【正文】 護(hù)與 合規(guī)要求： 第 24 頁(yè) 用戶 角色 設(shè)備 應(yīng)用服務(wù) 位置 動(dòng)作 全體 任意 iPad 產(chǎn)品訂購(gòu)系統(tǒng) 所有位置 禁止訪問(wèn) 全體 任意 iPad 公司外部 允許 訪問(wèn) 任意 財(cái)務(wù) 公司設(shè)備 產(chǎn)品訂購(gòu)系統(tǒng) 公司內(nèi)部 允許 訪問(wèn) 任意 財(cái)務(wù) 公司設(shè)備 公司內(nèi)部 允許 訪問(wèn) . 場(chǎng)景 二 ? 需求描述 優(yōu)先級(jí) 別 。 在高安全部署模式中，交換機(jī)端口是關(guān)閉的，只有通過(guò)認(rèn)證后才會(huì)打開(kāi)。 下面是 三種部署模式， 對(duì)應(yīng)不同的部署階段： ? 監(jiān)控 模式 ? 低影響 模式 ? 高安全 模式 . 監(jiān)控 模式 監(jiān)控模式部署的目的是，監(jiān)控網(wǎng)絡(luò)狀況，評(píng)估潛在風(fēng)險(xiǎn)，為啟用認(rèn)證和授權(quán)的訪問(wèn)控制部署做好準(zhǔn)備。 在這種部署模式下， 所有的認(rèn)證、授權(quán)和審計(jì)的行為都是通過(guò)網(wǎng)絡(luò)設(shè)備與 主 ISE節(jié)點(diǎn)完成的 ，只有在主節(jié)點(diǎn)出現(xiàn)故障時(shí)，才會(huì)訪問(wèn)備節(jié)點(diǎn) 。 ISE 支持 同時(shí) 部署兩個(gè) 在線策略 節(jié)點(diǎn)，配置為 ActiveStandby 的高可用部署模式。 思科 ISE 的管理員能夠通過(guò)用戶界面集中進(jìn)行網(wǎng)絡(luò)身份的管理，分配不同的管理員角色和權(quán)限，賦予不同的管理任務(wù)，包括： ? 用戶角色和 分配 任務(wù)的數(shù)據(jù)庫(kù) ? 集中式的管理工作區(qū) ? 網(wǎng)絡(luò)監(jiān)控與安全狀況概覽 ? 復(fù)雜數(shù)據(jù)的直觀可視化 ISE 提供全面的的報(bào)表 ，能夠顯示認(rèn)證、授權(quán)、審計(jì)、終端檢查、探測(cè)、訪客管理等詳細(xì)的當(dāng)前和歷史信息。 ? 訪客行為報(bào)表 ： 監(jiān)控已經(jīng)通過(guò)認(rèn)證的，已經(jīng)連接到網(wǎng)絡(luò)中的訪客。 NAC Agent 可以幫助完成防病毒和防惡意軟件特征庫(kù)的更新，發(fā)布文件到策略服務(wù)節(jié)點(diǎn)上，發(fā)布用于更新防病毒特征庫(kù)的網(wǎng)站的鏈接。分組授權(quán)可以通過(guò)動(dòng)態(tài) VLAN 或者 dACL，以及 URL 重定向等方式對(duì)訪問(wèn)企業(yè)資源進(jìn)行進(jìn)一步的限制。通過(guò)該服務(wù)，管理員可以對(duì)某個(gè)終端設(shè)備進(jìn)行操作，例如將終端設(shè)備分配 到新的 VLAN、返回原始 VAN、或?qū)⒋私K端完全與網(wǎng)絡(luò)隔離。思科 ISE 的獨(dú)特 架構(gòu)可幫助企 業(yè)從網(wǎng)絡(luò)、用戶和設(shè)備收集實(shí)時(shí) 信息，通過(guò)在有線、無(wú)線和遠(yuǎn)程網(wǎng)絡(luò) 訪問(wèn)等多種情景下， 實(shí)施 訪問(wèn)控制策略，并以此 制定出有效 的管理決策。 思科身份服務(wù)引擎提供了一個(gè)非常強(qiáng)大而靈活的 ， 基于 策略的訪問(wèn)控制解決方案。所有操作均可在一 個(gè)統(tǒng)一 界面上完成。思科 ISE 集成了多種外部數(shù)據(jù)源，對(duì)用戶進(jìn)行認(rèn)證和 授權(quán)，同時(shí) 獲取用戶分組信息其他屬性用于授權(quán)策略。 NAC Agent 不需要手工下載和安裝，而是通過(guò)用戶在 HTTP 登錄時(shí)推送給 客戶 機(jī) ，并在客戶端 自動(dòng) 安裝到某個(gè)臨時(shí)目錄， 并在該目錄下對(duì)客戶端進(jìn)行掃描，并將掃描結(jié)果報(bào)告給 ISE，然后在由 ISE 決定授權(quán)策略 ?？梢栽O(shè)置一個(gè)告警通知，當(dāng)監(jiān)控到有訪客接入時(shí)，向管理員發(fā)出告警。 ISE 提供了 API 接口 給用戶 做 二次開(kāi)發(fā) ， 可以直接查詢 ISE 的 數(shù)據(jù) ，從而可以將ISE 的數(shù)據(jù)與 用戶的外部 報(bào)表系統(tǒng)整合在一起 。 ? 監(jiān)控與排錯(cuò) 節(jié)點(diǎn) ： 將所有 Administration 節(jié)點(diǎn)和 Inline Posture 策略執(zhí)行節(jié)點(diǎn) 的日志信息進(jìn)行收集和存儲(chǔ)。 因此， 要確保主節(jié)點(diǎn)和備節(jié)點(diǎn)能夠同步或復(fù)制配置信息，備節(jié)點(diǎn)能夠保持與主節(jié)點(diǎn) 保持 相同的配置 信息 。 通過(guò)監(jiān)控模式可以獲取網(wǎng)絡(luò)的基本狀況： ? 哪些設(shè)備接入到了網(wǎng)絡(luò) ? 那些設(shè)備安裝了 認(rèn)證客戶端 ? 哪些用戶輸入了正確的帳號(hào)信息 ? 哪些用戶輸入了錯(cuò)誤的帳號(hào)信息 監(jiān)控模式 雖然 啟用身份驗(yàn)證， 如 、 MAB 或 WebAuth，但對(duì)用戶和終端設(shè)備訪問(wèn)網(wǎng)絡(luò)沒(méi)有影響 ，即使 認(rèn)證失敗，仍然允許訪問(wèn)網(wǎng)絡(luò) 。這里沒(méi)有在交換機(jī)端口預(yù)先設(shè)置 ACL的概念。 、設(shè)備 類(lèi)型 、位置和服務(wù)場(chǎng)景對(duì)訪問(wèn)授權(quán)。 這是典型的零售行業(yè)的網(wǎng)絡(luò)環(huán)境，同時(shí)對(duì)多個(gè)分支機(jī)構(gòu)進(jìn)行各種配置，是一個(gè)耗時(shí)又容易出錯(cuò)的工作 。此外，管理員還可以創(chuàng)建屬于自己的設(shè)備模板。 安裝 ISE 的物理設(shè)備型號(hào)有以下 3 種： 思科身份服務(wù)引擎設(shè)備 3315（小型） 思科身份服務(wù)引擎設(shè)備 3355（中型） 思科身份服務(wù)引擎 3395（大型） 處理器 1 個(gè) 四核英特爾酷睿 2 CPU Q9400（ GHz） 1 個(gè)四核英特爾至強(qiáng) CPU E5504（ GHz） 2 個(gè)四核英特爾至強(qiáng) CPU E5504（ GHz） 內(nèi)存 4 GB 4 GB 4 GB 硬盤(pán) 2 個(gè) 250GB SATA 硬盤(pán) 2 個(gè) 300GB SAS 驅(qū)動(dòng)器 4 個(gè) 300GB SFF SAS 驅(qū)動(dòng)器 RAID 否 是 (RAID 0) 是 (RAID 0+1) 可移動(dòng)介質(zhì) CD/DVDROM 光驅(qū) CD/DVDROM 光驅(qū) CD/DVDROM 光驅(qū) 網(wǎng)絡(luò)連接 以太網(wǎng)卡 單個(gè) 集成的千兆網(wǎng)卡 4 個(gè)集成的千兆以太網(wǎng)卡 4 個(gè)集成的千兆以太網(wǎng)卡 10BASET 電纜支持 Cat 4 或 5 無(wú)屏蔽雙絞線 (UTP) 長(zhǎng)達(dá) 328 英尺 （ 100 米 ） Cat 4 或 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） Cat 4 或 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） 10/100/1000BASETX 電纜支持 Cat 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） Cat 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） Cat 5 UTP 長(zhǎng)達(dá) 328 英尺（ 100 米） 安全套接層 (SSL) 加速卡 無(wú) Cavium CN1620400NHBG Cavium CN1620400NHBG 接口 串行端口 1 個(gè) 1 個(gè) 1 個(gè) USB 端口 4 個(gè)（ 2 個(gè)前置、 2 個(gè)后置） 4 個(gè)（ 1 個(gè)前置、 1 個(gè)內(nèi)置、 2 個(gè)后置 4 個(gè)（ 1 個(gè)前置、 1 個(gè)內(nèi)置、 2 個(gè)后置） 視頻端口 1 個(gè) 1 個(gè) 1 個(gè) 外部 SCSI 端口 無(wú) 無(wú) 無(wú) 系統(tǒng)部件 外形 機(jī)架安裝式 1 RU 機(jī)架安裝式 1 RU 機(jī)架安裝式 1 RU 重量 全配置情況下 28 磅（ 千克 ） 全配置情況下 35 磅（ 千克） 全配置情況下 35 磅（ 千克） 尺寸 x x 22 英寸 （ 43 x 440 x 毫米 ） x x 英寸 （ 43 x x 711 毫米 ） x x 英寸 （ 43 x x 711 毫米 ） 電源 350W 雙 675W（冗余） 雙 675W（冗余） 散熱風(fēng)扇 6 個(gè)，非熱插拔，無(wú)冗余 9 個(gè)，冗余 9 個(gè)，冗余 第 30 頁(yè) BTU 額定率 1024 BTU/小時(shí) (300W) 2661 BTU/小時(shí) (120V) 2661 BTU/小時(shí) (120V) 法規(guī)與標(biāo)準(zhǔn)合規(guī)性 行業(yè)認(rèn)證 Criteria EAL2 Criteria EAL2 Criteria EAL2 思科 ISE 也可以安裝在 VMWare ESX 或 ESXi 虛擬機(jī)上 ，但要求虛擬機(jī)的硬件配置不能上面 3 中硬件設(shè)備的配置。管理員還可以根據(jù)設(shè)備類(lèi)型關(guān)聯(lián) 與其相關(guān)的 授權(quán)策略。 IT 部門(mén)如何能夠提供基于設(shè)備和服務(wù)場(chǎng)景提供不同優(yōu)先級(jí)的，具備可擴(kuò)展性，可靠的服務(wù)？ ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 提供了基于策略的 解決方案部署： 第 26 頁(yè) 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略的配置 ： 設(shè)備 目標(biāo)資源 設(shè)備類(lèi)型 動(dòng)作 POS 系統(tǒng) PCI 后臺(tái)交易系統(tǒng) 公司設(shè)備 設(shè)置 白金級(jí)別 QoS 策略 安全攝像頭 總部安全部門(mén) 公司設(shè)備 設(shè)置 金牌級(jí)別 QoS 策略 完成 ISE 部署之后， ISE 提供以下的監(jiān)控與審計(jì)報(bào)表： 設(shè)備 目標(biāo)資源 時(shí)間 位置 應(yīng)用場(chǎng)景 動(dòng)作 POS 系統(tǒng) （公司設(shè)備） PCI 后臺(tái)交易系統(tǒng) 17:30 廣州分公司 白 金 級(jí) 別QoS 服務(wù) 授權(quán) 動(dòng)作 ， 授權(quán) 時(shí)間 IP 攝像頭 （公司設(shè)備） 總部 視頻服務(wù)器 18:01 濟(jì)南分公司 金 牌 級(jí) 別QoS 服務(wù) 授權(quán) 動(dòng)作 ， 授權(quán) 時(shí)間 IP 攝像頭 （未知設(shè)備） 外部視頻服務(wù)器 16:05 武漢公司 任意 拒絕 動(dòng)作 ， 發(fā)送 告警 . 場(chǎng)景四 ? 需求描述 訪客接入網(wǎng)絡(luò)需要通過(guò)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò)，由不同部門(mén)的 接待人 為訪客創(chuàng)建臨時(shí)訪問(wèn)帳號(hào)。 ? 應(yīng)用場(chǎng)景 和挑戰(zhàn) Joe 使用了虛擬桌面。這是因?yàn)榻粨Q機(jī)總是先采用最安全的認(rèn)證方式，直到超時(shí)后轉(zhuǎn)到 MAB等認(rèn)證方式。 Open Access 模式在啟用認(rèn)證，如 、 MAB 或 WebAuth 等 情況下，即使在認(rèn)證失敗的情況下，仍然允許接入到網(wǎng)絡(luò)中。這種方式要求每個(gè)節(jié)點(diǎn)都能夠支持所有的 AAA 認(rèn)證負(fù)載，這樣可以確保任意一個(gè)節(jié)點(diǎn)出現(xiàn)故障時(shí)，另一個(gè)節(jié)點(diǎn)都可以支持所有的認(rèn)證請(qǐng)求。該節(jié)點(diǎn)還還對(duì)相關(guān)數(shù)據(jù)進(jìn)行整理，通過(guò)各種形式的報(bào)表呈現(xiàn)出來(lái)。 ISE 典型部署架構(gòu) . 組件描述 思科 ISE包含了四個(gè)組件： 管理節(jié)點(diǎn) Administration)， 策略服務(wù)節(jié)點(diǎn) Policy Service，在線策略執(zhí)行 Inline Posture 和 報(bào)表與監(jiān)控節(jié)點(diǎn) Monitoring and Troubleshooting，這些組件也可以稱(chēng)為 ISE 的 角色，每個(gè)角色提供不同的服務(wù)，每個(gè)部署節(jié)點(diǎn)可以承擔(dān)一個(gè)或多個(gè)角色的功能。 ? 訪客接待人 報(bào)表 ： 顯示接待人創(chuàng)建的訪客帳號(hào)的情況，以及通過(guò)自助服務(wù)方式登錄到網(wǎng)絡(luò)的訪客的數(shù)量。 ISE 管理員可以根據(jù)用戶類(lèi)型，角色和時(shí)間確定是否可以訪問(wèn)內(nèi)網(wǎng)或者公網(wǎng)。 這包括了高級(jí) RADIUS 的特性，比如 FlexAuth，監(jiān)控模式，多域認(rèn)證 (MultiDomain Authentication)。 思科 ISE 借助于各種類(lèi)型的設(shè)備探測(cè)與識(shí)別，靈活的終端訪問(wèn)控制，提供了全面的 BYOD解決方案，是唯一能夠 利用網(wǎng)絡(luò)設(shè)備傳感器和實(shí)時(shí)地 終端設(shè)備掃描 的廠商，幫助企業(yè)用戶為種類(lèi)繁多的 BYOD 提供訪問(wèn) 控制 策略。這樣極大地降低了復(fù)雜性，實(shí)現(xiàn)了整個(gè)企業(yè) 網(wǎng)絡(luò)安全策略 的一致性。 解決方案和 SecureX 架構(gòu)的不可或缺的組成部分。通過(guò)對(duì)指定的終端設(shè)備進(jìn)行具體設(shè)備屬性掃描來(lái)增加基于網(wǎng)絡(luò)的 設(shè)備識(shí)別 ，從而更準(zhǔn)確、更全面地了解網(wǎng)絡(luò)狀況。 思科 ISE 作為控制平面，可以實(shí)現(xiàn)對(duì)有線、無(wú)線和遠(yuǎn)程 VPN 接入網(wǎng)絡(luò)的用戶或設(shè)備進(jìn)行認(rèn)證和授權(quán)。