员就更闹翻天,一触发网络流量,第一个包的ping值肯定是60ms以上,第二个包才恢复到1ms,#@¥!@#¥,这算哪门子事情。
访问文件服务器的速度迅速降低,如果流量大了,更会发生不定期短线事故,遇上IDE硬盘的机器那简直就是生不如死,网速骤然降低10秒钟才开始重新传送,感觉OSP的检查窗口不够用了...
无奈,把OSP关了,情况稍微减轻,不过控制功能随之丧失
算了,先用着吧
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
记录一下ELK部署(1)
uname -rsudo yum updatesudo yum remove docker \ docker-client \ docker-c
docker elasticsearch vim -
提升资源利用率与保障服务质量,鱼与熊掌不可兼得?
总第527篇2022年 第044篇美团Hulk调度系统团队在集群服务
系统架构 服务质量 优先级 数据中心 -
鱼与熊掌可以兼得-Linux上运行windows程序
wine安装笔记
安装 linux 职场 wine 休闲 -
李开复:云时代微软想要鱼与熊掌兼得很困难
不知不觉,“云计算”已在悄悄地影响我们的工作和生活。 想一想,你在浏览器和桌面
云计算 商业模式 互联网时代