【正文】 終端保護(hù)服務(wù) 讓管理員能夠?qū)W(wǎng)絡(luò)中有泄漏危險(xiǎn)的終端快速采取糾正操作（隔離、解除隔離或關(guān)機(jī)）。 第 27 頁(yè) 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略的配置： 用戶(hù) 角色 設(shè)備 接入方式 認(rèn)證方式 授權(quán)策略 普通 訪(fǎng)客 任意 任意 有線(xiàn) WebAuth 訪(fǎng)問(wèn) 互聯(lián)網(wǎng) 普通 訪(fǎng)客 任意 任意 無(wú)線(xiàn) WebAuth 訪(fǎng)問(wèn) 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 有線(xiàn) 自助服務(wù) 訪(fǎng)問(wèn) 互聯(lián)網(wǎng) 合作伙伴 任意 BYOD 無(wú)線(xiàn) 自助服務(wù) 訪(fǎng)問(wèn) 互聯(lián)網(wǎng) 第 28 頁(yè) 6. 附錄 . ISE 功能特性 思科 ISE 身份服務(wù)引擎支持以下功能特性： 特性 描述 AAA 協(xié) 議 使用標(biāo)準(zhǔn)的 RADIUS 協(xié)議進(jìn)行身份驗(yàn)證、授權(quán)和審計(jì) (AAA)。 這種所謂的級(jí)別可能被稱(chēng)為高級(jí) QoS 的白金服務(wù)，次高 級(jí) QoS 的 金牌服務(wù)，銀牌服務(wù)，銅牌服務(wù)等諸如此類(lèi)。 第 23 頁(yè) 5. 思科 ISE 應(yīng)用場(chǎng)景 . 場(chǎng)景一 ? 需求描述 ，設(shè)備類(lèi)型和位置進(jìn)行 認(rèn)證和 授權(quán)。 在 低影響 模式中 ，將對(duì) 接入 網(wǎng)絡(luò) 的設(shè)備 進(jìn)行 訪(fǎng)問(wèn) 控制，并根據(jù)授權(quán)策略提供不同類(lèi)型的訪(fǎng)問(wèn)權(quán)限 。同時(shí)，所有的節(jié)點(diǎn)設(shè)備，可以將日志同時(shí)發(fā)送到日志收集節(jié)點(diǎn)和 Syslog 服務(wù)器，確保了在日志收集節(jié)點(diǎn)出現(xiàn)故障時(shí)，提供了冗余備份。 ? 授權(quán) 策略 o 分配 VLAN 通過(guò)認(rèn)證的用戶(hù)或終端設(shè)備，思科 ISE 通過(guò) Radius 協(xié)議，為終端設(shè)備連接的交換機(jī)的接口分配動(dòng)態(tài)的 VLAN，實(shí)現(xiàn)對(duì)終端設(shè)備訪(fǎng)問(wèn)權(quán)限的控制。該組件可以依據(jù)配置的策略，進(jìn)行評(píng)估并作出判定決策。相比較傳統(tǒng)的 基于 IP 地址和端口的 訪(fǎng)問(wèn)控制列表， 安全組訪(fǎng)問(wèn)控制的優(yōu)勢(shì)在于， 終端設(shè)備接入網(wǎng)絡(luò)時(shí)，就由 ISE 通過(guò)授權(quán)策略分配了安全標(biāo)簽，從而也確定了其訪(fǎng)問(wèn)權(quán)限，即使網(wǎng)絡(luò)拓?fù)浒l(fā)生改變，對(duì)終端設(shè)備的 訪(fǎng)問(wèn)權(quán)限和安全策略都沒(méi)有影響 。 為訪(fǎng)客創(chuàng)建帳號(hào)的過(guò)程，都 可以 被記錄下來(lái)，用于日后的審計(jì)。 當(dāng)終端設(shè)備或端口配置發(fā)生改變時(shí)， ISE 允許 策略服務(wù) 節(jié)點(diǎn)發(fā)起授權(quán)變更請(qǐng)求Change of Authorization(簡(jiǎn)稱(chēng) CoA)，可以 重新進(jìn)行端口授權(quán)或者拒絕該認(rèn)證。 思科 ISE 是 基于策略的訪(fǎng)問(wèn)控制解決方案： ? 在單臺(tái) 設(shè)備上 集成了 AAA 功能，終端設(shè)備狀態(tài) 檢查 ，設(shè)備識(shí)別以及訪(fǎng)客管理功能； ? 在集中式或分布式的部署場(chǎng)景中，實(shí)現(xiàn)統(tǒng)一的策略控制； ? 支持部署在不同網(wǎng)絡(luò)架構(gòu)的場(chǎng)景中，包括 支持 的有線(xiàn)，無(wú)線(xiàn)和 遠(yuǎn)程接入 VPN 網(wǎng)絡(luò) ； ? 支持從小型辦公室到大型企業(yè)網(wǎng)絡(luò)的部署。 ? 通過(guò)定期評(píng)估和修復(fù)來(lái)解決用戶(hù)設(shè)備上的漏洞，幫助提前消除病毒、蠕蟲(chóng)和間諜軟件等網(wǎng)絡(luò)威脅 。在企業(yè)網(wǎng)絡(luò)中，訪(fǎng)問(wèn)網(wǎng)絡(luò)的 終端設(shè)備種類(lèi)越來(lái)越多，從傳統(tǒng)的 PC 機(jī)， 到 IP 話(huà)機(jī)， IP 攝像頭，打印機(jī)、傳真機(jī)，尤其是 隨著 移動(dòng)終端設(shè)備 ，如各種智能手機(jī)，功能和性能不斷提升，已經(jīng) 從原來(lái)的從可有可無(wú)， 演變 成為移動(dòng)辦公的重要工具 ，而且很多都是使用 企業(yè) 員工自帶設(shè)備 BYOD 做辦公使用 。 ? 通過(guò)由接待人為臨時(shí)訪(fǎng)客進(jìn)行授權(quán) ，提供完整的訪(fǎng)客生命周期管理，從而降低 IT 工作量 ，提供安全審計(jì)記錄。 ? 高效性： 通過(guò)將頻繁操作 的任務(wù)自動(dòng)化處理，簡(jiǎn)化服務(wù)交付流程，提高 IT部門(mén)的生產(chǎn)率。設(shè)備識(shí)別功能一般是在 策略服務(wù) 節(jié)點(diǎn)上啟用， 借助于 網(wǎng)絡(luò) 交換 設(shè)備 ，以及終端設(shè)備的類(lèi)型和屬性 進(jìn)行設(shè)備的識(shí)別。在 ISE 中可以創(chuàng)建不同權(quán)限的接待人帳號(hào)，帳號(hào)信息可以來(lái)自本地?cái)?shù)據(jù)庫(kù)，或者外部的 LDAP 或 AD 數(shù)據(jù)源。 SGA 利用終端設(shè)備在通過(guò)認(rèn)證時(shí)的身份信息，創(chuàng)建一條 在 數(shù)據(jù) 報(bào)文中 添加一個(gè)安全訪(fǎng)問(wèn)標(biāo)簽 (SGT)的授權(quán)策略 ， 思科 ISE 通過(guò)安全組訪(fǎng)問(wèn)控制列表 (SGACL)，根據(jù) SGT 作為判定條件 并 創(chuàng)建授權(quán)策略 。 ? 管理節(jié)點(diǎn) ： 包含所有系統(tǒng)相關(guān) 的配置，以及功能相關(guān)配置，如認(rèn)證，授權(quán)和審計(jì)等。 ? 認(rèn)證 策略 o 第 16 頁(yè) 對(duì)于支持 認(rèn)證的客戶(hù)端，如 Windows 客戶(hù)端， MacBook 客戶(hù)端，甚至移動(dòng)終端設(shè)備如 iPad 等，在接入有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，可以交換機(jī)端口上啟用 認(rèn)證， 或者 在無(wú)線(xiàn)控制器上啟用 認(rèn)證，思科 ISE 作為 Radius 服務(wù)器 ，對(duì)有線(xiàn)或無(wú)線(xiàn)的 客戶(hù)端進(jìn)行認(rèn)證。隨著訪(fǎng)問(wèn)流量的增長(zhǎng)，可以考慮由主 ISE 節(jié)點(diǎn)來(lái)負(fù)責(zé)日志收集角色，或者單獨(dú)增加一個(gè)日志收集節(jié)點(diǎn)。所有的這些信息通過(guò)ISE 進(jìn)行記錄，對(duì)用戶(hù)或終端設(shè)備沒(méi) 有影響。通過(guò)把不同用戶(hù)的流量隔離到 不同的 VLAN 中，高安全模式實(shí)現(xiàn)了網(wǎng)絡(luò)服務(wù)的最基礎(chǔ)的功能。在同一個(gè)辦公室，總經(jīng)理正在利用思科網(wǎng)真 和一個(gè)客戶(hù)進(jìn)行一個(gè)遠(yuǎn)程會(huì)議。 對(duì)于合作伙伴允許其采用自服務(wù)的方式，接入網(wǎng)絡(luò)中，不需要每次都有 接待人 提供訪(fǎng)問(wèn)帳號(hào)。無(wú)論是通過(guò)一個(gè)永久的基于客戶(hù)端的 Agent 程序 還是通過(guò)臨時(shí) Agent 程序進(jìn)行操作，都可以驗(yàn)證終端設(shè)備符合 企業(yè)的狀態(tài)策略。通過(guò)統(tǒng)一管理所有服務(wù)大大簡(jiǎn)化管理工作。屬性是從預(yù)定義字典提取的，包含以下信息：用戶(hù)和 終端設(shè)備 份、安全狀態(tài)驗(yàn)證、身份驗(yàn)證協(xié)議、分析身份或其他外部屬性來(lái)源，從而創(chuàng)建精細(xì)策略。 ? ISE 解決方案 根據(jù)用戶(hù)的需求描述， ISE 解決方案部署如下圖： 第 25 頁(yè) 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略的配置，以滿(mǎn)足企業(yè) 策略應(yīng)用的 要求： 角色 設(shè)備 /技術(shù) 位置 應(yīng)用 服務(wù) 動(dòng)作 全體 iPad 任意 使用 Webex 允許訪(fǎng)問(wèn)，并提供最優(yōu)訪(fǎng)問(wèn) QoS 銷(xiāo)售經(jīng)理 虛擬桌面 園區(qū)網(wǎng)或分支機(jī)構(gòu) 視頻 允許 訪(fǎng)問(wèn)，提供 銅牌級(jí)別QoS 總經(jīng)理 思科網(wǎng)真 分支機(jī)構(gòu) 用戶(hù)會(huì)議 允許 訪(fǎng)問(wèn)， 白金級(jí)別QoS(1080P 分辨率 ) . 場(chǎng)景三 ? 需求描述 確保 銷(xiāo)售門(mén)店的 POS 系統(tǒng)和部署在分支機(jī)構(gòu)的攝像頭 正常工作 ， 并 分配最高優(yōu)先級(jí) 的 QoS 服務(wù)。 Joe 在機(jī)場(chǎng)試圖通過(guò)公司電腦去訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù) 。 對(duì)于認(rèn)證成功的用戶(hù)或終端設(shè)備，包括 、 MAB 或 WebAuth 等 方式通過(guò)認(rèn)證 ， ISE 通過(guò) VLAN 或 dACL 的方式對(duì)接入的交換機(jī)端口進(jìn)行 重新 授權(quán)，允許訪(fǎng)問(wèn)相應(yīng)的網(wǎng)絡(luò)資源。在分布式部署環(huán)境中，可以有一個(gè)主節(jié)點(diǎn)，多個(gè) 備 節(jié)點(diǎn) ，每個(gè)節(jié)點(diǎn) 都可以采用高可用性的部署。 ? 審計(jì) 和報(bào)表 o 記錄認(rèn)證 和授權(quán)過(guò)程 o 檢查網(wǎng)絡(luò)設(shè)備端口的認(rèn)證配置的有效性 o 提供認(rèn)證和授權(quán)的歷史記錄和統(tǒng)計(jì)報(bào)表 . 小型網(wǎng)絡(luò)部署 在小型網(wǎng)絡(luò)中部署思科 ISE， 通常 由兩個(gè)節(jié)點(diǎn)組成，分別為主用 ISE 節(jié)點(diǎn)和備用ISE 節(jié)點(diǎn) （如下圖所示） ，這種部署 方式 最大支持 3000 個(gè) 并發(fā)終端設(shè)備。 ? 在線(xiàn)策略執(zhí)行 節(jié)點(diǎn) ：是部署在網(wǎng)絡(luò)接入設(shè)備后面的策略執(zhí)行節(jié)點(diǎn)，比如部署在VPN 網(wǎng)關(guān)的后面。 思科 ISE 可以根據(jù)通 第 13 頁(yè) 過(guò)認(rèn)證的用戶(hù)或終端設(shè)備，在授權(quán)策略中確定是否啟用 MACSec 加密策略。 ISE 通過(guò) VLAN 或 dACL 對(duì)這個(gè)網(wǎng)段的訪(fǎng)問(wèn)權(quán)限進(jìn)行控制， VLAN 或 dACL 會(huì)下發(fā)到網(wǎng)絡(luò) 交換機(jī)或無(wú)線(xiàn)控制器 設(shè)備 。 終端 設(shè)備健康狀態(tài) 檢查包括檢查 設(shè)備運(yùn)行的操作系統(tǒng)版本，最新防病毒或防惡意軟件的特征庫(kù)，必要的的話(huà)還可以包括是否安裝了正確的 Agent 程序，要檢查哪些項(xiàng)目， 都可以通過(guò) ISE 管理員進(jìn)行配置 。 認(rèn)證和授權(quán)是企業(yè)網(wǎng)絡(luò)安全不可或缺的部分。 ? 使用主動(dòng)終端設(shè)備掃描，使得在識(shí)別網(wǎng)絡(luò)設(shè)備時(shí)獲得更精細(xì)的 數(shù)據(jù)。 . 思科 ISE 功能 簡(jiǎn)介 思科 Identity Services Engine（ 簡(jiǎn)稱(chēng) ISE） 身份服務(wù)引擎是 思科可信網(wǎng)絡(luò)架構(gòu)TrustSec174。借助于思科 ISE，管理員可以以統(tǒng)一的方式集中創(chuàng)建和管理用戶(hù)和終端設(shè)備 的訪(fǎng)問(wèn)控制策略，并 獲得接入 網(wǎng)絡(luò)的所有設(shè)備的端到端可見(jiàn)性。 思科 ISE 解決 方 案能夠?yàn)槠髽I(yè)帶來(lái)以下的益處 ： ? 安全性：提高接入 網(wǎng)絡(luò)訪(fǎng)問(wèn) 的用戶(hù)和 終端 設(shè)備的 可視性、歷史報(bào)告以及 強(qiáng)大的 故障排除工具，從而降低運(yùn)營(yíng)成本。例如，通過(guò) FlexAuth， IT 管理員可以在單個(gè)接口上啟用 ， MAB，和 WebAuth 的認(rèn)證序列，從而滿(mǎn)足各種認(rèn)證的需求。訪(fǎng)問(wèn)網(wǎng)絡(luò)的策略和網(wǎng)段的 分配 ，可以通過(guò)網(wǎng)絡(luò)接入設(shè)備（ NAD） 的 動(dòng)態(tài) VLAN 或 dACL 來(lái)進(jìn)行控制。 當(dāng)企業(yè)員工攜帶自己的設(shè)備 BYOD 訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)， ISE 提供了 BYOD 設(shè)備的自注冊(cè)服務(wù)， 當(dāng)用戶(hù) BYOD 連接到無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，會(huì)被重定向到注冊(cè)的門(mén)戶(hù)網(wǎng)站，然后用戶(hù)輸入相應(yīng)的 MAC 地址（見(jiàn)下圖） 。 ISE 支持高可用性和可擴(kuò)展性的架構(gòu)，支持獨(dú)立部署，集中式部署和分布式部署。 ISE 支持將兩個(gè)監(jiān)控和排錯(cuò) 節(jié)點(diǎn)以高可用性方式部署，兩個(gè)節(jié)點(diǎn)同時(shí)收集 日志信息，如果主用節(jié)點(diǎn)出現(xiàn)故障，那么備用節(jié)點(diǎn)會(huì)自動(dòng)接管，成為主用 節(jié)點(diǎn)。 這種分離式部署的另一個(gè)優(yōu)點(diǎn)是，還可以指定 某個(gè) 節(jié)點(diǎn)充當(dāng)不同的角色，如備 ISE節(jié)點(diǎn)可以單獨(dú)作為日志收集的角色。監(jiān)控模式在一些應(yīng)用場(chǎng)景非常有用，比如在門(mén)上安裝了一個(gè)攝像頭用來(lái)監(jiān)控和記錄進(jìn)出門(mén)的情況。 在高安全部署模式下，解決這類(lèi)問(wèn)題的方法是，讓交換機(jī)先進(jìn)行 MAB 認(rèn)證，這樣一來(lái)對(duì)于不支持 的設(shè)備通過(guò) MAB 認(rèn)證后就能夠訪(fǎng)問(wèn)網(wǎng)絡(luò)了，不會(huì)有太大的延遲。他訪(fǎng)問(wèn)的虛擬機(jī)實(shí)際上部署在數(shù)據(jù)中心 。 ? 應(yīng)用場(chǎng)景 和挑戰(zhàn) 外來(lái)訪(fǎng)客或合作伙伴來(lái)到 公司時(shí)，有連接 互聯(lián)網(wǎng) 訪(fǎng)問(wèn)的需求，包括有線(xiàn)用戶(hù)和無(wú)線(xiàn)用戶(hù)，都需要經(jīng)過(guò)認(rèn)證和授權(quán)才可以訪(fǎng)問(wèn) 互聯(lián)網(wǎng) 。 訪(fǎng)客生命周期管理 支持全面 訪(fǎng) 客生命周期管理，由此訪(fǎng)客用戶(hù)可以通過(guò)管理員授權(quán)身份或通過(guò)訪(fǎng)客門(mén)戶(hù)頁(yè)面 進(jìn)行自 服務(wù) 的方式在限定時(shí)間 段內(nèi)訪(fǎng)問(wèn)網(wǎng)絡(luò)。 平臺(tái)選擇 可用平臺(tái)包括 物理 設(shè)備 或虛擬設(shè)備， 共 有三個(gè)物理設(shè)備型號(hào)和 基于 VMware ESX 或 ESXi 的虛擬 設(shè)備 第 29 頁(yè) . ISE 設(shè)備型號(hào)與規(guī)格 思科 ISE 身份服務(wù)引擎 提供了兩種安裝方式：安裝在硬件物理設(shè)備或安裝在VMWare 虛擬機(jī)上。 設(shè)備識(shí)別 設(shè)備出場(chǎng)就預(yù)置了 各種 終端設(shè)備 （如 IP 電話(huà)、打印機(jī)、 IP 相機(jī)、智能手機(jī)和平板電腦）的 設(shè)備模板。公司管理層最關(guān)心的是客戶(hù)買(mǎi)賣(mài)交易的成功進(jìn)行，同時(shí)公司的安全部門(mén)能夠通過(guò) IP 攝像頭對(duì)分支機(jī)構(gòu)進(jìn)行視頻監(jiān)控 。 ? ISE 解決方案 根據(jù)用戶(hù)的需求描述， ISE 解決方案部署如下圖 ，顯示 了 策略應(yīng)用的工作流程 ： 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略 的配置， 以 滿(mǎn)足企業(yè) 數(shù)據(jù)保