笔记:理解与部署网络准入控制NAC
2008-04-02 10:59:26来源:互联网 阅读 ()
笔记:理解与部署网络准入控制NAC
为什么要使用网络准入控制
不具备访问资格的终端尝试连接,连接被允许,感染范围扩大;其它终端收到威胁
功能 隔离纠正 感染范围收受到控制;终端安然无恙
NAC解决方案
终端系统 CTA
网络接入设备
AAA服务器
供应商服务器
组件:
支持NAC的应用
支持NAC的应用收集主机上的状态凭证信息
CTA收集最小限度的状态信息
基于厂商与应用类型注册到CTA
从AAA与厂商服务器接受通告与动作
指示状态变化
CTA
插件接口去注册查询不同厂商的状态信息
状态请求基于厂商与应用类型
作为它自己及基本主机信息的状态提供者
CTA版本,os类型与os版本
使用EAPoUDP与路由器通信
显示报告信息给用户
响应状态查询信息
注意:CTA不防护它自己,支持NAC的应用或主机
建议标准主机安全措施去保护主机环境,包括CSA
路由器
策略执行点
检测状态提供设备
触发状态处理流程(基于intercept-acl)
中继状态凭证到acs
定期完整的重评估(重证实定时器)
定期L3状态查询
通告主机上的状态变化
保证主机为先前证实的相同主机
执行访问权限
动态acl
可选url重定向(对于非响应设备的反馈很重要)
应用到适当的接口
处理响应设备
支持基于ip或mac地址的exception list
在acs上使用网络访问限制(NAR)支持exception list
AAA服务器
策略决定点
从端点获得凭证
证实凭证
发送访问规则到路由器,反馈到端点
厂商服务器
支持NAC的应用能够传递AAA服务器不能本地验证的凭证
AAA服务器能够代理指定的状态凭证到厂商服务器验证
HCAP协议接口 在线验证
厂商服务器验证凭证并通知AAA服务器验证结果
管理与报告
CiscoWorks SIMS
搜集和拦截ios系统日志和acs事件
实时监控
NAC报告
可哟凭证
凭证形成NAC的策略基础
凭证封包与数据类型
EAP
扩展EAP
EAP-TLV
status query
EAPoUDP
新凭证
新凭证不依赖于Cisco
凭证用作状态检查
凭证用于状态检查
规则评价形成策略令牌
最终评价令牌
授予权限
intercept ACL
interface(or Defailt)ACL
NAC流程
实施
setup acs
setup av solution
install clients on hosts
configure cisco ios NAD for NAC
verify operation
acs
安装证书Because CTA communicates with the ACS server via PEAP,you must have a server certificate for NAC to work
配置logging
可下载ACL
radius group属性 : url redirect,status rquery timeout,revalidation timeout
clientless user : network access restrictions
外部用户数据库
NAC数据库策略:本地,外部
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:渐成热门的网络端点安全技术
下一篇:思科安全代理关联机制简介
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash