【正文】 平臺(tái)選擇 可用平臺(tái)包括 物理 設(shè)備 或虛擬設(shè)備， 共 有三個(gè)物理設(shè)備型號(hào)和 基于 VMware ESX 或 ESXi 的虛擬 設(shè)備 第 29 頁(yè) . ISE 設(shè)備型號(hào)與規(guī)格 思科 ISE 身份服務(wù)引擎 提供了兩種安裝方式：安裝在硬件物理設(shè)備或安裝在VMWare 虛擬機(jī)上。 集中管理 支持管理員在單個(gè)基于 Web 的 GUI 控制臺(tái)上集中配置和管理分析器、狀態(tài)、訪客、身份驗(yàn)證和授權(quán)服務(wù)?？蓜?chuàng)建強(qiáng)大的 評(píng)估 策略，檢查 終端設(shè)備 的以下?tīng)顟B(tài)信息：最新操作 系統(tǒng)補(bǔ)丁、使用當(dāng)前定義文件變量（版本、日期等）的防病毒 /反間諜軟件包、注冊(cè)表（項(xiàng)、值等）以及應(yīng)用 程序 。 訪客生命周期管理 支持全面 訪 客生命周期管理，由此訪客用戶可以通過(guò)管理員授權(quán)身份或通過(guò)訪客門(mén)戶頁(yè)面 進(jìn)行自 服務(wù) 的方式在限定時(shí)間 段內(nèi)訪問(wèn)網(wǎng)絡(luò)。 設(shè)備識(shí)別 設(shè)備出場(chǎng)就預(yù)置了 各種 終端設(shè)備 （如 IP 電話、打印機(jī)、 IP 相機(jī)、智能手機(jī)和平板電腦）的 設(shè)備模板。 策略模型 提供基于規(guī)則 、屬性驅(qū)動(dòng)的策略模型，用以創(chuàng)建靈活的、與業(yè)務(wù)相關(guān)的訪問(wèn)控制策略。 ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 提供了 訪客 服務(wù) 。 ? 應(yīng)用場(chǎng)景 和挑戰(zhàn) 外來(lái)訪客或合作伙伴來(lái)到 公司時(shí)，有連接 互聯(lián)網(wǎng) 訪問(wèn)的需求，包括有線用戶和無(wú)線用戶，都需要經(jīng)過(guò)認(rèn)證和授權(quán)才可以訪問(wèn) 互聯(lián)網(wǎng) 。公司管理層最關(guān)心的是客戶買(mǎi)賣(mài)交易的成功進(jìn)行，同時(shí)公司的安全部門(mén)能夠通過(guò) IP 攝像頭對(duì)分支機(jī)構(gòu)進(jìn)行視頻監(jiān)控 。 IT 經(jīng)理希望制定一些策略能夠自動(dòng)的實(shí)現(xiàn)這些要求。從總部到分支的廣域網(wǎng)鏈路正在被這種 流量占滿。他訪問(wèn)的虛擬機(jī)實(shí)際上部署在數(shù)據(jù)中心 。 ? ISE 解決方案 根據(jù)用戶的需求描述， ISE 解決方案部署如下圖 ，顯示 了 策略應(yīng)用的工作流程 ： 通過(guò) ISE 完成以下的認(rèn)證與授權(quán)策略 的配置， 以 滿足企業(yè) 數(shù)據(jù)保護(hù)與 合規(guī)要求： 第 24 頁(yè) 用戶 角色 設(shè)備 應(yīng)用服務(wù) 位置 動(dòng)作 全體 任意 iPad 產(chǎn)品訂購(gòu)系統(tǒng) 所有位置 禁止訪問(wèn) 全體 任意 iPad 公司外部 允許 訪問(wèn) 任意 財(cái)務(wù) 公司設(shè)備 產(chǎn)品訂購(gòu)系統(tǒng) 公司內(nèi)部 允許 訪問(wèn) 任意 財(cái)務(wù) 公司設(shè)備 公司內(nèi)部 允許 訪問(wèn) . 場(chǎng)景 二 ? 需求描述 優(yōu)先級(jí) 別 。 ? 應(yīng)用場(chǎng)景 Joe 在辦公室通過(guò)公司配發(fā)的筆記本電腦可以訪問(wèn)各種用戶數(shù)據(jù)，用戶數(shù)據(jù)的訪問(wèn)是 受限制 的， Joe 能夠訪問(wèn)這些數(shù)據(jù)是因?yàn)樗秦?cái)務(wù)部的員工，并且在 Active Directory 中分配了訪問(wèn)權(quán)限 。 對(duì)于認(rèn)證失敗或者不支持認(rèn)證的設(shè)備，交換機(jī)的端口仍然保持關(guān)閉，也就是說(shuō)這些設(shè)備沒(méi)有任何訪問(wèn)權(quán)限。 在高安全部署模式下，解決這類問(wèn)題的方法是，讓交換機(jī)先進(jìn)行 MAB 認(rèn)證，這樣一來(lái)對(duì)于不支持 的設(shè)備通過(guò) MAB 認(rèn)證后就能夠訪問(wèn)網(wǎng)絡(luò)了，不會(huì)有太大的延遲。 在高安全部署模式中，交換機(jī)端口是關(guān)閉的，只有通過(guò)認(rèn)證后才會(huì)打開(kāi)。 在低影響 模式 中 ，對(duì) 于認(rèn)證失敗的終端設(shè)備， 交換機(jī)通過(guò)端口預(yù)先配置的 ACL，可以 允許提供基本的網(wǎng)絡(luò)服務(wù)，如 DHCP 或 TFTP 等。 思科 ISE 在監(jiān)控模式部署階段中， 提供了整個(gè)網(wǎng)絡(luò)的可視性， 詳細(xì)地記錄了認(rèn)證 第 21 頁(yè) 和審計(jì)的信息，這些信息包括： ? 通過(guò)或失敗的 EAP 認(rèn)證請(qǐng)求 支持 的終端設(shè)備列表 不支持 的終端設(shè)備列表 ? 通過(guò)或失敗的 MAB 認(rèn)證請(qǐng)求 有效的 MAC 地址列表 無(wú)效的或者未知 的 MAC 地址列表 管理員根據(jù)這些 設(shè)備列表 信息，將對(duì)認(rèn)證失敗或無(wú)效 MAC 的終端設(shè)備進(jìn)行故障排除，直到所有終端設(shè)備都能成功通過(guò)認(rèn)證 ，就可以結(jié)束監(jiān)控模式，進(jìn)入 低影響 模式。監(jiān)控模式在一些應(yīng)用場(chǎng)景非常有用，比如在門(mén)上安裝了一個(gè)攝像頭用來(lái)監(jiān)控和記錄進(jìn)出門(mén)的情況。 下面是 三種部署模式， 對(duì)應(yīng)不同的部署階段： ? 監(jiān)控 模式 ? 低影響 模式 ? 高安全 模式 . 監(jiān)控 模式 監(jiān)控模式部署的目的是，監(jiān)控網(wǎng)絡(luò)狀況，評(píng)估潛在風(fēng)險(xiǎn)，為啟用認(rèn)證和授權(quán)的訪問(wèn)控制部署做好準(zhǔn)備。 第 19 頁(yè) ISE 支持高可用性和可擴(kuò)展性的架構(gòu)，支持獨(dú)立部署，集中式部署和分布式部署。 . 大型網(wǎng)絡(luò)部署 在大型網(wǎng)絡(luò)部署中，通常要包括一個(gè)主 ISE 節(jié)點(diǎn)，多個(gè)備 ISE 節(jié)點(diǎn)，這種部署可以支持最大 10000 個(gè)并發(fā)的終端設(shè)備。 這種分離式部署的另一個(gè)優(yōu)點(diǎn)是，還可以指定 某個(gè) 節(jié)點(diǎn)充當(dāng)不同的角色，如備 ISE節(jié)點(diǎn)可以單獨(dú)作為日志收集的角色。 在這種部署模式下， 所有的認(rèn)證、授權(quán)和審計(jì)的行為都是通過(guò)網(wǎng)絡(luò)設(shè)備與 主 ISE節(jié)點(diǎn)完成的 ，只有在主節(jié)點(diǎn)出現(xiàn)故障時(shí)，才會(huì)訪問(wèn)備節(jié)點(diǎn) 。對(duì)于無(wú)線接入方式，可以直接為客戶端對(duì)于的空口分配 ACL。 o MAB 對(duì)于不支持 認(rèn)證的終端設(shè)備，如打印機(jī)、 IP 話機(jī)、 IP 攝像頭等 不支持交互式認(rèn)證的 設(shè)備， 在接入有線或無(wú)線網(wǎng)絡(luò)時(shí)， 可以在交換機(jī)端口或無(wú)線控制器啟用 MAB（ MAC Authentication Bypass）方式進(jìn)行認(rèn)證 ，思科 ISE 作為 Radius 服務(wù)器的 ，完成對(duì)這類終端設(shè)備的 MAB 認(rèn)證。 ISE 支持將兩個(gè)監(jiān)控和排錯(cuò) 節(jié)點(diǎn)以高可用性方式部署，兩個(gè)節(jié)點(diǎn)同時(shí)收集 日志信息，如果主用節(jié)點(diǎn)出現(xiàn)故障，那么備用節(jié)點(diǎn)會(huì)自動(dòng)接管，成為主用 節(jié)點(diǎn)。 ISE 支持 同時(shí) 部署兩個(gè) 在線策略 節(jié)點(diǎn)，配置為 ActiveStandby 的高可用部署模式。 策略服務(wù) 將思科 NAC Server， NAC Guest Server，Cisco NAC Profiler 和 ACS 的功能整和 到一個(gè)組件上。 Administration 節(jié)點(diǎn)整合了傳統(tǒng)的思科 NAC Manager 的功能，以及 ACS功能以及 ACS 視圖功能。 ISE 支持高可用性和可擴(kuò)展性的架構(gòu)，支持獨(dú)立部署，集中式部署和分布式部署。 思科 ISE 的管理員能夠通過(guò)用戶界面集中進(jìn)行網(wǎng)絡(luò)身份的管理，分配不同的管理員角色和權(quán)限，賦予不同的管理任務(wù)，包括： ? 用戶角色和 分配 任務(wù)的數(shù)據(jù)庫(kù) ? 集中式的管理工作區(qū) ? 網(wǎng)絡(luò)監(jiān)控與安全狀況概覽 ? 復(fù)雜數(shù)據(jù)的直觀可視化 ISE 提供全面的的報(bào)表 ，能夠顯示認(rèn)證、授權(quán)、審計(jì)、終端檢查、探測(cè)、訪客管理等詳細(xì)的當(dāng)前和歷史信息。 要實(shí)現(xiàn) MACSec 加密 的數(shù)據(jù)傳輸 ， 需要客戶端和網(wǎng)絡(luò)設(shè)備支持 MACSec 的加密功能，數(shù)據(jù)報(bào)文是以 密文 方式 在網(wǎng)絡(luò)中傳輸 的 ，交換機(jī)在入接口對(duì)數(shù)據(jù)解密，在出接口為數(shù)據(jù)加密，在交換機(jī)內(nèi)部仍然可 以應(yīng)用各種訪問(wèn)控制策略。 如下圖所示， 醫(yī)生和 IT 管理員接入網(wǎng)絡(luò)后，分別分配了 SGT=6 和 SGT=10 的標(biāo) 第 12 頁(yè) 簽，根據(jù) SGACL 列表中分配的訪問(wèn)權(quán)限，醫(yī)生可以訪問(wèn)敏感信息服務(wù)器，但是禁止訪問(wèn) IT 服務(wù)器，而 IT 管理員運(yùn)行訪問(wèn) IT 服務(wù)器，但是禁止訪問(wèn)敏感信息服務(wù)器。 當(dāng)企業(yè)員工攜帶自己的設(shè)備 BYOD 訪問(wèn)網(wǎng)絡(luò)時(shí)， ISE 提供了 BYOD 設(shè)備的自注冊(cè)服務(wù)， 當(dāng)用戶 BYOD 連接到無(wú)線網(wǎng)絡(luò)時(shí)，會(huì)被重定向到注冊(cè)的門(mén)戶網(wǎng)站，然后用戶輸入相應(yīng)的 MAC 地址（見(jiàn)下圖） 。 ? 訪客行為報(bào)表 ： 監(jiān)控已經(jīng)通過(guò)認(rèn)證的，已經(jīng)連接到網(wǎng)絡(luò)中的訪客。 當(dāng)獲得訪問(wèn)帳號(hào)的訪客首次接入網(wǎng)絡(luò)后，無(wú)論是通過(guò)有線還是無(wú)線的方式，都會(huì)被分配到一個(gè) 具有 很低訪問(wèn)權(quán)限的網(wǎng)段中。 ? 管理員 ： 是指 能夠?qū)?在 ISE 上對(duì)接待人權(quán)限 進(jìn)行配置和管理的帳號(hào)。訪問(wèn)網(wǎng)絡(luò)的策略和網(wǎng)段的 分配 ，可以通過(guò)網(wǎng)絡(luò)接入設(shè)備（ NAD） 的 動(dòng)態(tài) VLAN 或 dACL 來(lái)進(jìn)行控制。 NAC Agent 可以幫助完成防病毒和防惡意軟件特征庫(kù)的更新，發(fā)布文件到策略服務(wù)節(jié)點(diǎn)上，發(fā)布用于更新防病毒特征庫(kù)的網(wǎng)站的鏈接。下圖是思科 ISE 預(yù)配置的主要的設(shè)備類型列表： . 終端 設(shè)備 健康狀態(tài) 檢查 思科 ISE 可以 利用終端服務(wù)功能模塊，對(duì)終端設(shè)備 進(jìn)行 健康狀態(tài) 檢查，以確保設(shè)備狀態(tài)符合公司的安全策略，同時(shí)對(duì)不符合公司合規(guī)性要求的終端設(shè)備限制訪問(wèn)網(wǎng)絡(luò) ，甚至還可以提供修復(fù)的功能 。 思科 ISE 可以使用以下屬性來(lái)識(shí)別設(shè)備類型： ? MAC OUI ? DHCP 信息 ? RADIUS 信息 ? HTTP 信息 ? DNS 查詢信息 第 9 頁(yè) ? NetFlow 信息 ? NMAP ? SNMPQUERY ? SNMPTRAP ISE 的 設(shè)備識(shí)別是一個(gè)持續(xù)的過(guò)程。例如，通過(guò) FlexAuth， IT 管理員可以在單個(gè)接口上啟用 ， MAB，和 WebAuth 的認(rèn)證序列，從而滿足各種認(rèn)證的需求。分組授權(quán)可以通過(guò)動(dòng)態(tài) VLAN 或者 dACL，以及 URL 重定向等方式對(duì)訪問(wèn)企業(yè)資源進(jìn)行進(jìn)一步的限制。 . 認(rèn)證和授權(quán)策略 通過(guò) 思科 ISE 可以阻止未經(jīng)授權(quán)的終端設(shè)備 接入到網(wǎng)絡(luò)中，是降低企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效方式 。 第 7 頁(yè) 2. 思科可信網(wǎng)絡(luò) 架構(gòu) . 身份和訪問(wèn)策略控制 思科 ISE 是思科可信網(wǎng)絡(luò)解決方案的關(guān)鍵組件。 思科 ISE 解決 方 案能夠?yàn)槠髽I(yè)帶來(lái)以下的益處 ： ? 安全性：提高接入 網(wǎng)絡(luò)訪問(wèn) 的用戶和 終端 設(shè)備的 可視性、歷史報(bào)告以及 強(qiáng)大的 故障排除工具，從而降低運(yùn)營(yíng)成本。通過(guò)該服務(wù)，管理員可以對(duì)某個(gè)終端設(shè)備進(jìn)行操作，例如將終端設(shè)備分配 到新的 VLAN、返回原始 VAN、或?qū)⒋私K端完全與網(wǎng)絡(luò)隔離。 ? 提供了一個(gè)內(nèi)置的監(jiān)控、報(bào)告和故障排除控制臺(tái)，協(xié)助技術(shù)支持人員和管理員的操作排除故障。 ? 提供可定制門(mén)戶網(wǎng)站及網(wǎng)頁(yè)托管，簡(jiǎn)化業(yè)務(wù)定義工作流程，提升整體的用戶訪問(wèn)體驗(yàn)。借助于思科 ISE，管理員可以以統(tǒng)一的方式集中創(chuàng)建和管理用戶和終端設(shè)備 的訪問(wèn)控制策略，并 獲得接入 網(wǎng)絡(luò)的所有設(shè)備的端到端可見(jiàn)性。思科 ISE 的獨(dú)特 架構(gòu)可幫助企 業(yè)從網(wǎng)絡(luò)、用戶和設(shè)備收集實(shí)時(shí) 信息，通過(guò)在有線、無(wú)線和遠(yuǎn)程網(wǎng)絡(luò) 訪問(wèn)等多種情景下， 實(shí)施 訪問(wèn)控制策略，并以此 制定出有效 的管理決策。 從上圖可以看出 ，如今的企業(yè)網(wǎng)絡(luò)比以往任何時(shí)候都更加多樣化， 體現(xiàn)在以下幾個(gè)方面： ? 網(wǎng)絡(luò)接入方式的多樣化 ? 接入設(shè)備類型的多樣化 ? 訪問(wèn)人員身份的多樣化 隨著網(wǎng)絡(luò)訪問(wèn)方式的多樣化 和 終端 設(shè)備的 多樣化 ，出現(xiàn)安全漏洞和新的運(yùn)營(yíng)挑戰(zhàn)的可能 性也在增加，主要包括以下幾個(gè)方面： ? 用戶的授權(quán)訪問(wèn) o 如何對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行權(quán)限控制 第 4 頁(yè) o 如何管理由于 BYOD 等智能終端接入網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn) o 如何為在辦公室、家里或外面等不同地點(diǎn)進(jìn)行不同的 訪問(wèn) 授權(quán) o 如何保證網(wǎng)絡(luò)接入設(shè)備本身