【正文】 供了全面的 BYOD解決方案，是唯一能夠 利用網(wǎng)絡(luò)設(shè)備傳感器和實時地 終端設(shè)備掃描 的廠商，幫助企業(yè)用戶為種類繁多的 BYOD 提供訪問 控制 策略。 ? 通過終端保護服務(wù)來管理終端設(shè)備連接到網(wǎng)絡(luò)中 。 ? 無需管理員操作，能夠通過阻止、隔離和在隔離區(qū)域內(nèi)修復(fù)不合規(guī)設(shè)備來實施安全策略 。 ? 通過由接待人為臨時訪客進(jìn)行授權(quán) ，提供完整的訪客生命周期管理，從而降低 IT 工作量 ，提供安全審計記錄。這樣極大地降低了復(fù)雜性，實現(xiàn)了整個企業(yè) 網(wǎng)絡(luò)安全策略 的一致性。 思科 ISE 身份 服務(wù)引擎作為 下一代身份和訪問控制策略平臺，可 以 幫 助 企業(yè)執(zhí)行策略規(guī)定、加強基礎(chǔ)設(shè)施安全并簡化服務(wù)操作。此外 ，隨著企業(yè)開始重視自身的 敏感 數(shù)據(jù)和信息的安全性，嚴(yán)格控制對敏感信息和重要數(shù)據(jù)的訪問權(quán)限，對網(wǎng)絡(luò)的使用者，包括公司員工、合作伙伴或者臨時訪客，都需要依據(jù)其身份進(jìn)行 訪問 權(quán)限的分配。在企業(yè)網(wǎng)絡(luò)中，訪問網(wǎng)絡(luò)的 終端設(shè)備種類越來越多，從傳統(tǒng)的 PC 機， 到 IP 話機， IP 攝像頭，打印機、傳真機，尤其是 隨著 移動終端設(shè)備 ，如各種智能手機，功能和性能不斷提升，已經(jīng) 從原來的從可有可無， 演變 成為移動辦公的重要工具 ，而且很多都是使用 企業(yè) 員工自帶設(shè)備 BYOD 做辦公使用 。 解決方案和 SecureX 架構(gòu)的不可或缺的組成部分。它在同一平臺上集成了身份驗證、授權(quán)和升級的功能，同時提供 終端狀態(tài)、分析和訪客管理服務(wù)等功能。 ? 阻止未授權(quán)的網(wǎng)絡(luò)訪問，保護企業(yè)敏感數(shù)據(jù)和信息。 ? 通過定期評估和修復(fù)來解決用戶設(shè)備上的漏洞，幫助提前消除病毒、蠕蟲和間諜軟件等網(wǎng)絡(luò)威脅 。通過對指定的終端設(shè)備進(jìn)行具體設(shè)備屬性掃描來增加基于網(wǎng)絡(luò)的 設(shè)備識別 ，從而更準(zhǔn)確、更全面地了解網(wǎng)絡(luò)狀況。 . 思科 ISE 優(yōu)勢 思科 的 ISE 提供全面的網(wǎng)絡(luò)訪問控制， 是唯一能夠 將 有線訪問、無線訪問以及遠(yuǎn)程 VPN 訪問 基于一身 ，提供統(tǒng)一服務(wù)平臺的解決方案 （見下圖） 。 第 6 頁 ? 合規(guī)性： 通過確保執(zhí)行和審核必要的控制措施使企業(yè)符合監(jiān)管的要求，只有合規(guī)用戶才能獲得完全訪問網(wǎng)絡(luò)， 不合規(guī)用戶 被 隔離到有限的網(wǎng)絡(luò)區(qū)域 。 思科 ISE 是 基于策略的訪問控制解決方案： ? 在單臺 設(shè)備上 集成了 AAA 功能，終端設(shè)備狀態(tài) 檢查 ，設(shè)備識別以及訪客管理功能； ? 在集中式或分布式的部署場景中，實現(xiàn)統(tǒng)一的策略控制； ? 支持部署在不同網(wǎng)絡(luò)架構(gòu)的場景中，包括 支持 的有線，無線和 遠(yuǎn)程接入 VPN 網(wǎng)絡(luò) ； ? 支持從小型辦公室到大型企業(yè)網(wǎng)絡(luò)的部署。 思科 ISE 作為控制平面，可以實現(xiàn)對有線、無線和遠(yuǎn)程 VPN 接入網(wǎng)絡(luò)的用戶或設(shè)備進(jìn)行認(rèn)證和授權(quán)。 思科 ISE 支持 用戶和終端設(shè)備的 認(rèn)證，支持的 EAP 認(rèn)證 協(xié)議包括 ： ? 基于質(zhì)詢 應(yīng)答 方式 o EAPMD5 第 8 頁 o LEAP o EAPMSCHAP2 ? 基于證書 方式 o EAPTLS ? 隧道方式 o EAPPEAP o EAPTTLS o EAPFAST ? 其他類型 o EAPGTC o GSSAPI 以下是 支持的 用戶認(rèn)證數(shù)據(jù)源： ? 內(nèi)部數(shù)據(jù)庫 ? Active Directory ? Lightweight Directory Access Protocol（ LDAP） ? Radius Token 服務(wù)器 ? Remote Supervisor Adaptor（ RSA） 從授權(quán)策略來看， ISE 充分借助與思科 TrustSec 網(wǎng)絡(luò)平臺的內(nèi)在特性，提供了靈活的訪問控制 。 . 終端設(shè)備類型的識別 思科 ISE 集成了設(shè)備識別 （稱為 Profiling） 的功能，可以檢測并識別 接入網(wǎng)絡(luò)中的設(shè)備的類型。 當(dāng)終端設(shè)備或端口配置發(fā)生改變時， ISE 允許 策略服務(wù) 節(jié)點發(fā)起授權(quán)變更請求Change of Authorization(簡稱 CoA)，可以 重新進(jìn)行端口授權(quán)或者拒絕該認(rèn)證。 第 10 頁 思科 ISE 通過 在客戶端 安裝 NAC Agent 插件 來對其進(jìn)行健康狀態(tài)評估，并提供對客戶端 設(shè)備的修復(fù)功能。 . 訪客服務(wù) 和 BYOD 自助服務(wù) 思科 ISE 的訪客服務(wù)功能，允許訪客，參觀人，合同員工，咨詢?nèi)藛T或者用戶通過 WEB 頁面登錄的方式接入到網(wǎng)絡(luò)中。 ? 接待人 ： 是指 有創(chuàng)建臨時網(wǎng)絡(luò)訪問帳號 權(quán)限 的 企業(yè)員工 ，例如公司前臺接待人可以通過一個 Web 門戶頁面創(chuàng)建和管理訪客的臨時帳號。 為訪客創(chuàng)建帳號的過程，都 可以 被記錄下來，用于日后的審計。當(dāng)訪客認(rèn)證成功后，訪客就具備了在某個時間范圍內(nèi)訪問 VLAN 或 dACL 設(shè)定的網(wǎng)絡(luò)資源。 ? 訪客審計 ： 記錄訪客的詳細(xì)的信息，如用戶名， MAC 地址， IP 地址，登錄時間和退出時間，以及總的接入網(wǎng)絡(luò)的時間。 . 安全組訪問 策略 思科 ISE 支持安全組訪問 Secure Group Access（簡稱 SGA）控制功能，用來對接入網(wǎng)絡(luò)的用戶或終端設(shè)備進(jìn)行訪問授權(quán)。相比較傳統(tǒng)的 基于 IP 地址和端口的 訪問控制列表， 安全組訪問控制的優(yōu)勢在于， 終端設(shè)備接入網(wǎng)絡(luò)時，就由 ISE 通過授權(quán)策略分配了安全標(biāo)簽，從而也確定了其訪問權(quán)限，即使網(wǎng)絡(luò)拓?fù)浒l(fā)生改變，對終端設(shè)備的 訪問權(quán)限和安全策略都沒有影響 。 . 集中 式 管理 思科 ISE 的每個節(jié)點都可以同時運行所有的角色或服務(wù) 。 第 14 頁 3. 思科 ISE 解決方案 . 部署架構(gòu) 通過思科 ISE 身份服務(wù)引擎，實現(xiàn)網(wǎng)絡(luò)訪問的認(rèn)證、授權(quán)和審計等功能，可以參照以下的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行搭建和部署。典型的高可用性部署中， 主節(jié)點和備節(jié)點 和都 可以運行在不同的物理設(shè)備或者虛擬設(shè)備上。該組件可以依據(jù)配置的策略，進(jìn)行評估并作出判定決策。該角色僅僅在網(wǎng)絡(luò)設(shè)備不支持 Radius 的一些控制功能 ， 如CoA 時，才 需要部署。該角色提供了高級的監(jiān)控和故障排除工具，可以有效地管理網(wǎng)絡(luò)和資源。 。 ? 授權(quán) 策略 o 分配 VLAN 通過認(rèn)證的用戶或終端設(shè)備，思科 ISE 通過 Radius 協(xié)議，為終端設(shè)備連接的交換機的接口分配動態(tài)的 VLAN，實現(xiàn)對終端設(shè)備訪問權(quán)限的控制。 第 17 頁 ? 小型網(wǎng)絡(luò) ISE 的 典型部署 主 ISE 節(jié)點提供了所有的配置，包括 認(rèn)證和 授權(quán) 策略管理，集中了 管理、策略 執(zhí)行 、日志監(jiān)控等所有角色。 ? 小型網(wǎng)絡(luò) ISE 的 分離式 部署 在分離式部署模式下， 主備 ISE 節(jié)點仍然同步和復(fù)制配置信息，但是 AAA 認(rèn)證的所有負(fù)載，可以在兩個節(jié)點之間分擔(dān)，如無線訪問的認(rèn)證和授權(quán)是通過主 ISE 節(jié)點，而有線接入的認(rèn)證和授權(quán)是通過備 ISE 節(jié)點完成，由此可見，認(rèn)證和授權(quán)的負(fù)載可以在兩個節(jié)點之間負(fù)載分擔(dān)，優(yōu)化了部署方式。 在中型網(wǎng)絡(luò)的部署中，主 ISE 節(jié)點負(fù)責(zé)所有配置和管理，備 ISE 節(jié)點作為策略服務(wù)角色來完成所有的 AAA 認(rèn)證和授權(quán)。同時，所有的節(jié)點設(shè)備，可以將日志同時發(fā)送到日志收集節(jié)點和 Syslog 服務(wù)器，確保了在日志收集節(jié)點出現(xiàn)故障時，提供了冗余備份。 在 典型的高可用性部署中， 主節(jié)點和備節(jié)點 都 可以 運行在不同的物理設(shè)備或者虛擬機 上。 這是利用了交換機 IOS支持 協(xié)議中的 Open Access 和 MultiAuth 功能特性 。比如，可以了解哪些終端主機（ PC，打印機，攝像頭等）正在連接到網(wǎng)絡(luò)中，從什么位置連接的，是否支持 ，以及他們是否有合法的訪問帳號。 在 低影響 模式中 ，將對 接入 網(wǎng)絡(luò) 的設(shè)備 進(jìn)行 訪問 控制，并根據(jù)授權(quán)策略提供不同類型的訪問權(quán)限 。 下圖描述了在 低影響模式 下，交換機對接入設(shè)備是進(jìn)行認(rèn)證和授權(quán)的過程： 低影響 模式部署是通過在交換機端預(yù)先設(shè)置 ACL 的方式，對接入網(wǎng)絡(luò)訪問的設(shè)備進(jìn)行授權(quán)，這樣做對整個 ISE 的部署有以下好處： ? 最低限度的減少對用戶的影響 ? 最低限度的減少對終端設(shè)備接入的影響 ? 最低限度的減少對網(wǎng)絡(luò)的影響 第 22 頁 . 高安全模式 完成低影響模式后，就可以進(jìn)入 高安全模式，返回了傳統(tǒng)的 部署模式。 對于能夠通過 ，沒有 什么問題，但是對于無法通過 認(rèn)證的設(shè)備，可能會帶來設(shè)備對網(wǎng)絡(luò) 訪問的延遲的問題。要想增加更加精細(xì)的訪問控制，高安全模式通過分配動態(tài) VLAN 去隔離不同類型的接入用戶到不同的廣播域中。 第 23 頁 5. 思科 ISE 應(yīng)用場景 . 場景一 ? 需求描述 ，設(shè)備類型和位置進(jìn)行 認(rèn)證和 授權(quán)。按照訪問制度，他不允許訪問這些數(shù)據(jù)，原因是坐在他旁邊的人有可能窺探到這些信息，甚至對這些數(shù)據(jù)拍照。 使用 iPad。其他人在辦公室使用虛擬桌面可以訪問 Youtube 和其他與工作無關(guān)的網(wǎng)站。 這種所謂的級別可能被稱為高級 QoS 的白金服務(wù)，次高 級 QoS 的 金牌服務(wù)，銀牌服務(wù)，銅牌服務(wù)等諸如此類。 ? 應(yīng)用場景 和挑戰(zhàn) 考慮到零售 行業(yè) 遍布全國 ，存在 大量分支機構(gòu)的場景。 任何配置的變更，比如修改“下班時間”的定義，都會給管理人員帶來繁瑣的工作。 所有訪客的認(rèn)證、授權(quán)和審計的 日志 ，都能夠記錄并保存下來。 第 27 頁 通過 ISE 完成以下的認(rèn)證與授權(quán)策略的配置： 用戶 角色 設(shè)備 接入方式 認(rèn)證方式 授權(quán)策略 普通 訪客 任意 任意 有線 WebAuth 訪問 互聯(lián)網(wǎng) 普通 訪客 任意 任意 無線 WebAuth 訪問 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 有線 自助服務(wù) 訪問 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 無線 自助服務(wù) 訪問 互聯(lián)網(wǎng) 第 28 頁 6. 附錄 . ISE 功能特性 思科 ISE 身份服務(wù)引擎支持以下功能特性： 特性 描述 AAA 協(xié) 議 使用標(biāo)準(zhǔn)的 RADIUS 協(xié)議進(jìn)行身份驗證、授權(quán)和審計 (AAA)。也可動態(tài)創(chuàng)建屬性并保存，以備后用。當(dāng)終端設(shè)備 連接至網(wǎng)絡(luò)時，這些模板可用于自動檢測、分類和關(guān)聯(lián)管理員定義的身份 組 。 終端狀態(tài) 檢查 連接至網(wǎng)絡(luò)的所有類型用戶的 終端設(shè)備的 狀 態(tài)。 終端保護服務(wù) 讓管理員能夠?qū)W(wǎng)絡(luò)中有泄漏危險的終端快速采取糾正操作（隔離、解除隔離或關(guān)機）。 監(jiān)控與故障排除 通過一個基于 Web 的 GUI 對組件進(jìn)行集中監(jiān)控、報告和故障排除，為 網(wǎng)絡(luò)操作員提供幫助。 . 網(wǎng)絡(luò)設(shè)備的功能特性 思科 ISE 與網(wǎng)絡(luò)設(shè)備的組件的功能兼容性列表 ，請訪問以下 鏈接：