zhaol's blog

先看一段国内的新闻：

    美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场，向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时，A10网络公司创立者兼首席执行官Lee Chen表示，为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
　　传统的身份识别和访问管理(IAM)在使用上非常复杂，在价格上也是相当昂贵，每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法，不但难管理、难配置、难输入、难同步、易出错，而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构，传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法，通过集成四个基于身份的管理组件，创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台，从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的，基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD)，这些都运行在IDSentrie? 1800固化的操作系统之上，用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化，是一种新型的实用性强而且价格相对较低的认证管理产品。
　　美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战，同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务，帮助各行业客户提高效率、降低风险，降低网络运作成本。

身份管理是基础设施层面的能力，所以这个领域汇集了业界耳熟能详的各路大厂商，IBM, Computer Associates, Hewlett-Packard, BMC Software, RSA Security, Sun Microsystems, Oracle, Novell, Beta Systems Software and Microsoft，还有数不清的各路小厂商（但是在国内还是个婴儿期的市场，这也是机会不是吗？）。应该看到，A10提供的这些功能，正如其名字所传递的含义，更多的将功能集中在网络设备上。而从广泛意义上的IAM功能上看，上述各大厂的产品和解决方案功能和组合明显超过A10。其它厂商的不太了解，就CA的IAM套件来说，A10只是提供一个IAM管理的子集。下面简单罗列分析一下：

[separator]

1 身份管理不仅仅停留在目录整合（meta directory），而是能够直接覆盖到各种主机和应用上，有更强的落地能力。A10的身份管理更像是网络设备（RADIUS设备）的身份管理，在主机和应用上采用整合其它厂商目录的方式来解决。
2 当前有越来越多的IAM需求来自Web应用和Web Services，从IDC的市场预测也可以看到，年复合增长率CAGR最高的两个子方向是Web Single Sign On (20.8%)和User Provisioning（17.5%）。CA的SiteMinder和Identity Manager是这两个方向的强者。
3 在身份管理和Provisioning方面，工作流是一个很重要的功能。这一点在A10的产品介绍中没有提到。

选择全面强大、还是小巧灵活，关注主机系统、还是网络、还是Web应用，以及当前的IAM环境等都是需要考虑的要点。你如何选择呢？



下面是A10 Smart IDentity Manager 1000产品系列的功能简介，A10 Networks公司的IDSentrie 1800的各个组件包括：

• Hardened RADIUS Server :: 加固的RADIUS服务器
• RADIUS & LDAP Authentication Proxy
• Unified IDentity Manager （UIM）:: 统一身份管理器
• User Self-Help Service :: 用户自帮助/服务系统
• IDentity Event Manager :: 身份事件管理器，目前能够和很多防火墙的日志进行相关分析，从而最快的发现误用和滥用
• Advanced Reporting :: 高级报表
• DHCP Server
• Open Standards API :: 还提供了一个开放的API接口

其中，UIM能够管理的用户帐号目录包括：

•  Internal and external RADIUS
•  LDAP, Novell eDirectory, Sun Directory Server
•  Microsoft Active Directory, Windows NT Domain
•  Kerberos v5, Solaris, Linux
•  RSA SecurID

口令管理和用户自帮助服务通过Web提供的功能包括：

• 更改口令
• 重设被锁帐号
• 恢复丢失忘记的口令
• 更改帐号信息
• 设置口令过期通知

该产品（ IDSentrie 1000, including a Radius and authentication proxy; a unified identity manager; a firewall log analyzer; and report-generation capabilities. ）北美报价$12000美元。