網(wǎng)絡(luò)準(zhǔn)入控制—保護(hù)網(wǎng)絡(luò)安全

1、病毒、蠕蟲(chóng)和間諜軟件等新興網(wǎng)絡(luò)安全威脅繼續(xù)損害客戶(hù)利益并使機(jī)構(gòu)損失大量的金錢(qián)、生產(chǎn)率和機(jī)會(huì)。與此同時(shí)，移動(dòng)計(jì)算的普及進(jìn)一步加劇了威脅。移動(dòng)用戶(hù)能夠從家里或公共熱點(diǎn)連接互聯(lián)網(wǎng)或辦公室網(wǎng)絡(luò) 常在無(wú)意中輕易地感染病毒并將其帶進(jìn)企業(yè)環(huán)境，進(jìn)而感染網(wǎng)絡(luò)。網(wǎng)絡(luò)準(zhǔn)入控制(NAC) 進(jìn)行了專(zhuān)門(mén)設(shè)計(jì)，可確保為訪問(wèn)網(wǎng)絡(luò)資源的所有終端設(shè)備(如PC、筆記本電腦、服務(wù)器、智能電話(huà)或PDA等)提供足夠保護(hù)，以防御網(wǎng)絡(luò)安全威脅。作為著名防病毒、安全性和管理產(chǎn)品制造商共同參與的市場(chǎng)領(lǐng)先的計(jì)劃，NAC引起了媒體、分析公司及各規(guī)模機(jī)構(gòu)的廣泛關(guān)注。本文將解釋作為基于策略的安全戰(zhàn)略的一部分，NAC將發(fā)揮怎樣的關(guān)鍵作用，同時(shí)描述并定義

2、可用的NAC方法。NAC的優(yōu)勢(shì)據(jù)2005 CSI/FBI安全報(bào)告稱(chēng)，雖然安全技術(shù)多年來(lái)一直在發(fā)展且安全技術(shù)的實(shí)施更是耗資數(shù)百萬(wàn)美元，但病毒、蠕蟲(chóng)、間諜軟件和其他形式的惡意軟件仍然是各機(jī)構(gòu)現(xiàn)在面臨的主要問(wèn)題。機(jī)構(gòu)每年遭遇的大量安全事故造成系統(tǒng)中斷、收入損失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問(wèn)題，給機(jī)構(gòu)帶來(lái)了巨大的經(jīng)濟(jì)影響。顯然，僅憑傳統(tǒng)的安全解決方案無(wú)法解決這些問(wèn)題。思科系統(tǒng)公司 開(kāi)發(fā)出了將領(lǐng)先的防病毒、安全和管理解決方案結(jié)合在一起的全面的安全解決方案，以確保網(wǎng)絡(luò)環(huán)境中的所有設(shè)備都符合安全策略。NAC允許您分析并控制試圖訪問(wèn)網(wǎng)絡(luò)的所有設(shè)備。通過(guò)確保每個(gè)終端設(shè)備都符合企業(yè)安全策略(例如運(yùn)行最相關(guān)的、

3、最先進(jìn)的安全保護(hù)措施)，機(jī)構(gòu)可大幅度減少甚至是消除作為常見(jiàn)感染源或危害網(wǎng)絡(luò)的終端設(shè)備的數(shù)量。大幅度提高網(wǎng)絡(luò)安全性雖然大多數(shù)機(jī)構(gòu)都使用身份管理及驗(yàn)證、授權(quán)和記帳(AAA) 機(jī)制來(lái)驗(yàn)證用戶(hù)并為其分配網(wǎng)絡(luò)訪問(wèn)權(quán)限，但這些對(duì)驗(yàn)證用戶(hù)終端設(shè)備的安全狀況幾乎不起任何作用。如果不通過(guò)準(zhǔn)確方法來(lái)評(píng)估設(shè)備狀況，即便是最值得信賴(lài)的用戶(hù)也有可能在無(wú)意間通過(guò)受感染的設(shè)備或未得到適當(dāng)保護(hù)的設(shè)備，將網(wǎng)絡(luò)中所有用戶(hù)暴露在巨大風(fēng)險(xiǎn)之中。 NAC是構(gòu)建在思科系統(tǒng)公司領(lǐng)導(dǎo)的行業(yè)計(jì)劃之上的一系列技術(shù)和解決方案。NAC使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)試圖訪問(wèn)網(wǎng)絡(luò)計(jì)算資源的所有設(shè)備執(zhí)行安全策略檢查，從而限制病毒、蠕蟲(chóng)和間諜軟件等新興安全威脅損害網(wǎng)絡(luò)

4、安全性。實(shí)施NAC的客戶(hù)能夠僅允許遵守安全策略的可信終端設(shè)備(PC、服務(wù)器及PDA等)訪問(wèn)網(wǎng)絡(luò)，并控制不符合策略或不可管理的設(shè)備訪問(wèn)網(wǎng)絡(luò)。NAC設(shè)計(jì)集成在網(wǎng)絡(luò)基礎(chǔ)設(shè)施之中，因此是獨(dú)一無(wú)二的。那么，為何要在網(wǎng)絡(luò)上（而不是其他位置）實(shí)施策略符合性和驗(yàn)證戰(zhàn)略呢？1. 機(jī)構(gòu)感興趣或關(guān)心的每個(gè)比特的數(shù)據(jù)都通過(guò)網(wǎng)絡(luò)傳輸。2. 機(jī)構(gòu)感興趣或關(guān)系的每個(gè)設(shè)備都與相同的網(wǎng)絡(luò)相連接。3. 對(duì)網(wǎng)絡(luò)實(shí)施準(zhǔn)入控制使機(jī)構(gòu)能夠部署盡量廣泛的安全解決方案，包含盡可能多的網(wǎng)絡(luò)設(shè)備。4. 這個(gè)戰(zhàn)略利用機(jī)構(gòu)的現(xiàn)有基礎(chǔ)設(shè)施、安全性和管理部署，因此最大限度地降低了IT開(kāi)銷(xiāo)。通過(guò)運(yùn)行NAC，只要終端設(shè)備試圖連接網(wǎng)絡(luò)，網(wǎng)絡(luò)訪問(wèn)設(shè)備(LAN、

5、WAN、無(wú)線或遠(yuǎn)程訪問(wèn)設(shè)備)都將自動(dòng)申請(qǐng)已安裝的客戶(hù)端或評(píng)估工具提供終端設(shè)備的安全資料。隨后將這些資料信息與網(wǎng)絡(luò)安全策略進(jìn)行比較，并根據(jù)設(shè)備對(duì)這個(gè)策略的符合水平來(lái)決定如何處理網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。網(wǎng)絡(luò)可以簡(jiǎn)單地準(zhǔn)許或拒絕訪問(wèn)，也可通過(guò)將設(shè)備重新定向到某個(gè)網(wǎng)段來(lái)限制網(wǎng)絡(luò)訪問(wèn)，從而避免暴露給潛在的安全漏洞。此外，網(wǎng)絡(luò)還能隔離的設(shè)備，它將不符合策略的設(shè)備重新定向到修補(bǔ)服務(wù)器中，以便通過(guò)組件更新使設(shè)備達(dá)到策略符合水平。NAC執(zhí)行的某些安全策略符合檢查包括： 判斷設(shè)備是否運(yùn)行操作系統(tǒng)的授權(quán)版本。 通過(guò)檢查來(lái)查看操作系統(tǒng)是否安裝了適當(dāng)補(bǔ)丁，或完成了最新的熱修復(fù)。 判斷設(shè)備是否安裝了防病毒軟件以及是否帶有最新的系列

6、簽名文件。 確保已打開(kāi)并正在運(yùn)行防病毒技術(shù)。 判斷是否已安裝并正確配置了個(gè)人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件。 檢查設(shè)備的企業(yè)鏡像是否已被修改或篡改。NAC隨后根據(jù)上述問(wèn)題的答案做出基于策略的明智的網(wǎng)絡(luò)準(zhǔn)入決策。實(shí)施NAC解決方案的某些優(yōu)勢(shì)包括：1. 幫助確保所有的用戶(hù)網(wǎng)絡(luò)設(shè)備都符合安全策略，從而大幅度提高網(wǎng)絡(luò)的安全性，不受規(guī)模和復(fù)雜性的影響。通過(guò)積極抵御蠕蟲(chóng)、病毒、間諜軟件和惡意軟件的攻擊，機(jī)構(gòu)可將注意力放在主動(dòng)防御上（而不是被動(dòng)響應(yīng)）。2. 通過(guò)著名制造商的廣泛部署與集成來(lái)擴(kuò)展現(xiàn)有思科網(wǎng)絡(luò)及防病毒、安全性和管理軟件的價(jià)值。3. 檢測(cè)并控制試圖連接網(wǎng)絡(luò)的所有設(shè)備，不受其訪問(wèn)方法的影響(

7、如路由器、交換機(jī)、無(wú)線、VPN和撥號(hào)等)，從而提高企業(yè)永續(xù)性和可擴(kuò)展性。4. 防止不符合策略和不可管理的終端設(shè)備影響網(wǎng)絡(luò)可用性或用戶(hù)生產(chǎn)率。5. 降低與識(shí)別和修復(fù)不符合策略的、不可管理的和受感染的系統(tǒng)相關(guān)的運(yùn)行成本。NAC實(shí)施選項(xiàng)思科同時(shí)提供基于產(chǎn)品和架構(gòu)的NAC框架方法，以滿(mǎn)足任何機(jī)構(gòu)的功能和運(yùn)行要求，無(wú)論是簡(jiǎn)單的安全策略要求，還是涉及到大量安全供應(yīng)商的、與企業(yè)桌面系統(tǒng)管理解決方案相關(guān)的、復(fù)雜的安全實(shí)施要求。NAC產(chǎn)品Cisco Clean Access通過(guò)自帶的終端評(píng)估、策略管理和修補(bǔ)服務(wù)支持快速部署。此外，NAC框架還將智能網(wǎng)絡(luò)基礎(chǔ)設(shè)施與50多家著名防病毒產(chǎn)品制造商提供的解決方案以及其他

8、安全和管理軟件解決方案集成在一起。NAC產(chǎn)品通過(guò)Cisco Clean Access產(chǎn)品系列提供的NAC產(chǎn)品，利用自帶的終端評(píng)估、策略管理和修補(bǔ)服務(wù)支持快速部署。 這種可快速部署的“一體化解決方案”技術(shù)可自動(dòng)檢測(cè)、隔離并清潔試圖訪問(wèn)網(wǎng)絡(luò)的已感染終端或易受攻擊的有線或無(wú)線終端。Cisco Clean Access提供三種關(guān)鍵的保護(hù)功能： 在驗(yàn)證授權(quán)點(diǎn)識(shí)別用戶(hù)、用戶(hù)設(shè)備及其在網(wǎng)絡(luò)中的作用。 使用掃描和分析技術(shù)評(píng)估終端的安全狀態(tài)，或使用輕型代理進(jìn)行更深入的狀態(tài)評(píng)估，以檢查安全漏洞。 通過(guò)阻止、隔離和修復(fù)不符合策略的終端等方法在網(wǎng)絡(luò)中執(zhí)行安全策略。Cisco Clean Access還提供以下實(shí)施優(yōu)勢(shì)

9、： 可擴(kuò)展性Cisco Clean Access可直接部署，用于滿(mǎn)足網(wǎng)絡(luò)準(zhǔn)入需求，同時(shí)設(shè)計(jì)并評(píng)估NAC框架，這是因?yàn)镃isco Clean Access組件可集成到更廣泛的NAC框架架構(gòu)中。 快速部署Cisco Clean Access是現(xiàn)成的“緊縮型” 套裝解決方案，針對(duì)防病毒、防間諜軟件和Microsoft更新提供預(yù)裝支持。 靈活性Cisco Clean Access支持運(yùn)行多個(gè)桌面操作系統(tǒng)的混合網(wǎng)絡(luò)基礎(chǔ)設(shè)施。最適合部署Cisco Clean Access的網(wǎng)絡(luò)包含以下特征： 非802.1x LAN 環(huán)境 無(wú)線、分支、遠(yuǎn)程或簡(jiǎn)單的LAN環(huán)境 集中的IT環(huán)境和管理 有不可管理的計(jì)算機(jī)需訪問(wèn)網(wǎng)

10、絡(luò)(如客人、承包商或?qū)W生) 混合(多廠商)網(wǎng)絡(luò)基礎(chǔ)設(shè)施NAC框架解決方案NAC也可作為基于架構(gòu)的框架解決方案提供，能同時(shí)利用現(xiàn)有的思科網(wǎng)絡(luò)技術(shù)庫(kù)和其他制造商提供的安全性和管理解決方案部署。NAC框架解決方案提供以下優(yōu)勢(shì)： 可評(píng)估使用所有訪問(wèn)方法，包括LAN、無(wú)線、遠(yuǎn)程訪問(wèn)和WAN的所有終端，來(lái)進(jìn)行全面控制 終端可視性和控制確?？晒芾淼?、不可管理的、訪客和惡意設(shè)備均符合企業(yè)安全策略 終端控制的全程支持可自動(dòng)執(zhí)行終端的評(píng)估、驗(yàn)證、授權(quán)和修補(bǔ)流程 將集中策略管理、智能網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)服務(wù)與幾十家著名防病毒、安全和管理供應(yīng)商提供的解決方案結(jié)合在一起，以提供精確的準(zhǔn)入控制管理 基于標(biāo)準(zhǔn)的、靈活的API允許

11、多個(gè)第三方參與整體解決方案，從而支持豐富的合作伙伴和技術(shù)生態(tài)系統(tǒng)最適合部署NAC框架的網(wǎng)絡(luò)包含以下特征： 大型企業(yè)部署 復(fù)雜的LAN/WAN/無(wú)線環(huán)境 完全或主要基于思科技術(shù)的LAN/WAN/無(wú)線基礎(chǔ)設(shè)施 與NAC合作伙伴安全和管理解決方案存在運(yùn)行上的互操作性 已實(shí)施或計(jì)劃實(shí)施IP電話(huà) 已實(shí)施或計(jì)劃實(shí)施802.1X 投資保護(hù)思科提供最全面的準(zhǔn)入控制產(chǎn)品和解決方案來(lái)滿(mǎn)足任何機(jī)構(gòu)的功能需求。鑒于許多機(jī)構(gòu)的需求都在不斷變化，因此，現(xiàn)在安裝的Cisco Clean Access產(chǎn)品組件可用于支持隨后的的NAC框架實(shí)施。無(wú)論您決定使用哪種方法，思科NAC技術(shù)都能保護(hù)您在相應(yīng)網(wǎng)絡(luò)技術(shù)上的投資。同時(shí)，互操作

12、性和功能兼容性可確保從Cisco Clean Access平穩(wěn)過(guò)渡到NAC框架技術(shù)，以利用更多的優(yōu)勢(shì)和功能。規(guī)劃、設(shè)計(jì)并部署有效的NAC解決方案為了幫助確保成功部署思科NAC技術(shù)，思科高級(jí)服務(wù)機(jī)構(gòu)提供以下需求分析、規(guī)劃、設(shè)計(jì)和實(shí)施服務(wù)： NAC就緒評(píng)估分析部署要求并評(píng)估網(wǎng)絡(luò)設(shè)備、運(yùn)行和架構(gòu)是否為支持NAC準(zhǔn)備就緒。 NAC有限部署提供有限部署解決方案的安裝和配置服務(wù)，允許您的工作人員測(cè)試NAC并獲得實(shí)踐經(jīng)驗(yàn)。 NAC設(shè)計(jì)開(kāi)發(fā)幫助您的團(tuán)隊(duì)制訂具體的設(shè)計(jì)方案，以便將NAC集成到您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。 NAC實(shí)施工程支持您的團(tuán)隊(duì)制訂具體的安裝、配置、集成和管理方案，并提供現(xiàn)場(chǎng)安裝、配置和測(cè)試服務(wù)，以幫

13、助確保將部署平穩(wěn)地集成到您的生產(chǎn)環(huán)境中，從而實(shí)現(xiàn)全面實(shí)施。一旦NAC部署完畢，思科技術(shù)支持服務(wù)機(jī)構(gòu)便與您的內(nèi)部工作人員一起工作，以確保思科產(chǎn)品的高效運(yùn)行、持續(xù)提供高可用性、以及安裝最新的系統(tǒng)軟件。我接下來(lái)應(yīng)開(kāi)展哪些工作？1. 即刻部署Cisco Clean Access。Cisco Clean Access使您能夠立刻獲得準(zhǔn)入控制解決方案的優(yōu)勢(shì)。2. 決定您是否需要基于架構(gòu)的NAC框架解決方案。通過(guò)運(yùn)行Cisco Clean Access，您可開(kāi)始評(píng)估是否還需要滿(mǎn)足基于架構(gòu)的方法要求。當(dāng)您在選擇部署任何NAC解決方案時(shí)，必須考慮多個(gè)因素，包括作為部署目的地的網(wǎng)絡(luò)以及正在部署它的機(jī)構(gòu)類(lèi)型等。3.

14、 考慮尋求某些幫助。思科高級(jí)服務(wù)機(jī)構(gòu)可幫您設(shè)計(jì)、實(shí)施、集成并部署定制的NAC解決方案。4. 利用您的Cisco Clean Access投資。Cisco Clean Access組件可全面集成到NAC框架解決方案中。NAC技術(shù)NAC設(shè)備組件Cisco Clean Access包含以下組件： Cisco Clean Access Server，評(píng)估設(shè)備并基于終端的策略符合情況授予訪問(wèn)權(quán)限 Cisco Clean Access Manager，集中管理Cisco Clean Access解決方案，包括執(zhí)行策略和修補(bǔ)服務(wù) Cisco Clean Access Agent，可選的免費(fèi)軟件，提供更嚴(yán)格的

15、終端策略符合評(píng)估，并同時(shí)簡(jiǎn)化可管理與不可管理環(huán)境中的修補(bǔ)流程Cisco Clean Access通過(guò)以下技術(shù)支持無(wú)線訪問(wèn)： 所有的802.11 Wi-Fi接入點(diǎn)，包括Cisco Aironet接入點(diǎn) 提供支持NAC的IEEE 802.1X請(qǐng)求系統(tǒng)的所有Wi-Fi客戶(hù)設(shè)備N(xiāo)AC框架的組件NAC框架提供以下技術(shù)支持： 為園區(qū)LAN、WAN、VPN和無(wú)線接入點(diǎn)提供廣泛的網(wǎng)絡(luò)設(shè)備支持 連接第三方主機(jī)評(píng)估工具，用于評(píng)估無(wú)人值守的、“無(wú)代理的”和其他非響應(yīng)型設(shè)備，且能夠?qū)γ總€(gè)設(shè)備應(yīng)用不同的策略 為思科可信代理提供廣泛的平臺(tái)支持 通過(guò)遠(yuǎn)遠(yuǎn)超越防病毒和基本操作系統(tǒng)補(bǔ)丁的應(yīng)用和操作系統(tǒng)狀態(tài)檢查，來(lái)擴(kuò)展多廠商集成

16、功能NAC框架得到以下技術(shù)的支持： 思科路由器：Cisco 83x、18xx、28xx 和 38xx系列集成多業(yè)務(wù)路由器；1701、1711、1712、1721、1751、1751-V和1760模塊化接入路由器；2600XM、2691、3640 和 3660-ENT多業(yè)務(wù)接入路由器以及72xx 系列路由器 思科交換機(jī)：- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720，安裝Cisco Catalyst OS 和 Cisco IOS 軟件或者混合應(yīng)用(Supervisor Engine 32 和 720上支持Cisco IOS軟件)- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE，安裝Cisco IOS軟件- Cisco Catalyst 4948 和 4948-10GE- Cisco Catalyst 3550、3560 和3750，安裝Cisco IOS IP Base和IP Services版本- Cisco Catalyst 2940、2950、2955、2960、2970 思科無(wú)