【正文】 成以下的認(rèn)證與授權(quán)策略的配置，以滿足企業(yè) 策略應(yīng)用的 要求： 角色 設(shè)備 /技術(shù) 位置 應(yīng)用 服務(wù) 動(dòng)作 全體 iPad 任意 使用 Webex 允許訪問，并提供最優(yōu)訪問 QoS 銷售經(jīng)理 虛擬桌面 園區(qū)網(wǎng)或分支機(jī)構(gòu) 視頻 允許 訪問，提供 銅牌級(jí)別QoS 總經(jīng)理 思科網(wǎng)真 分支機(jī)構(gòu) 用戶會(huì)議 允許 訪問， 白金級(jí)別QoS(1080P 分辨率 ) . 場(chǎng)景三 ? 需求描述 確保 銷售門店的 POS 系統(tǒng)和部署在分支機(jī)構(gòu)的攝像頭 正常工作 ， 并 分配最高優(yōu)先級(jí) 的 QoS 服務(wù)。同時(shí)，這些訪客的設(shè)備不能訪問到內(nèi)網(wǎng)的設(shè)備和資源。屬性是從預(yù)定義字典提取的，包含以下信息：用戶和 終端設(shè)備 份、安全狀態(tài)驗(yàn)證、身份驗(yàn)證協(xié)議、分析身份或其他外部屬性來源，從而創(chuàng)建精細(xì)策略。允許管理員根據(jù)企業(yè)的具體需求自定義門戶 或策略。通過統(tǒng)一管理所有服務(wù)大大簡(jiǎn)化管理工作。提供所有服務(wù)的 全面歷史和實(shí)時(shí)報(bào)告、所有活動(dòng)的記錄以及連接至網(wǎng)絡(luò)的所有用戶和設(shè)備 的 狀態(tài) 。無(wú)論是通過一個(gè)永久的基于客戶端的 Agent 程序 還是通過臨時(shí) Agent 程序進(jìn)行操作，都可以驗(yàn)證終端設(shè)備符合 企業(yè)的狀態(tài)策略。 訪問控制 提供了多種使用思科網(wǎng)絡(luò)設(shè)備高級(jí)功能的訪問控制機(jī)制，包括可下載的訪問控制列表 (dACL)、 VLAN 分配、 URL 重定向以及 SGA 標(biāo)簽。 對(duì)于合作伙伴允許其采用自服務(wù)的方式，接入網(wǎng)絡(luò)中，不需要每次都有 接待人 提供訪問帳號(hào)。分支機(jī)構(gòu)通過有限的互聯(lián)網(wǎng)鏈路連接到總部。在同一個(gè)辦公室，總經(jīng)理正在利用思科網(wǎng)真 和一個(gè)客戶進(jìn)行一個(gè)遠(yuǎn)程會(huì)議。 Joe 試圖通過 iPad 去訪問用戶數(shù)據(jù)也是被禁止的，因?yàn)樵?iPad 設(shè)備上無(wú)法實(shí)現(xiàn)防數(shù)據(jù)泄漏預(yù)防 DLP 的控制。通過把不同用戶的流量隔離到 不同的 VLAN 中，高安全模式實(shí)現(xiàn)了網(wǎng)絡(luò)服務(wù)的最基礎(chǔ)的功能。在一個(gè)以高安全模式部署的網(wǎng)絡(luò)中， 可以實(shí)現(xiàn)全面的網(wǎng)絡(luò) 訪問控制。所有的這些信息通過ISE 進(jìn)行記錄，對(duì)用戶或終端設(shè)備沒 有影響。 第 20 頁(yè) 4. 分 階段 部署 思科 ISE 的部署 通常采用 分階段 的方式來 進(jìn)行， 從開發(fā)訪問到 逐步引入認(rèn)證和授權(quán)策略，最終實(shí)現(xiàn) ISE 全面的認(rèn)證和授權(quán)的 部署。隨著訪問流量的增長(zhǎng)，可以考慮由主 ISE 節(jié)點(diǎn)來負(fù)責(zé)日志收集角色，或者單獨(dú)增加一個(gè)日志收集節(jié)點(diǎn)。 備 ISE 節(jié)點(diǎn)充當(dāng)備份的角色 ， 在主節(jié)點(diǎn)網(wǎng)絡(luò)中斷的情況下也 能夠 提供 主節(jié)點(diǎn) 的各種功能。 ? 認(rèn)證 策略 o 第 16 頁(yè) 對(duì)于支持 認(rèn)證的客戶端，如 Windows 客戶端， MacBook 客戶端，甚至移動(dòng)終端設(shè)備如 iPad 等，在接入有線或無(wú)線網(wǎng)絡(luò)時(shí)，可以交換機(jī)端口上啟用 認(rèn)證， 或者 在無(wú)線控制器上啟用 認(rèn)證，思科 ISE 作為 Radius 服務(wù)器 ，對(duì)有線或無(wú)線的 客戶端進(jìn)行認(rèn)證。 在線策略執(zhí)行 是在用戶已經(jīng)通過認(rèn)證和授權(quán)后，應(yīng)用訪問策略，并 且處理網(wǎng)絡(luò)設(shè)備不支持 CoA 的情況下的請(qǐng)求。 ? 管理節(jié)點(diǎn) ： 包含所有系統(tǒng)相關(guān) 的配置，以及功能相關(guān)配置，如認(rèn)證，授權(quán)和審計(jì)等。 用戶可以根據(jù)需要采用分布式或者集中式部署，甚至兩者混合部署以滿足用戶的網(wǎng)絡(luò)架構(gòu)和執(zhí)行策略 的需求 。 SGA 利用終端設(shè)備在通過認(rèn)證時(shí)的身份信息，創(chuàng)建一條 在 數(shù)據(jù) 報(bào)文中 添加一個(gè)安全訪問標(biāo)簽 (SGT)的授權(quán)策略 ， 思科 ISE 通過安全組訪問控制列表 (SGACL)，根據(jù) SGT 作為判定條件 并 創(chuàng)建授權(quán)策略 。 ISE 提供了以下的訪客記錄和報(bào)表： ? 概況表 ：在 ISE 主監(jiān)控面板上，顯示接入網(wǎng)絡(luò)的活動(dòng)的訪客的概況。在 ISE 中可以創(chuàng)建不同權(quán)限的接待人帳號(hào)，帳號(hào)信息可以來自本地?cái)?shù)據(jù)庫(kù)，或者外部的 LDAP 或 AD 數(shù)據(jù)源。在啟用合規(guī)性與終端健康狀態(tài)檢查的場(chǎng)景中，客戶端會(huì)自動(dòng)下載并安裝 NAC Agent 插件，檢查內(nèi)容包括文件、主機(jī)注冊(cè)表、進(jìn)程、應(yīng)用程序和系統(tǒng)服務(wù)等。設(shè)備識(shí)別功能一般是在 策略服務(wù) 節(jié)點(diǎn)上啟用， 借助于 網(wǎng)絡(luò) 交換 設(shè)備 ，以及終端設(shè)備的類型和屬性 進(jìn)行設(shè)備的識(shí)別。 思科 ISE 支持通過用戶或終端設(shè)備在企業(yè)中的角色，進(jìn)行分組授權(quán) 。 ? 高效性： 通過將頻繁操作 的任務(wù)自動(dòng)化處理，簡(jiǎn)化服務(wù)交付流程，提高 IT部門的生產(chǎn)率。 ? 通過終端保護(hù)服務(wù)來管理終端設(shè)備連接到網(wǎng)絡(luò)中 。 ? 通過由接待人為臨時(shí)訪客進(jìn)行授權(quán) ，提供完整的訪客生命周期管理，從而降低 IT 工作量 ，提供安全審計(jì)記錄。 思科 ISE 身份 服務(wù)引擎作為 下一代身份和訪問控制策略平臺(tái)，可 以 幫 助 企業(yè)執(zhí)行策略規(guī)定、加強(qiáng)基礎(chǔ)設(shè)施安全并簡(jiǎn)化服務(wù)操作。在企業(yè)網(wǎng)絡(luò)中，訪問網(wǎng)絡(luò)的 終端設(shè)備種類越來越多，從傳統(tǒng)的 PC 機(jī)， 到 IP 話機(jī)， IP 攝像頭，打印機(jī)、傳真機(jī)，尤其是 隨著 移動(dòng)終端設(shè)備 ，如各種智能手機(jī)，功能和性能不斷提升，已經(jīng) 從原來的從可有可無(wú)， 演變 成為移動(dòng)辦公的重要工具 ，而且很多都是使用 企業(yè) 員工自帶設(shè)備 BYOD 做辦公使用 。它在同一平臺(tái)上集成了身份驗(yàn)證、授權(quán)和升級(jí)的功能，同時(shí)提供 終端狀態(tài)、分析和訪客管理服務(wù)等功能。 ? 通過定期評(píng)估和修復(fù)來解決用戶設(shè)備上的漏洞，幫助提前消除病毒、蠕蟲和間諜軟件等網(wǎng)絡(luò)威脅 。 . 思科 ISE 優(yōu)勢(shì) 思科 的 ISE 提供全面的網(wǎng)絡(luò)訪問控制， 是唯一能夠 將 有線訪問、無(wú)線訪問以及遠(yuǎn)程 VPN 訪問 基于一身 ，提供統(tǒng)一服務(wù)平臺(tái)的解決方案 （見下圖） 。 思科 ISE 是 基于策略的訪問控制解決方案： ? 在單臺(tái) 設(shè)備上 集成了 AAA 功能，終端設(shè)備狀態(tài) 檢查 ，設(shè)備識(shí)別以及訪客管理功能； ? 在集中式或分布式的部署場(chǎng)景中，實(shí)現(xiàn)統(tǒng)一的策略控制； ? 支持部署在不同網(wǎng)絡(luò)架構(gòu)的場(chǎng)景中，包括 支持 的有線，無(wú)線和 遠(yuǎn)程接入 VPN 網(wǎng)絡(luò) ； ? 支持從小型辦公室到大型企業(yè)網(wǎng)絡(luò)的部署。 思科 ISE 支持 用戶和終端設(shè)備的 認(rèn)證，支持的 EAP 認(rèn)證 協(xié)議包括 ： ? 基于質(zhì)詢 應(yīng)答 方式 o EAPMD5 第 8 頁(yè) o LEAP o EAPMSCHAP2 ? 基于證書 方式 o EAPTLS ? 隧道方式 o EAPPEAP o EAPTTLS o EAPFAST ? 其他類型 o EAPGTC o GSSAPI 以下是 支持的 用戶認(rèn)證數(shù)據(jù)源： ? 內(nèi)部數(shù)據(jù)庫(kù) ? Active Directory ? Lightweight Directory Access Protocol（ LDAP） ? Radius Token 服務(wù)器 ? Remote Supervisor Adaptor（ RSA） 從授權(quán)策略來看， ISE 充分借助與思科 TrustSec 網(wǎng)絡(luò)平臺(tái)的內(nèi)在特性，提供了靈活的訪問控制 。 當(dāng)終端設(shè)備或端口配置發(fā)生改變時(shí)， ISE 允許 策略服務(wù) 節(jié)點(diǎn)發(fā)起授權(quán)變更請(qǐng)求Change of Authorization(簡(jiǎn)稱 CoA)，可以 重新進(jìn)行端口授權(quán)或者拒絕該認(rèn)證。 . 訪客服務(wù) 和 BYOD 自助服務(wù) 思科 ISE 的訪客服務(wù)功能，允許訪客，參觀人，合同員工，咨詢?nèi)藛T或者用戶通過 WEB 頁(yè)面登錄的方式接入到網(wǎng)絡(luò)中。 為訪客創(chuàng)建帳號(hào)的過程，都 可以 被記錄下來，用于日后的審計(jì)。 ? 訪客審計(jì) ： 記錄訪客的詳細(xì)的信息，如用戶名， MAC 地址， IP 地址，登錄時(shí)間和退出時(shí)間，以及總的接入網(wǎng)絡(luò)的時(shí)間。相比較傳統(tǒng)的 基于 IP 地址和端口的 訪問控制列表， 安全組訪問控制的優(yōu)勢(shì)在于， 終端設(shè)備接入網(wǎng)絡(luò)時(shí)，就由 ISE 通過授權(quán)策略分配了安全標(biāo)簽，從而也確定了其訪問權(quán)限，即使網(wǎng)絡(luò)拓?fù)浒l(fā)生改變，對(duì)終端設(shè)備的 訪問權(quán)限和安全策略都沒有影響 。 第 14 頁(yè) 3. 思科 ISE 解決方案 . 部署架構(gòu) 通過思科 ISE 身份服務(wù)引擎，實(shí)現(xiàn)網(wǎng)絡(luò)訪問的認(rèn)證、授權(quán)和審計(jì)等功能，可以參照以下的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行搭建和部署。該組件可以依據(jù)配置的策略，進(jìn)行評(píng)估并作出判定決策。該角色提供了高級(jí)的監(jiān)控和故障排除工具，可以有效地管理網(wǎng)絡(luò)和資源。 ? 授權(quán) 策略 o 分配 VLAN 通過認(rèn)證的用戶或終端設(shè)備，思科 ISE 通過 Radius 協(xié)議，為終端設(shè)備連接的交換機(jī)的接口分配動(dòng)態(tài)的 VLAN，實(shí)現(xiàn)對(duì)終端設(shè)備訪問權(quán)限的控制。 ? 小型網(wǎng)絡(luò) ISE 的 分離式 部署 在分離式部署模式下， 主備 ISE 節(jié)點(diǎn)仍然同步和復(fù)制配置信息，但是 AAA 認(rèn)證的所有負(fù)載，可以在兩個(gè)節(jié)點(diǎn)之間分擔(dān)，如無(wú)線訪問的認(rèn)證和授權(quán)是通過主 ISE 節(jié)點(diǎn)，而有線接入的認(rèn)證和授權(quán)是通過備 ISE 節(jié)點(diǎn)完成，由此可見，認(rèn)證和授權(quán)的負(fù)載可以在兩個(gè)節(jié)點(diǎn)之間負(fù)載分擔(dān)，優(yōu)化了部署方式。同時(shí)，所有的節(jié)點(diǎn)設(shè)備，可以將日志同時(shí)發(fā)送到日志收集節(jié)點(diǎn)和 Syslog 服務(wù)器，確保了在日志收集節(jié)點(diǎn)出現(xiàn)故障時(shí)，提供了冗余備份。 這是利用了交換機(jī) IOS支持 協(xié)議中的 Open Access 和 MultiAuth 功能特性 。 在 低影響 模式中 ，將對(duì) 接入 網(wǎng)絡(luò) 的設(shè)備 進(jìn)行 訪問 控制，并根據(jù)授權(quán)策略提供不同類型的訪問權(quán)限 。 對(duì)于能夠通過 ，沒有 什么問題，但是對(duì)于無(wú)法通過 認(rèn)證的設(shè)備，可能會(huì)帶來設(shè)備對(duì)網(wǎng)絡(luò) 訪問的延遲的問題。 第 23 頁(yè) 5. 思科 ISE 應(yīng)用場(chǎng)景 . 場(chǎng)景一 ? 需求描述 ，設(shè)備類型和位置進(jìn)行 認(rèn)證和 授權(quán)。 使用 iPad。 這種所謂的級(jí)別可能被稱為高級(jí) QoS 的白金服務(wù)，次高 級(jí) QoS 的 金牌服務(wù)，銀牌服務(wù)，銅牌服務(wù)等諸如此類。 任何配置的變更，比如修改“下班時(shí)間”的定義，都會(huì)給管理人員帶來繁瑣的工作。 第 27 頁(yè) 通過 ISE 完成以下的認(rèn)證與授權(quán)策略的配置： 用戶 角色 設(shè)備 接入方式 認(rèn)證方式 授權(quán)策略 普通 訪客 任意 任意 有線 WebAuth 訪問 互聯(lián)網(wǎng) 普通 訪客 任意 任意 無(wú)線 WebAuth 訪問 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 有線 自助服務(wù) 訪問 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 無(wú)線 自助服務(wù) 訪問 互聯(lián)網(wǎng) 第 28 頁(yè) 6. 附錄 . ISE 功能特性 思科 ISE 身份服務(wù)引擎支持以下功能特性： 特性 描述 AAA 協(xié) 議 使用標(biāo)準(zhǔn)的 RADIUS 協(xié)議進(jìn)行身份驗(yàn)證、授權(quán)和審計(jì) (AAA)。當(dāng)終端設(shè)備 連接至網(wǎng)絡(luò)時(shí)，這些模板可用于自動(dòng)檢測(cè)、分類和關(guān)聯(lián)管理員定義的身份 組 。 終端保護(hù)服務(wù) 讓管理員能夠?qū)W(wǎng)絡(luò)中有泄漏危險(xiǎn)的終端快速采取糾正操作（隔離、解除隔離或關(guān)機(jī)）。 . 網(wǎng)絡(luò)設(shè)備的功能特性 思科 ISE 與網(wǎng)絡(luò)設(shè)備的組件的功能兼容性列表 ，請(qǐng)?jiān)L問以下 鏈接：