思科ISE技术建议书.docxVIP

思科可信网络架构ISE解决方案建议书V1.0思科系统网络技术有限公司2012.5目录1.概述31.1.背景与挑战31.2.思科ISE功能简介41.3.思科ISE优势52.思科可信网络架构72.1.身份和访问策略控制72.2.认证和授权策略72.3.终端设备类型的识别82.4.终端设备健康状态检查92.5.访客服务和BYOD自助服务102.6.安全组访问策略112.7.MACSec加密122.8.集中管理133.思科ISE解决方案143.1.部署架构143.2.组件描述143.3.ISE工作流程153.4.小型网络部署163.5.中型网络部署173.6.大型网络部署184.分阶段部署204.1.监控模式204.2.低影响模式214.3.高安全模式225.思科ISE应用场景235.1.场景一235.2.场景二245.3.场景三255.4.场景四266.附录286.1.ISE功能特性286.2.ISE设备型号与规格296.3.网络设备的功能特性30概述背景与挑战随着网络技术的不断发展，企业网络的访问和接入方式呈现多样化的趋势，包括无线、有线以及远程接入VPN等方式，得到了越来越多的应用。在企业网络中，访问网络的终端设备种类越来越多，从传统的PC机，到IP话机，IP摄像头，打印机、传真机，尤其是随着移动终端设备，如各种智能手机，功能和性能不断提升，已经从原来的从可有可无，演变成为移动办公的重要工具，而且很多都是使用企业员工自带设备BYOD做办公使用。此外，随着企业开始重视自身的敏感数据和信息的安全性，严格控制对敏感信息和重要数据的访问权限，对网络的使用者，包括公司员工、合作伙伴或者临时访客，都需要依据其身份进行访问权限的分配。从上图可以看出，如今的企业网络比以往任何时候都更加多样化，体现在以下几个方面：网络接入方式的多样化接入设备类型的多样化访问人员身份的多样化随着网络访问方式的多样化和终端设备的多样化，出现安全漏洞和新的运营挑战的可能性也在增加，主要包括以下几个方面：用户的授权访问如何对网络访问进行权限控制如何管理由于BYOD等智能终端接入网络带来的风险如何为在办公室、家里或外面等不同地点进行不同的访问授权如何保证网络接入设备本身符合安全要求访客的访问如何限定访客的访问权限如何管理访客的网络接入访客的网络接入方式是有线还是无线如何对访客的访问进行监控无人终端的访问如何发现和识别无人值守终端设备如何判断终端设备的类型如何对终端设备的访问进行控制如何发现终端设备被仿冒因此，维护网络安全和提高运营效率需要新的解决方案，这些方案应该能够有效地执行包括无线、有线以及远程接入等网络访问的策略和授权、审核网络使用情况、监控企业的合规性并全面了解整个网络中的活动状况。思科ISE功能简介思科Identity Services Engine（简称ISE）身份服务引擎是思科可信网络架构TrustSec? 解决方案和 SecureX架构的不可或缺的组成部分。思科ISE身份服务引擎作为下一代身份和访问控制策略平台，可以帮助企业执行策略规定、加强基础设施安全并简化服务操作。思科ISE的独特架构可帮助企业从网络、用户和设备收集实时信息，通过在有线、无线和远程网络访问等多种情景下，实施访问控制策略，并以此制定出有效的管理决策。思科身份服务引擎提供了一个非常强大而灵活的，基于策略的访问控制解决方案。它在同一平台上集成了身份验证、授权和升级的功能，同时提供终端状态、分析和访客管理服务等功能。这样极大地降低了复杂性，实现了整个企业网络安全策略的一致性。借助于思科ISE，管理员可以以统一的方式集中创建和管理用户和终端设备的访问控制策略，并获得接入网络的所有设备的端到端可见性。思科ISE身份服务引擎实现了以下功能特性：企业能够针对对有线、无线和 远程接入VPN的用户和各种终端设备，在企业内部以统一的策略进行身份验证和授权。阻止未授权的网络访问，保护企业敏感数据和信息。通过由接待人为临时访客进行授权，提供完整的访客生命周期管理，从而降低IT工作量，提供安全审计记录。提供可定制门户网站及网页托管，简化业务定义工作流程，提升整体的用户访问体验。通过自动发现、分类和控制连接至网络的终端设备，并依据设备类型为每台终端设备提供相应的服务，从而提供全面的网络可视性。通过定期评估和修复来解决用户设备上的漏洞，帮助提前消除病毒、蠕虫和间谍软件等网络威胁。无需管理员操作，能够通过阻止、隔离和在隔离区域内修复不合规设备来实施安全策略。提供了一个内置的监控、报告和故障排除控制台，协助技术支持人员和管理员的操作排除故障。使用主动终端设备扫描，使得在识别网络设备时获得更精细的数据。通过对指定的终端设备进行具体设备属性扫描来增加基于网络的设备识别，从而更准确、更全面地了解网络状况。通过终端保护服务来管理