网络工程规划与设计案例教程项目三_任务四_Cisco_NAC_Appliance.doc

Cisco_NAC_Appliance 一、应用领域 病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益，并使机构损失大量的金钱、生产率和机会。与此同时，移动计算的普及进一步加剧了威胁的范围：移动用户能够从家里或公共热点连接互联网或办公室网络—而此举常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。 显然，仅凭传统的安全解决方案无法解决这些问题。思科系统公司开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案，以确保网络环境中的所有设备都符合安全策略。网络准入控制（NAC）允许您分析并控制试图访问网络的所有设备，通过确保每个终端设备都符合企业安全策略（例如运行最相关的、最先进的安全保护措施），机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划，NAC引起了媒体、分析公司及各规模机构的广泛关注。 二、设备特性 虽然大多数机构都使用身份管理及验证、授权和记帐（AAA）机制来验证用户并为其分配网络访问权限，但这些对验证用户终端设备的安全状况几乎不起任何作用。如果不通过准确方法来评估设备“状况”，即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备，将网络中所有用户暴露在巨大风险之中。 NAC是构建在思科系统公司?领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。实施NAC的客户能够仅允许遵守安全策略的可信终端设备（PC、服务器及PDA等）访问网络，并控制不符合策略或不可管理的设备访问网络。 通过运行NAC，只要终端设备试图连接网络，网络访问设备（LAN、WAN、无线或远程访问设备）都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问，从而避免暴露给潜在的安全漏洞。此外，网络还能隔离的设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使设备达到策略符合水平。 除了基本的身份验证以外，NAC还执行的某些安全策略符合检查包括： （1）判断设备是否运行操作系统的授权版本。 （2）通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。 （3）判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。 （4）确保已打开并正在运行防病毒技术。 （5）判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。 （6）检查设备的企业镜像是否已被修改或篡改。 NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。 图1 NAC工作过程 实施NAC解决方案的优势包括： （1）帮助确保所有的用户网络设备都符合安全策略，从而大幅度提高网络的安全性，不受规模和复杂性的影响。通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击，机构可将注意力放在主动防御上（而不是被动响应）。 （2）通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。 （3）检测并控制试图连接网络的所有设备，不受其访问方法的影响（如路由器、交换机、无线、VPN和拨号等），从而提高企业永续性和可扩展性。 （4）防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。 （5）降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。 三、架构组成 1、NAC设备组件 Cisco Clean Access包含以下组件： （1）Cisco Clean Access Server，评估设备并基于终端的策略符合情况授予访问权限 （2）Cisco Clean Access Manager，集中管理Cisco Clean Access解决方案，包括执行策略和修补服务 （3）Cisco Clean Access Agent，可选的免费软件，提供更严格的终端策略符合评估，并同时简化可管理与不可管理环境中的修补流程 （4）Cisco Clean Access通过以下技术支持无线访问： （5）所有的802.11 Wi-Fi接入点，包括Cisco Aironet接入点 （6）提供支持NAC的IEEE 802.1X请求系统的所有Wi-Fi客户设备 2、NAC框架的组件 NAC框架提供以下技术支持： （1）为园区LAN、WAN、VPN和无线接入点提供广泛的网络设备支持 （2）连接第三方主机评估工具，用于评估无人值守的、“无代理的”和其他非响应型设备，且能够对每个设备应用不同的策略 （3）为思科可信