思科身份服务引擎低影响模式-Cisco.PDF

思科身份服务引擎低影响模式 安全访问操作指南系列 日期：2012 年8 月 作者：Adrianne Wang 安全访问操作指南 目录 低影响模式 3 低影响模式概述 3 在部署之前了解流程 4 有线访问 4 低影响模式的部署 5 为其他网络设备（思科无线接入点）创建授权规则 5 为Windows 计算机身份验证创建授权规则 9 为域计算机创建授权配置文件 10 为通过身份验证的用户创建授权规则 13 无线接入 14 无线接入详细说明 15 分支机构中的无线网络 16 网络身份验证 16 思科ISE 配置– 配置Web 身份验证 17 访客访问 18 思科ISE 配置– 配置访客授权 18 思科ISE 配置– 访客帐户创建 20 将默认授权更改为WebAuth 和测试 21 配置思科ISE 的无线访客访问 24 转至低影响模式 26 更改默认端口ACL 27 检查其他用户信息 27 思科ISE 配置– 特定访问的连续配置 29 调整域计算机授权 30 附录A ：参考 34 Cisco TrustSec 系统： 34 设备配置指南： 34 © 2015 思科系统公司 第2 页 安全访问操作指南 低影响模式 低影响模式概述 与监控模式相比，低影响模式通过在启用TrustSec 的开放访问端口上配置入口端口ACL ，可逐步提 高网络的安全级别。利用此模式，可为访客、承包商和未经身份验证的主机提供基本连接，同时选 择性地限制访问权限，从而引入更高的安全级别。此模式通过将可下载访问控制列表(dACL) 与启用 TrustSec 的端口结合（使用802.1X、MAC 身份验证绕行[MAB] 和/或Web 身份验证），实现基于成 功身份验证和授权的访问权限区分。 在低影响模式下，我们通过如下方式为我们在监控模式下构建的框架添加安全功能：对交换机端口 应用ACL ，从而在身份验证之前只允许非常有限的网络访问。用户或设备成功通过身份验证之后， 会获得完整的网络访问权限。 图1. 低影响模式端口行为 例如，此功能可用于使所有连接至网络的设备都能够使用DHCP 和DNS 连接至互联网，同时阻止其 对内部资源的访问。连接至启用此模式的交换机端口的设备在通过身份验证后，会应用允许所有流 量的可下载ACL 。 此模式持续地在交换机端口上使用开放式身份验证，同时为非身份验证设备提供可靠的安全级别。 但是，由于无论设备的身份验证状态如何，始终会有有限的流量通过，而且此模式支持进行 “常 规”IT 操作活动（如利用预启动执行环境[PXE] 解决方案再次对工作站进行映像操作），因此成为 当今企业的理想务实之选。 我们将遵循与无线接入类似的流程，使用有效凭证进行无线网络身份验证的用户或设备会获取完整 网络访问授权，应通过其他安全功能以及基于用户或设备角色的特定访问权限限制访问权限。 © 2015 思科系统公司