51cto下载-思科ise技术建议书

51cto下载-思科ise技术建议书内容摘要：

Authorization(简称 CoA)，可以 重新进行端口授权或者拒绝该认证。 思科 ISE 提供了预配置设备类型库，同时也支持用户自定义各种类型的设备类型库。 下图是思科 ISE 预配置的主要的设备类型列表： . 终端 设备 健康状态 检查 思科 ISE 可以 利用终端服务功能模块，对终端设备 进行 健康状态 检查，以确保设备状态符合公司的安全策略，同时对不符合公司合规性要求的终端设备限制访问网络 ，甚至还可以提供修复的功能。 终端 设备健康状态 检查包括检查 设备运行的操作系统版本，最新防病毒或防恶意软件的特征库，必要的的话还可以包括是否安装了正确的 Agent 程序，要检查哪些项目， 都可以通过 ISE 管理员进行配置。 第 10 页 思科 ISE 通过 在客户端 安装 NAC Agent 插件 来对其进行健康状态评估，并提供对客户端 设备的修复功能。 在启用合规性与终端健康状态检查的场景中，客户端会自动下载并安装 NAC Agent 插件，检查内容包括文件、主机注册表、进程、应用程序和系统服务等。 NAC Agent 可以帮助完成防病毒和防恶意软件特征库的更新，发布文件到策略服务节点上，发布用于更新防病毒特征库的网站的链接。 NAC Agent 不需要手工下载和安装，而是通过用户在 HTTP 登录时推送给 客户 机 ，并在客户端 自动 安装到某个临时目录， 并在该目录下对客户端进行扫描，并将扫描结果报告给 ISE，然后在由 ISE 决定授权策略。 . 访客服务 和 BYOD 自助服务 思科 ISE 的访客服务功能，允许访客，参观人，合同员工，咨询人员或者用户通过 WEB 页面登录的方式接入到网络中。 ISE 管理员可以根据用户类型，角色和时间确定是否可以访问内网或者公网。 访问网络的策略和网段的 分配 ，可以通过网络接入设备（ NAD） 的 动态 VLAN 或 dACL 来进行控制。 ISE 访客服务 包含了以下三种角色 ：  访客 ：是指需要一个临时帐号访问网络的人员。  接待人 ： 是指 有创建临时网络访问帐号 权限 的 企业员工 ，例如公司前台接待人可以通过一个 Web 门户页面创建和管理访客的临时帐号。 在 ISE 中可以创建不同权限的接待人帐号，帐号信息可以来自本地数据库，或者外部的 LDAP 或 AD 数据源。  管理员 ： 是指 能够对 在 ISE 上对接待人权限 进行配置和管理的帐号。 思科 ISE 的接待人通过 Web 门户页面创建了访客临时帐号后，可以通过多种方式将帐号信息提供给访客，包括打印，邮件或短信等方式通知访客。 为访客创建帐号的过程，都 可以 被记录下来，用于日后的审计。 通过访客服务，可以大大降低企业 IT 第 11 页 人员的工作 负荷，同时对所有访客的访问记录都进行了审计。 当获得访问帐号的访客首次接入网络后，无论是通过有线还是无线的方式，都会被分配到一个 具有 很低访问权限的网段中。 ISE 通过 VLAN 或 dACL 对这个网段的访问权限进行控制， VLAN 或 dACL 会下发到网络 交换机或无线控制器 设备。 当访客认证成功后，访客就具备了在某个时间范围内访问 VLAN 或 dACL 设定的网络资源。 ISE 提供了以下的访客记录和报表：  概况表 ：在 ISE 主监控面板上，显示接入网络的活动的访客的概况。  访客行为报表 ： 监控已经通过认证的，已经连接到网络中的访客。 可以设置一个告警通知，当监控到有访客接入时，向管理员发出告警。  访客审计 ： 记录访客的详细的信息，如用户名， MAC 地址， IP 地址，登录时间和退出时间，以及总的接入网络的时间。  访客接待人 报表 ： 显示接待人创建的访客帐号的情况，以及通过自助服务方式登录到网络的访客的数量。 当企业员工携带自己的设备 BYOD 访问网络时， ISE 提供了 BYOD 设备的自注册服务， 当用户 BYOD 连接到无线网络时，会被重定向到注册的门户网站，然后用户输入相应的 MAC 地址（见下图）。 每个用户最多可以注 册 5 个 BYOD 设备。 . 安全组访问 策略 思科 ISE 支持安全组访问 Secure Group Access（简称 SGA）控制功能，用来对接入网络的用户或终端设备进行访问授权。 SGA 利用终端设备在通过认证时的身份信息，创建一条 在 数据 报文中 添加一个安全访问标签 (SGT)的授权策略 ， 思科 ISE 通过安全组访问控制列表 (SGACL)，根据 SGT 作为判定条件 并 创建授权策略。 如下图所示， 医生和 IT 管理员接入网络后，分别分配了 SGT=6 和 SGT=10 的标 第 12 页 签，根据 SGACL 列表中分配的访问权限，医生可以访问敏感信息服务器，但是禁止访问 IT 服务器，而 IT 管理员运行访问 IT 服务器，但是禁止访问敏感信息服务器。 通过安全组访问控制列表，所有的访问控制策略，都是基于安全分组标签来分配权限，独立于网络拓扑。 相比较传统的 基于 IP 地址和端口的 访问控制列表， 安全组访问控制的优势在于， 终端设备接入网络时，就由 ISE 通过授权策略分配了安全标签，从而也确定了其访问权限，即使网络拓扑发生改变，对终端设备的 访问权限和安全策略都没有影响。 . MACSec 加密 思科 ISE 支持基于 标准 的 MACSec 加密 功能， 即在媒体访问控制层提供数据加密， 能够提供从客户端到网络设备，以及网络设备之间的数据以密文 方式 进行传输， 实现了等同于无线或 VPN 接入 的 数据 加密， 解决了有线用户局域网接入的数据 传输 安全的问题。 要实现 MACSec 加密 的数据传输 ， 需要客户端和网络设备支持 MACSec 的加密功能，数据报文是以 密文 方式 在网络中传输 的 ，交换机在入接口对数据解密，在出接口为数据加密，在交换机内部仍然可 以应用各种访问控制策略。 思科 ISE 可以根据通 第 13 页 过认证的用户或终端设备，在授权策略中确定是否启用 MACSec 加密策略。 . 集中 式 管理 思科 ISE 的每个节点都可以同时运行所有的角色或服务。 用户可以根据需要采用分布式或者集中式部署，甚至两者混合部署以满足用户的网络架构和执行策略 的需求。 思科 ISE 的管理员能够通过用户界面集中进行网络身份的管理，分配不同的管理员角色和权限，赋予不同的管理任务，包括：  用户角色和 分配 任务的数据库  集中式的管理工作区  网络监控与安全状况概览  复杂数据的直观可视化 ISE 提供全面的的报表 ，能够显示认证、授权、审计、终端检查、探测、访客管理等详细的当前和历史信息。 ISE 提供了 API 接口 给用户 做 二次开发 ， 可以直接查询 ISE 的 数据 ，从而可以将ISE 的数据与 用户的外部 报表系统整合在一起。 第 14 页 3. 思科 ISE 解决方案 . 部署架构 通过思科 ISE 身份服务引擎，实现网络访问的认证、授权和审计等功能，可以参照以下的网络拓扑图进行搭建和部署。 ISE 典型部署架构 . 组件描述 思科 ISE包含了四个组件： 管理节点 Administration)， 策略服务节点 Policy Service，在线策略执行 Inline Posture 和 报表与监控节点 Monitoring and Troubleshooting，这些组件也可以称为 ISE 的 角色，每个角色提供不同的服务，每个部署节点可以承担一个或多个角色的功能。 ISE 支持高可用性和可扩展性的架构，支持独立部署，集中式部署和分布式部署。 在分布式部署环境中，可以有一个主节点 ，多个备 节点，其中 每个角色都可以采用高可用性的部署。 典型的高可用性部署中， 主节点和备节点 和都 可以运行在不同的物理设备或者虚拟设备上。  管理节点 ： 包含所有系统相关 的配置，以及功能相关配置，如认证，授权和审计等。 Administration 节点整合了传统的思科 NAC Manager 的功能，以及 ACS功能以及 ACS 视图功能。 第 15 页  策略服务 节点 ：提供了网络访问控制，终端状态，访客服务，以及设备识别服务。 该组件可以依据配置的策略，进行评估并作出判定决策。 部署中可以有多种高可用性的部署选项。 策略服务 将思科 NAC Server， NAC Guest Server，Cisco NAC Profiler 和 ACS 的功能整和 到一个组件上。  在线策略执行 节点 ：是部署在网络接入设备后面的策略执行节点，比如部署在VPN 网关的后面。 该角色仅仅在网络设备不支持 Radius 的一些控制功能 ， 如CoA 时，才 需要部署。 在线策略执行 是在用户已经通过认证和授权后，应用访问策略，并 且处理网络设备不支持 CoA 的情况下的请求。 ISE 支持 同时 部署两个 在线策略 节点，配置为 ActiveStandby 的高可用部署模式。  监控与排错 节点 ： 将所有 Administration 节点和 Inline Posture 策略执行节点 的日志信息进行收集和存储。 该角色提供了高级的监控和故障排除工具，可以有效地管理网络和资源。 该节点还还对相关数据进行整理，通过各种形式的报表呈现出来。 ISE 支持将两个监控和排错 节点以高可用性方式部署，两个节点同时收集 日志信息，如果主用节点出现故障，那么备用节点会自动接管，成为主用 节点。 . ISE 工作流程 在思科可信网络架构中， 所有接入网络的用户或者终端设备，包括有线 接入 、无线 接入 或者远程 访问 VPN 等方式，都是 由交换机或者无线控制器作为认证者的角色，思科 ISE 作为认证服务器的角色， 提供 认证、授权和审计的 功能。  认证 策略 o 第 16 页 对于支持 认证的客户端，如 Windows 客户端， MacBook 客户端，甚至移动终端设备如 iPad 等，在接入有线或无线网络时，可以交换机端口上启用 认证， 或者 在无线控制器上启用 认证，思科 ISE 作为 Radius 服务器 ，对有线或无线的 客户端进行认证。 o MAB 对于不支持 认证的终端设备，如打印机、 IP 话机、 IP 摄像头等 不支持交互式认证的 设备， 在接入有线或无线网络时， 可以在交换机端口或无线控制器启用 MAB（ MAC Authentication Bypass）方式进行认证 ，思科 ISE 作为 Radius 服务器的 ，完成对这类终端设备的 MAB 认证。 o WebAuth 对于 未安装 认证客户端 的终端设备 ，如 Windows 平台 ，MacBook 平台等 ，在接入有线或无线网络时，。