鱼与熊掌不可兼得——腹诽一下symantecNAC（2）

完美的性能杀手

部署nac的最大好处，就是可以将不符合安全标准的机器隔离网络，那必然就需要对机器的情况进行检查——Symantec称之为完整性检查。
一般情况下，我们可以检查杀毒软件是否安装、病毒库是否及时更新、是否禁止某些程序等等等等......这个都是可以写访问列表进行控制的，如果符合标准，SNAC通过控制交换机的端口让客户端进入网络，否则就丢到一个隔离区里，另行处理。

那么如果我通过了检查之后就把SNAC从机器上卸载了呢？聪明人当然不止你我，symantec也想到了这个问题，于是我们可以设定检查完整性的频率。这就涉及到一个问题，多久检查一次才是合理的？

如果不考虑检查完整性带来的性能损失，自然是越短越好，毕竟谁也不希望自己的网络里有漏洞可钻。事情的另一面则是，检查完整性会瞬间提高CPU的占用率，策略越多，占用越大，碰到性能不好的机器，表现出来的状况就是过个一会儿卡一下，如果你这时正在测试性能......

完整性检查的影响其实还是相对较小的，毕竟没有哪个公司会写几百条的策略。另一个杀手才是真正致命的——OSP。OSP是啥，OS protection，操作系统保护，可以让你的电脑像中毒了一样什么都做不了的驱动级超级功能，什么U盘，统统禁掉，什么MSI，统统不让装，什么DLL，统统不让链接，所有经过网卡的流量，一律检查，所有磁盘读写操作，一律过目

是不是很爽？我是爽了，刚部署的那几天，天天要去处理性能问题，PS里鼠标拖动卡、3DMAX里模型换个方向卡，保存就更卡了，没个1、2分钟就别想动，那些程序员就更闹翻天，一触发网络流量，第一个包的ping值肯定是60ms以上，第二个包才恢复到1ms，#@￥！@#￥，这算哪门子事情。

访问文件服务器的速度迅速降低，如果流量大了，更会发生不定期短线事故，遇上IDE硬盘的机器那简直就是生不如死，网速骤然降低10秒钟才开始重新传送，感觉OSP的检查窗口不够用了...

无奈，把OSP关了，情况稍微减轻，不过控制功能随之丧失
算了，先用着吧