網(wǎng)絡(luò)準(zhǔn)入控制

1.網(wǎng)絡(luò)準(zhǔn)入控制(NAC)的需求與挑戰(zhàn)思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)是一項(xiàng)由思科發(fā)起、多家廠商參加的計(jì)劃，其宗旨是防止病毒和蠕蟲(chóng)等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的端點(diǎn)設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。舊NS能夠在用戶訪問(wèn)網(wǎng)絡(luò)訪問(wèn)之前確保用戶的身份是信任關(guān)系。但是，識(shí)別用戶的身份僅僅是問(wèn)題的一部分。盡管依照總體安全策略，用戶有權(quán)進(jìn)入網(wǎng)絡(luò)，但是他們所使用的計(jì)算機(jī)可能不適合接入網(wǎng)絡(luò)，為什么會(huì)出現(xiàn)這種情況？因?yàn)楣P記本電腦等移動(dòng)計(jì)算設(shè)備在今天的工作環(huán)境中的普及提高了用戶的生產(chǎn)率，但是，這也會(huì)產(chǎn)生一定的問(wèn)題：這些計(jì)算設(shè)備很容易在外部感染病毒或者蠕蟲(chóng)，當(dāng)它們重新接入企業(yè)網(wǎng)絡(luò)的時(shí)候，就會(huì)將病毒等惡意代碼在不經(jīng)意之間帶入企業(yè)環(huán)境。瞬間病毒和蠕蟲(chóng)侵入將繼續(xù)干擾企業(yè)業(yè)務(wù)的正常運(yùn)作，造成停機(jī)，業(yè)務(wù)中斷和不斷地打補(bǔ)丁。利用思科網(wǎng)絡(luò)準(zhǔn)入控制，企業(yè)能夠減少病毒和蠕蟲(chóng)對(duì)企業(yè)運(yùn)作的干擾，因?yàn)樗軌蚍乐挂讚p主機(jī)接入正常網(wǎng)絡(luò)。在主機(jī)接入正常網(wǎng)絡(luò)之前，NAC能夠檢查它是否符合企業(yè)最新制定的防病毒和操作系統(tǒng)補(bǔ)丁策略?？梢芍鳈C(jī)或有問(wèn)題的主機(jī)將被隔離或限制網(wǎng)絡(luò)接入范圍，直到它經(jīng)過(guò)修補(bǔ)或采取了相應(yīng)的安全措施為止，這樣不但可以防止這些主機(jī)成為蠕蟲(chóng)和病毒攻擊的目標(biāo)，還可以防止這些主機(jī)成為傳播病毒的源頭。舊NS的作用是驗(yàn)證用戶的身份，而NAC的作用是檢查設(shè)備的“狀態(tài)”。交換平臺(tái)上的NAC可以與思科信任代理(CTA)共同構(gòu)成一個(gè)系統(tǒng)。思科信任代理(CTA)可以從多個(gè)安全軟件客戶端一一例如防病毒客戶端一一搜集安全狀態(tài)信息，并將這些信息發(fā)送到相連的、制定訪問(wèn)控制決策的思科網(wǎng)絡(luò)。應(yīng)用和操作系統(tǒng)的狀態(tài)一一例如防病毒和操作系統(tǒng)補(bǔ)丁等級(jí)或者身份證明一一可以被用于制定相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入決策。思科和NAC合作伙伴將會(huì)把思科信任代理與它們的安全軟件客戶端集成到一起。思科正在與McAfeeSecurity、Symantec、TrendMicro、舊M和國(guó)內(nèi)的瑞星、金山合作，將它們的防病毒軟件集成到思科信任代理(CTA)中。NAC的主要優(yōu)點(diǎn)包括：控制范圍大一一它能夠檢測(cè)主機(jī)用于與網(wǎng)絡(luò)連接的所有接入方法，包括園區(qū)網(wǎng)交換、無(wú)線接入、路由器WAN鏈路、IPSec遠(yuǎn)程接入和撥號(hào)接入；多廠商解決方案一一NAC是一項(xiàng)由思科發(fā)起、多家防病毒廠商參加的項(xiàng)目，包括NetworkAssociates>Symantec和TrendMicro；現(xiàn)有技術(shù)和標(biāo)準(zhǔn)的擴(kuò)展——NAC擴(kuò)展了現(xiàn)有通信協(xié)議和安全技術(shù)的用途，例如可擴(kuò)展認(rèn)證協(xié)議(EAP)、802.1X和RADIUS服務(wù)；利用網(wǎng)絡(luò)和防病毒投資——NAC將網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的現(xiàn)有投資與防病毒技術(shù)結(jié)合在一起，提供了準(zhǔn)入控制設(shè)施。2.網(wǎng)絡(luò)準(zhǔn)入控制(NAC)技術(shù)介紹a.NAC系統(tǒng)組件如下圖所示，NAC系統(tǒng)共包括四個(gè)組件:NAC系統(tǒng)組件網(wǎng)絡(luò)準(zhǔn)入控制主要組件：端點(diǎn)安全軟件（CiscoSecurityAgent/防病毒軟件）CiscoTrustAgent網(wǎng)絡(luò)接入設(shè)備（接入交換機(jī)和無(wú)線訪問(wèn)點(diǎn)）策略/AAA服務(wù)器防病毒服務(wù)器管理系統(tǒng)端點(diǎn)安全軟件包括AntiVirus防病毒軟件，個(gè)人防火墻軟件或CiscoSecurityAgent-思科安全代理，這些軟件負(fù)責(zé)端點(diǎn)安全，并與CiscoTrustAgent（思科信任代理）通訊，共同決定對(duì)終端的信任關(guān)系。CiscoTrustAgentCiscoTrustAgent負(fù)責(zé)收集多個(gè)安全軟件客戶端的安全狀態(tài)信息，例如Anti-Virus和CiscoSecurityAgent軟件客戶端，然后將信息傳送到思科網(wǎng)絡(luò)，在那里實(shí)施準(zhǔn)入控制決策。對(duì)于未運(yùn)行防病毒軟件，或者沒(méi)有適當(dāng)版本的主機(jī)，按照預(yù)定策略，可以限制它對(duì)網(wǎng)絡(luò)的接入范圍，也可以其拒絕接入網(wǎng)絡(luò)。網(wǎng)絡(luò)接入設(shè)備一一實(shí)施準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、無(wú)線接入點(diǎn)和安全設(shè)備。這些設(shè)備接受主機(jī)委托，然后將信息傳送到策略服務(wù)器，在那里實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制決策。網(wǎng)絡(luò)將按照客戶制定的策略實(shí)施相應(yīng)的準(zhǔn)入控制決策：允許、拒絕、隔離或限制。策略服務(wù)器一一策略服務(wù)器負(fù)責(zé)評(píng)估來(lái)自網(wǎng)絡(luò)設(shè)備的端點(diǎn)安全信息，并決定應(yīng)該使用哪種接入策略（接入、拒絕、隔離或打補(bǔ)?。?。CiscoSecureACS服務(wù)器是一種認(rèn)證、授權(quán)和審計(jì)RADIUS服務(wù)器，它構(gòu)成了策略服務(wù)器系統(tǒng)的基礎(chǔ)。它可以與NAC合作商的應(yīng)用服務(wù)器配合使用，提供更強(qiáng)的委托審核功能，例如防病毒策略服務(wù)器。防病毒服務(wù)器——防病毒服務(wù)器對(duì)防病毒軟件客戶端發(fā)送的狀態(tài)報(bào)告進(jìn)行檢查，并將檢查的結(jié)果返回策略服務(wù)器，對(duì)于感染病毒或防病毒軟件設(shè)置不符合安全策略的客戶端提供病毒庫(kù)升級(jí)服務(wù)。管理服務(wù)器——思科管理解決方案將提供相應(yīng)的思科NAC組件，以及監(jiān)控和報(bào)告操作工具。CiscoWorksVPN/安全管理解決方案（CiscoWorksVMS）和CiscoWorks安全信息管理器解決方案（CiscoWorksSIMS）形成了此功能的基礎(chǔ)。思科的NAC合作商將為其端點(diǎn)安全軟件提供管理解決方案。NAC通過(guò)了兩項(xiàng)最嚴(yán)格的兼容性測(cè)試：防病毒軟件狀況和操作系統(tǒng)信息。它不但包括防病毒廠商的軟件版本、機(jī)器等級(jí)和簽名文件等級(jí)，還包括操作系統(tǒng)類型、補(bǔ)丁和熱修復(fù)。以后還將繼續(xù)擴(kuò)大安全保護(hù)范圍以及工作地點(diǎn)應(yīng)用檢查的范圍。b.NAC系統(tǒng)基本工作原理上圖是NAC的示意圖，當(dāng)運(yùn)行NAC時(shí)，首先由網(wǎng)絡(luò)接入設(shè)備發(fā)出消息，從主機(jī)請(qǐng)求委托書(shū)。然后，AAA服務(wù)器CiscoTrustAgent(CTA)與主機(jī)上的CiscoTrustAgent(CTA)建立安全的EAP對(duì)話。此時(shí)，CTA對(duì)AAA服務(wù)器執(zhí)行檢查。委托書(shū)可以通過(guò)主機(jī)應(yīng)用、CTA或網(wǎng)絡(luò)設(shè)備傳遞，由思科ACS接收后進(jìn)行認(rèn)證和授權(quán)。某些情況下，ACS可以作為防病毒策略服務(wù)器的代理，直接將防病毒軟件應(yīng)用委托書(shū)傳送到廠商的AV服務(wù)器接收檢查。委托書(shū)通過(guò)審查后，ACS將為網(wǎng)絡(luò)設(shè)備選擇相應(yīng)的實(shí)施策略。例如，ACS可以向路由器發(fā)送準(zhǔn)入控制表，對(duì)此主機(jī)實(shí)施特殊策略。對(duì)于非響應(yīng)性設(shè)備，可以對(duì)主動(dòng)運(yùn)行CTA(網(wǎng)絡(luò)或ACS)的設(shè)備實(shí)施默認(rèn)策略。在以后的各階段，還將通過(guò)掃描或其它機(jī)制對(duì)主機(jī)系統(tǒng)執(zhí)行進(jìn)一步檢查，以便收集其他端點(diǎn)安全信息。3.網(wǎng)絡(luò)準(zhǔn)入控制(NAC)部署方案要部署NAC方案，需要安裝上面提到的所有NAC系統(tǒng)組件，這包括由思科提供的產(chǎn)品以及思科的合作伙伴提供的產(chǎn)品。思科提供的產(chǎn)品包括執(zhí)行準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備一一包括路由器、交換機(jī)、無(wú)線接入點(diǎn)和安全設(shè)備。各種功能通過(guò)軟件增強(qiáng)集成到新老平臺(tái)中。CiscoSecureACS――AAARADIUS服務(wù)器，是用于確定接入權(quán)限的策略決策點(diǎn)。為支持NAC，正在增強(qiáng)ACS功能。CiscoTrustAgent――主機(jī)代理，由思科開(kāi)發(fā)，將通過(guò)多種方式分發(fā)：作為獨(dú)立代理直接從思科或NAC合作商分發(fā)，與CiscoSecurityAgent一起分發(fā)，或者嵌入到NAC防病毒廠商的更新軟件中。CiscoSecurityAgent――可以在主機(jī)上使用，同時(shí)為防止蠕蟲(chóng)和病毒提供零天保護(hù)，并為NAC提供操作系統(tǒng)補(bǔ)丁和熱修復(fù)信息。CiscoWorksVMS可用于在路由器上批量配置NAC設(shè)置。防病毒廠商將為主機(jī)和AV策略服務(wù)器提供系統(tǒng)的防病毒組件，目前加入NAC計(jì)劃的防病毒廠商包括：舊M、趨勢(shì)科技、McAfee、賽門(mén)鐵克、CA、瑞星和金山等15家安全領(lǐng)域主要廠商。為了部署NAC，我們一般需要建議以下的具體步驟：升級(jí)網(wǎng)絡(luò)設(shè)備上的的IOS升級(jí)主機(jī)上的防病毒軟件安裝主機(jī)上的CiscoTrustAgent（可以包含在防病毒軟件升級(jí)過(guò)程中）安裝CiscoSecureACS服務(wù)器（在實(shí)施基于802.1x的舊NS時(shí)已經(jīng)部署）安裝用于配置、監(jiān)控和報(bào)告NAC環(huán)境的管理工具CiscoWorksVMS另外，還需要考慮以下操作問(wèn)題：確定管理權(quán)限模式，妥善管理系統(tǒng)，并相應(yīng)調(diào)整管理組件確定和實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制策略確定可擴(kuò)展性和性能要求，保證系統(tǒng)可以應(yīng)付高峰狀況（尤其是ACS等策略決策基礎(chǔ)設(shè)施）確定和實(shí)施隔離和修復(fù)環(huán)境思科網(wǎng)絡(luò)準(zhǔn)人控制（NAC）是一項(xiàng)由