網(wǎng)絡(luò)準(zhǔn)入
本文將解釋作為基于策略的安全戰(zhàn)略的一部分,NAC將發(fā)揮怎樣的關(guān)鍵作用,同時描述并定義可用的NAC方法。
NAC的優(yōu)勢
據(jù)2005 CSI/FBI安全報告稱,雖然安全
顯然,僅憑傳統(tǒng)的安全解決方案無法解決這些問題。思科系統(tǒng)公司開發(fā)出了將領(lǐng)先的防病毒、安全和管理解決方案結(jié)合在一起的全面的安全解決方案,以確保網(wǎng)絡(luò)環(huán)境中的所有設(shè)備都符合安全策略。NAC允許您分析并控制試圖訪問網(wǎng)絡(luò)的所有設(shè)備。通過確保每個終端設(shè)備都符合
大幅度提高
雖然大多數(shù)機構(gòu)都使用身份管理及驗證、授權(quán)和記帳(AAA) 機制來驗證用戶并為其分配網(wǎng)絡(luò)訪問權(quán)限,但這些對驗證用戶終端設(shè)備的安全狀況幾乎不起任何作用。如果不通過準(zhǔn)確方法來評估設(shè)備‘狀況’,即便是最值得信賴的用戶也有可能在無意間通過受感染的設(shè)備或未得到適當(dāng)保護的設(shè)備,將網(wǎng)絡(luò)中所有用戶暴露在巨大風(fēng)險之中。
NAC是構(gòu)建在思科系統(tǒng)公司領(lǐng)導(dǎo)的行業(yè)計劃之上的一系列技術(shù)和解決方案。NAC使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施對試圖訪問網(wǎng)絡(luò)計算
NAC設(shè)計集成在網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中,因此是獨一無二的。那么,為何要在網(wǎng)絡(luò)上(而不是其他位置)實施策略符合性和驗證戰(zhàn)略呢?
1. 機構(gòu)感興趣或關(guān)心的每個比特的數(shù)據(jù)都通過網(wǎng)絡(luò)傳輸。
2. 機構(gòu)感興趣或關(guān)系的每個設(shè)備都與相同的網(wǎng)絡(luò)相連接。
3. 對網(wǎng)絡(luò)實施準(zhǔn)入控制使機構(gòu)能夠部署盡量廣泛的安全解決方案,包含盡可能多的網(wǎng)絡(luò)設(shè)備。
4. 這個戰(zhàn)略利用機構(gòu)的現(xiàn)有基礎(chǔ)設(shè)施、安全性和管理部署,因此最大限度地降低了IT開銷。
通過運行NAC,只要終端設(shè)備試圖連接網(wǎng)絡(luò),網(wǎng)絡(luò)訪問設(shè)備(LAN、WAN、無線或遠程訪問設(shè)備)都將自動申請已安裝的客戶端或評估工具提供終端設(shè)備的安全資料。隨后將這些資料信息與網(wǎng)絡(luò)安全策略進行比較,并根據(jù)設(shè)備對這個策略的符合水平來決定如何處理網(wǎng)絡(luò)訪問請求。網(wǎng)絡(luò)可以簡單地準(zhǔn)許或拒絕訪問,也可通過將設(shè)備重新定向到某個網(wǎng)段來限制網(wǎng)絡(luò)訪問,從而避免暴露給潛在的安全漏洞。此外,網(wǎng)絡(luò)還能隔離的設(shè)備,它將不符合策略的設(shè)備重新定向到修補服務(wù)器中,以便通過組件更新使設(shè)備達到策略符合水平。
NAC執(zhí)行的某些安全策略符合檢查包括:
判斷設(shè)備是否運行操作系統(tǒng)的授權(quán)版本。
通過檢查來查看操作系統(tǒng)是否安裝了適當(dāng)補丁,或完成了最新的熱修復(fù)。
判斷設(shè)備是否安裝了防病毒軟件以及是否帶有最新的系列簽名文件。
確保已打開并正在運行防病毒技術(shù)。
判斷是否已安裝并正確配置了個人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件。
檢查設(shè)備的企業(yè)鏡像是否已被修改或篡改。
NAC隨后根據(jù)上述問題的答案做出基于策略的明智的網(wǎng)絡(luò)準(zhǔn)入決策。
實施NAC解決方案的某些優(yōu)勢包括:
1. 幫助確保所有的用戶網(wǎng)絡(luò)設(shè)備都符合安全策略,從而大幅度提高網(wǎng)絡(luò)的安全性,不受規(guī)模和復(fù)雜性的影響。通過積極抵御蠕蟲、病毒、間諜軟件和惡意軟件的攻擊,機構(gòu)可將注意力放在主動防御上(而不是被動響應(yīng))。
2. 通過著名制造商的廣泛部署與集成來擴展現(xiàn)有思科網(wǎng)絡(luò)及防病毒、安全性和管理軟件的價值。
3. 檢測并控制試圖連接網(wǎng)絡(luò)的所有設(shè)備,不受其訪問方法的影響(如路由器、交換機、無線、VPN和撥號等),從而提高企業(yè)永續(xù)性和可擴展性。
4. 防止不符合策略和不可管理的終端設(shè)備影響網(wǎng)絡(luò)可用性或用戶生產(chǎn)率。
5. 降低與識別和修復(fù)不符合策略的、不可管理的和受感染的系統(tǒng)相關(guān)的運行成本。NAC實施選項
思科同時提供基于產(chǎn)品和架構(gòu)的NAC框架方法,以滿足任何機構(gòu)的功能和運行要求,無論是簡單的
NAC產(chǎn)品‘Cisco Clean Access’通過自帶的終端評估、策略管理和修補服務(wù)支持快速部署。此外,NAC框架還將智能網(wǎng)絡(luò)基礎(chǔ)設(shè)施與50多家著名防病毒產(chǎn)品制造商提供的解決方案以及其他安全和管理
NAC產(chǎn)品
通過Cisco Clean Access產(chǎn)品系列提供的NAC產(chǎn)品,利用自帶的終端評估、策略管理和修補服務(wù)支持快速部署。 這種可快速部署的“一體化解決方案”
Cisco Clean Access提供三種關(guān)鍵的保護功能:
在驗證授權(quán)點識別用戶、用戶設(shè)備及其在
使用掃描和分析技術(shù)評估終端的安全狀態(tài),或使用輕型代理進行更深入的狀態(tài)評估,以檢查安全漏洞。
通過阻止、隔離和修復(fù)不符合策略的終端等方法在網(wǎng)絡(luò)中執(zhí)行安全策略。
Cisco Clean Access還提供以下實施優(yōu)勢:
可擴展性—Cisco Clean Access可直接部署,用于滿足網(wǎng)絡(luò)準(zhǔn)入需求,同時設(shè)計并評估NAC框架,這是因為Cisco Clean Access組件可集成到更廣泛的NAC框架架構(gòu)中。
快速部署—Cisco Clean Access是現(xiàn)成的“緊縮型” 套裝解決方案,針對防病毒、防間諜軟件和Microsoft更新提供預(yù)裝支持。
靈活性—Cisco Clean Access支持運行多個桌面操作系統(tǒng)的混合網(wǎng)絡(luò)
最適合部署Cisco Clean Access的網(wǎng)絡(luò)包含以下特征:
非802.1x LAN 環(huán)境
無線、分支、遠程或簡單的LAN環(huán)境
集中的IT環(huán)境和管理
有不可管理的計算機需訪問網(wǎng)絡(luò)(如客人、承包商或
混合(多廠商)網(wǎng)絡(luò)基礎(chǔ)設(shè)施
NAC框架解決方案
NAC也可作為基于架構(gòu)的框架解決方案提供,能同時利用現(xiàn)有的思科網(wǎng)絡(luò)技術(shù)庫和其他制造商提供的安全性和管理解決方案部署。
NAC框架解決方案提供以下優(yōu)勢:
可評估使用所有訪問方法,包括LAN、無線、遠程訪問和WAN的所有終端,來進行全面
終端可視性和控制確保可管理的、不可管理的、訪客和惡意設(shè)備均符合企業(yè)安全策略
終端控制的全程支持可自動執(zhí)行終端的評估、驗證、授權(quán)和修補流程
將集中策略管理、智能網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)服務(wù)與幾十家著名防病毒、安全和管理
基于標(biāo)準(zhǔn)的、靈活的API允許多個第三方參與整體解決方案,從而支持豐富的合作伙伴和技術(shù)生態(tài)系統(tǒng)
最適合部署NAC框架的網(wǎng)絡(luò)包含以下特征:
大型企業(yè)部署
復(fù)雜的LAN/WAN/無線環(huán)境
完全或主要基于思科技術(shù)的LAN/WAN/無線基礎(chǔ)設(shè)施
與NAC合作伙伴安全和管理解決方案存在運行上的互操作性
已實施或計劃實施IP電話
已實施或計劃實施802.1X
投資保護
思科提供最全面的準(zhǔn)入控制產(chǎn)品和解決方案來滿足任何機構(gòu)的功能需求。鑒于許多機構(gòu)的需求都在不斷變化,因此,現(xiàn)在安裝的Cisco Clean Access產(chǎn)品組件可用于支持隨后的的NAC框架實施。
無論您決定使用哪種方法,思科NAC技術(shù)都能保護您在相應(yīng)網(wǎng)絡(luò)技術(shù)上的投資。同時,互操作性和功能兼容性可確保從Cisco Clean Access平穩(wěn)過渡到NAC框架技術(shù),以利用更多的優(yōu)勢和功能。
規(guī)劃、設(shè)計并部署有效的NAC解決方案
為了幫助確保成功部署思科NAC技術(shù),思科高級服務(wù)機構(gòu)提供以下需求分析、規(guī)劃、設(shè)計和實施服務(wù): 
NAC就緒評估—分析部署要求并評估網(wǎng)絡(luò)設(shè)備、運行和架構(gòu)是否為支持NAC準(zhǔn)備就緒。NAC有限部署—提供有限部署解決方案的安裝和配置服務(wù),允許您的工作人員測試NAC并獲得實踐經(jīng)驗。
NAC設(shè)計開發(fā)—幫助您的團隊制訂具體的設(shè)計方案,以便將NAC集成到您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。
NAC實
一旦NAC部署完畢,思科技術(shù)支持服務(wù)
我接下來應(yīng)開展哪些工作?
1. 即刻部署Cisco Clean Access。Cisco Clean Access使您能夠立刻獲得準(zhǔn)入
2. 決定您是否需要基于架構(gòu)的NAC框架解決方案。通過運行Cisco Clean Access,您可開始評估是否還需要滿足基于架構(gòu)的方法要求。當(dāng)您在選擇部署任何NAC解決方案時,必須考慮多個因素,包括作為部署目的地的網(wǎng)絡(luò)以及正在部署它的機構(gòu)類型等。
3. 考慮尋求某些幫助。思科高級服務(wù)機構(gòu)可幫您
4. 利用您的Cisco Clean Access投資。Cisco Clean Access組件可全面集成到NAC框架解決方案中。
NAC
NAC設(shè)備組件
Cisco Clean Access包含以下組件: 
Cisco Clean Access Server,評估設(shè)備并基于終端的策略符合情況授予訪問權(quán)限
Cisco Clean Access Manager,集中管理Cisco Clean Access解決方案,包括執(zhí)行策略和修補服務(wù)
Cisco Clean Access Agent,可選的免費
Cisco Clean Access通過以下技術(shù)支持無線訪問: 
所有的802.11 Wi-Fi接入點,包括Cisco Aironet接入點 
提供支持NAC的IEEE 802.1X請求系統(tǒng)的所有Wi-Fi客戶設(shè)備
NAC框架的組件
NAC框架提供以下技術(shù)支持: 
為園區(qū)LAN、WAN、VPN和無線接入點提供廣泛的網(wǎng)絡(luò)設(shè)備支持
連接第三方主機評估工具,用于評估無人值守的、“無代理的”和其他非響應(yīng)型設(shè)備,且能夠?qū)γ總€設(shè)備應(yīng)用不同的策略
為
通過遠遠超越防病毒和基本操作系統(tǒng)補丁的應(yīng)用和操作系統(tǒng)狀態(tài)檢查,來擴展多廠商集成功能
NAC框架得到以下技術(shù)的支持: 
思科路由器:Cisco 83x、18xx、28xx 和 38xx系列集成多業(yè)務(wù)路由器;1701、1711、1712、1721、1751、1751-V和1760模塊化接入路由器;2600XM、2691、3640 和 3660-ENT多業(yè)務(wù)接入路由器以及72xx 系列路由器
思科交換機:
- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720,安裝Cisco Catalyst OS 和 Cisco IOSreg; 軟件或者混合應(yīng)用(Supervisor Engine 32 和 720上支持Cisco IOS軟件)
- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE,安裝Cisco IOS軟件
- Cisco Catalyst 4948 和 4948-10GE
- Cisco Catalyst 3550、3560 和3750,安裝Cisco IOS IP Base和IP Services版本
- Cisco Catalyst 2940、2950、2955、2960、2970
思科無線接入點:Cisco Aironet接入點、連接思科無線局域網(wǎng)控制器的Cisco Aironet輕型接入點、Cisco Catalyst 6500系列無線局域網(wǎng)服務(wù)模塊(WLSM)、所有的Cisco Aironet、思科兼容產(chǎn)品、提供支持NAC的IEEE 802.1X請求系統(tǒng)的Wi-Fi客戶設(shè)備
Cisco VPN 3000系列集中器
思科可信代理
思科
第三方供應(yīng)商軟件
建議的組件:
– 思科安全代理
– 思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)(MARS)
– CiscoWorks安全和信息管理解決方案(SIMS)
