思科网络准入控制（NAC）技术白皮书
2007-11-06   eNet硅谷动力

病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时，移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络 — 常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。

　　网络准入控制(NAC) 进行了专门设计，可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护，以防御网络安全威胁。作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划，NAC引起了媒体、分析公司及各规模机构的广泛关注。

　　本文将解释作为基于策略的安全战略的一部分，NAC将发挥怎样的关键作用，同时描述并定义可用的NAC方法。

　　NAC的优势

　　据2005 CSI/FBI安全报告称，虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元，但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。

　　显然，仅凭传统的安全解决方案无法解决这些问题。思科系统公司开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案，以确保网络环境中的所有设备都符合安全策略。NAC允许您分析并控制试图访问网络的所有设备。通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施)，机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。

　　大幅度提高网络安全性

　　虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限，但这些对验证用户终端设备的安全状况几乎不起任何作用。如果不通过准确方法来评估设备‘状况’，即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备，将网络中所有用户暴露在巨大风险之中。

　　NAC是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。实施NAC的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络，并控制不符合策略或不可管理的设备访问网络。

　　NAC设计集成在网络基础设施之中，因此是独一无二的。那么，为何要在网络上（而不是其他位置）实施策略符合性和验证战略呢？

　　1. 机构感兴趣或关心的每个比特的数据都通过网络传输。

　　2. 机构感兴趣或关系的每个设备都与相同的网络相连接。

　　3. 对网络实施准入控制使机构能够部署尽量广泛的安全解决方案，包含尽可能多的网络设备。

　　4. 这个战略利用机构的现有基础设施、安全性和管理部署，因此最大限度地降低了IT开销。

　　通过运行NAC，只要终端设备试图连接网络，网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问，从而避免暴露给潜在的安全漏洞。此外，网络还能隔离的设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使设备达到策略符合水平。

　　NAC执行的某些安全策略符合检查包括：

　　判断设备是否运行操作系统的授权版本。

　　通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。

　　判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。

　　确保已打开并正在运行防病毒技术。

　　判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。

　　检查设备的企业镜像是否已被修改或篡改。

　　NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。

　　实施NAC解决方案的某些优势包括：

　　1. 帮助确保所有的用户网络设备都符合安全策略，从而大幅度提高网络的安全性，不受规模和复杂性的影响。通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击，机构可将注意力放在主动防御上（而不是被动响应）。

　　2. 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。

　　3. 检测并控制试图连接网络的所有设备，不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等)，从而提高企业永续性和可扩展性。

　　4. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。

　　5. 降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。NAC实施选项

　　思科同时提供基于产品和架构的NAC框架方法，以满足任何机构的功能和运行要求，无论是简单的安全策略要求，还是涉及到大量安全供应商的、与企业桌面系统管理解决方案相关的、复杂的安全实施要求。

　　NAC产品‘Cisco Clean Access’通过自带的终端评估、策略管理和修补服务支持快速部署。此外，NAC框架还将智能网络基础设施与50多家著名防病毒产品制造商提供的解决方案以及其他安全和管理软件解决方案集成在一起。　　

　　NAC产品

　　通过Cisco Clean Access产品系列提供的NAC产品，利用自带的终端评估、策略管理和修补服务支持快速部署。 这种可快速部署的“一体化解决方案”技术可自动检测、隔离并清洁试图访问网络的已感染终端或易受攻击的有线或无线终端。

　　Cisco Clean Access提供三种关键的保护功能：

　　在验证授权点识别用户、用户设备及其在网络中的作用。

　　使用扫描和分析技术评估终端的安全状态，或使用轻型代理进行更深入的状态评估，以检查安全漏洞。

　　通过阻止、隔离和修复不符合策略的终端等方法在网络中执行安全策略。

　　Cisco Clean Access还提供以下实施优势：

　　可扩展性—Cisco Clean Access可直接部署，用于满足网络准入需求，同时设计并评估NAC框架，这是因为Cisco Clean Access组件可集成到更广泛的NAC框架架构中。

　　快速部署—Cisco Clean Access是现成的“紧缩型” 套装解决方案，针对防病毒、防间谍软件和Microsoft更新提供预装支持。

　　灵活性—Cisco Clean Access支持运行多个桌面操作系统的混合网络基础设施。

　　最适合部署Cisco Clean Access的网络包含以下特征：

　　非802.1x LAN 环境

　　无线、分支、远程或简单的LAN环境

　　集中的IT环境和管理

　　有不可管理的计算机需访问网络(如客人、承包商或学生)

　　混合(多厂商)网络基础设施

　　NAC框架解决方案

　　NAC也可作为基于架构的框架解决方案提供，能同时利用现有的思科网络技术库和其他制造商提供的安全性和管理解决方案部署。

　　NAC框架解决方案提供以下优势：

　　可评估使用所有访问方法，包括LAN、无线、远程访问和WAN的所有终端，来进行全面控制

　　终端可视性和控制确保可管理的、不可管理的、访客和恶意设备均符合企业安全策略

　　终端控制的全程支持可自动执行终端的评估、验证、授权和修补流程

　　将集中策略管理、智能网络设备及网络服务与几十家著名防病毒、安全和管理供应商提供的解决方案结合在一起，以提供精确的准入控制管理

　　基于标准的、灵活的API允许多个第三方参与整体解决方案，从而支持丰富的合作伙伴和技术生态系统

　　最适合部署NAC框架的网络包含以下特征：

　　大型企业部署

　　复杂的LAN/WAN/无线环境

　　完全或主要基于思科技术的LAN/WAN/无线基础设施

　　与NAC合作伙伴安全和管理解决方案存在运行上的互操作性

　　已实施或计划实施IP电话

　　已实施或计划实施802.1X

　　投资保护

　　思科提供最全面的准入控制产品和解决方案来满足任何机构的功能需求。鉴于许多机构的需求都在不断变化，因此，现在安装的Cisco Clean Access产品组件可用于支持随后的的NAC框架实施。

　　无论您决定使用哪种方法，思科NAC技术都能保护您在相应网络技术上的投资。同时，互操作性和功能兼容性可确保从Cisco Clean Access平稳过渡到NAC框架技术，以利用更多的优势和功能。

　　规划、设计并部署有效的NAC解决方案

　　为了帮助确保成功部署思科NAC技术，思科高级服务机构提供以下需求分析、规划、设计和实施服务： 

　　NAC就绪评估—分析部署要求并评估网络设备、运行和架构是否为支持NAC准备就绪。NAC有限部署—提供有限部署解决方案的安装和配置服务，允许您的工作人员测试NAC并获得实践经验。

　　NAC设计开发—帮助您的团队制订具体的设计方案，以便将NAC集成到您的网络基础设施中。

　　NAC实施工程—支持您的团队制订具体的安装、配置、集成和管理方案，并提供现场安装、配置和测试服务，以帮助确保将部署平稳地集成到您的生产环境中，从而实现全面实施。

　　一旦NAC部署完毕，思科技术支持服务机构便与您的内部工作人员一起工作，以确保思科产品的高效运行、持续提供高可用性、以及安装最新的系统软件。

　　我接下来应开展哪些工作？

　　1. 即刻部署Cisco Clean Access。Cisco Clean Access使您能够立刻获得准入控制解决方案的优势。

　　2. 决定您是否需要基于架构的NAC框架解决方案。通过运行Cisco Clean Access，您可开始评估是否还需要满足基于架构的方法要求。当您在选择部署任何NAC解决方案时，必须考虑多个因素，包括作为部署目的地的网络以及正在部署它的机构类型等。

　　3. 考虑寻求某些帮助。思科高级服务机构可帮您设计、实施、集成并部署定制的NAC解决方案。

　　4. 利用您的Cisco Clean Access投资。Cisco Clean Access组件可全面集成到NAC框架解决方案中。

　　NAC技术

　　NAC设备组件

　　Cisco Clean Access包含以下组件： 

　　Cisco Clean Access Server，评估设备并基于终端的策略符合情况授予访问权限

　　Cisco Clean Access Manager，集中管理Cisco Clean Access解决方案，包括执行策略和修补服务

　　Cisco Clean Access Agent，可选的免费软件，提供更严格的终端策略符合评估，并同时简化可管理与不可管理环境中的修补流程

　　Cisco Clean Access通过以下技术支持无线访问： 

　　所有的802.11 Wi-Fi接入点，包括Cisco Aironet接入点 

　　提供支持NAC的IEEE 802.1X请求系统的所有Wi-Fi客户设备

　　NAC框架的组件

　　NAC框架提供以下技术支持： 

　　为园区LAN、WAN、VPN和无线接入点提供广泛的网络设备支持

　　连接第三方主机评估工具，用于评估无人值守的、“无代理的”和其他非响应型设备，且能够对每个设备应用不同的策略

　　为思科可信代理提供广泛的平台支持

　　通过远远超越防病毒和基本操作系统补丁的应用和操作系统状态检查，来扩展多厂商集成功能

　　NAC框架得到以下技术的支持： 

　　思科路由器：Cisco 83x、18xx、28xx 和 38xx系列集成多业务路由器；1701、1711、1712、1721、1751、1751-V和1760模块化接入路由器；2600XM、2691、3640 和 3660-ENT多业务接入路由器以及72xx 系列路由器

　　思科交换机：

　　- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720，安装Cisco Catalyst OS 和 Cisco IOSreg; 软件或者混合应用(Supervisor Engine 32 和 720上支持Cisco IOS软件)

　　- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE，安装Cisco IOS软件

　　- Cisco Catalyst 4948 和 4948-10GE

　　- Cisco Catalyst 3550、3560 和3750，安装Cisco IOS IP Base和IP Services版本

　　- Cisco Catalyst 2940、2950、2955、2960、2970

　　思科无线接入点：Cisco Aironet接入点、连接思科无线局域网控制器的Cisco Aironet轻型接入点、Cisco Catalyst 6500系列无线局域网服务模块(WLSM)、所有的Cisco Aironet、思科兼容产品、提供支持NAC的IEEE 802.1X请求系统的Wi-Fi客户设备

　　Cisco VPN 3000系列集中器

　　思科可信代理

　　思科安全访问控制服务器(ACS)

　　第三方供应商软件

　　建议的组件：

　　– 思科安全代理

　　– 思科安全监控、分析和响应系统(MARS)

　　– CiscoWorks安全和信息管理解决方案(SIMS)