cisco资格认证思科nac架构不简单.docxVIP

Cisco资格认证：思科NAC架构不简单 什么是 Cisco NAC Framework 的组件 ? Cisco 的 NAC Framework 试图解决一个复杂的问题，因此它必然也是一个复杂的解决方 案。充分实施 NAC Framework 并不是一个简单的任务，因为整个架构中有太多来自 Cisco 和 其它厂商的不同组件了，比如架构中包含了 NAC策略管理器，多网络系统，认证服务器，补 丁修补服务器，以及第三方安全软件验证服务器等。图 A显示了整个框架的组件工作方式： 图A NAC架构工作方式 关于 Cisco NAC Framework 不论是对于安全管理人员还是网络管理人员来说，让上图中的所有组件都和谐的工作， 确实不是一件易事。不过没关系，思科的 NAC架构已经被大多数主流终端安全公司，安全接 入网关以及补丁修复服务器所支持。 Cisco NAC Framework 如何工作 说了这么多， Cisco NAC Framework 到底能做什么呢？以下是它的工作内容： 如果一台PC试图接入网络，首先必须经过验证，并且审核它的策略是否与规定相符。 PC试图登录的行为会触发 NAM程。 PC 主机运行思科可信代理 Cisco Trust Agent (CTA). 网络接入设备 Network Access Device (NAD) 即以太网交换机试图建立到 PC机的连 接。 可扩展认证协议 Extensible Authentication Protocol (EAP)启用，PC电脑上的凭据 被发送到思科安全接入控制服务器上 Cisco Secure Access Control Server (ACS) 。 直到这整个过程完成， PC主机(潜在的不良终端)只是将来自可信代理 Cisco Trust Age nt的凭证发送到了网络上。PC机本身还不能与网络进行通信。 可信代理Cisco Trust Agent是通过一个安全通道传达凭证的，因此 NAD看不到它们。 安全接入控制服务器 ACSServer 可以将凭证传递给其它的服务器。 比如， 现在大部分 此类凭证都会发送给 Win dows AD服务器。当然，凭证也会发送给其它服务器，比如 LDAP或 一次性密码服务器。 根据一个或多个验证服务器反馈的信息， ACS 服务器可以允许，拒绝或者隔离请求接 入网络的PG另外，ACS服务器可以设定不同的网络接入等级。 在校验安全策略一致性方面， Cisco NAC Framework 采用的是网络和基于代理的扫描 方式。 Cisco NAC Framework 可以实施针对各类设备的一致性检测。 Cisco NACFramework 可以通知用户的连接状态，如果其中出现任何问题，它可以通 过升级PC机的补丁，防火墙或其它设置等方式纠正所出现的问题。 另外，也可以通过弹出窗 口或类似功能通知 PC机是否获得了网络访问权。 比如用户可能会看到一个弹出窗口， 其中标 注为： 由于你的电脑缺少必要的升级补丁，因此没有获得网络访问权限。为了获得网络访 问权限，请先访问以下地址［URL］获取电脑升级补丁。 ”图B可以帮助我们更好的理解这个过 程： 图 B 连接过程 可能你注意到了， 通常都是使用 802.1X 网络验证协议来验证试图接入网络的设备。 因此 NAD连接的交换机必须支持 802.1X，否则该设备在验证和扫描前无法真正被隔离。 Cisco NAC Framework 的组件都是什么 ? NAC框架的组件。以下就是组件和他 NAC框架的组件。以下就是组件和他 们的功能介绍 : 属性集 Posture: 这是试图接入网络的电脑所拥有的一系列凭证和属性的集合。 包含了 用户电脑的状态或健康程度，以及电脑上安装的程序信息。 思科可信代理 Cisco Trusted Agent: Cisco Trusted Agent (CTA) 是 Cisco NAC Framework的一个内部组件。 CTA也被称作 posture 代理。Cisco Trusted Age nt 其实是一 个软件客户端，主要作用就是收集来自终端设备 (NAD上所安装的安全软件发来的状态信息。 另外，它还会将接收到的 posture (或者其它接收到的信息)传送给 Cisco ACS Policy Server 。 这里需要提一下， Cisco Trusted Age nt 只能与那些 Cisco合作伙伴出品的 NAC设备进 行通信。目前市场上大概有 50个厂商支持NAC包括一线的补丁管理厂商，客户端安全产品 厂商以及反病毒软件厂商。 网络接入设备 Network Access Devices (NAD): NAD简单来讲就是 PC机所连接的交换 机。当然，它也有可能是