Cisco資格認證:思科NAC架構(gòu)不簡單

Cisco的NAC Framework是設(shè)計用來如何讓多種硬件和軟件組件協(xié)同工作，共同保護用戶網(wǎng)絡(luò)免受不良客戶端侵害的一種架構(gòu)。這些不良的客戶端可能是沒有及時打補丁的個人電腦，沒有安裝殺毒軟件或者沒有安裝防火墻的電腦。ZDNet Solution的目的在于盡可能將復(fù)雜的NAC Framework架構(gòu)淺顯的介紹給大家。
    什么是Cisco NAC Framework的組件?
    Cisco的NAC Framework試圖解決一個復(fù)雜的問題，因此它必然也是一個復(fù)雜的解決方案。充分實施NAC Framework并不是一個簡單的任務(wù)，因為整個架構(gòu)中有太多來自Cisco和其它廠商的不同組件了，比如架構(gòu)中包含了NAC策略管理器，多網(wǎng)絡(luò)系統(tǒng)，認證服務(wù)器，補丁修補服務(wù)器，以及第三方安全軟件驗證服務(wù)器等。圖A顯示了整個框架的組件工作方式：
    
    圖A NAC架構(gòu)工作方式
    關(guān)于Cisco NAC Framework
    不論是對于安全管理人員還是網(wǎng)絡(luò)管理人員來說，讓上圖中的所有組件都和諧的工作，確實不是一件易事。不過沒關(guān)系，思科的NAC架構(gòu)已經(jīng)被大多數(shù)主流終端安全公司，安全接入網(wǎng)關(guān)以及補丁修復(fù)服務(wù)器所支持。
    Cisco NAC Framework如何工作
    說了這么多，Cisco NAC Framework到底能做什么呢？以下是它的工作內(nèi)容：
    1.如果一臺PC試圖接入網(wǎng)絡(luò)，首先必須經(jīng)過驗證，并且審核它的策略是否與規(guī)定相符。PC試圖登錄的行為會觸發(fā)NAC過程。
    2.PC主機運行思科可信代理Cisco Trust Agent (CTA).
    3.網(wǎng)絡(luò)接入設(shè)備Network Access Device (NAD) 即以太網(wǎng)交換機試圖建立到PC機的連接。
    4.可擴展認證協(xié)議Extensible Authentication Protocol (EAP)啟用，PC電腦上的憑據(jù)被發(fā)送到思科安全接入控制服務(wù)器上Cisco Secure Access Control Server (ACS)。
    5.直到這整個過程完成，PC主機（潛在的不良終端）只是將來自可信代理Cisco Trust Agent的憑證發(fā)送到了網(wǎng)絡(luò)上。PC機本身還不能與網(wǎng)絡(luò)進行通信。
    6.可信代理Cisco Trust Agent是通過一個安全通道傳達憑證的，因此NAD看不到它們。
    7.安全接入控制服務(wù)器ACS Server可以將憑證傳遞給其它的服務(wù)器。比如，現(xiàn)在大部分此類憑證都會發(fā)送給Windows AD服務(wù)器。當然，憑證也會發(fā)送給其它服務(wù)器，比如LDAP或一次性密碼服務(wù)器。
    8.根據(jù)一個或多個驗證服務(wù)器反饋的信息，ACS服務(wù)器可以允許，拒絕或者隔離請求接入網(wǎng)絡(luò)的PC。另外，ACS服務(wù)器可以設(shè)定不同的網(wǎng)絡(luò)接入等級。
    9.在校驗安全策略一致性方面，Cisco NAC Framework采用的是網(wǎng)絡(luò)和基于代理的掃描方式。
    10.Cisco NAC Framework可以實施針對各類設(shè)備的一致性檢測。
    11.Cisco NAC Framework可以通知用戶的連接狀態(tài)，如果其中出現(xiàn)任何問題，它可以通過升級PC機的補丁，防火墻或其它設(shè)置等方式糾正所出現(xiàn)的問題。另外，也可以通過彈出窗口或類似功能通知PC機是否獲得了網(wǎng)絡(luò)訪問權(quán)。比如用戶可能會看到一個彈出窗口，其中標注為：“ 由于你的電腦缺少必要的升級補丁，因此沒有獲得網(wǎng)絡(luò)訪問權(quán)限。為了獲得網(wǎng)絡(luò)訪問權(quán)限，請先訪問以下地址[URL]獲取電腦升級補丁。” 圖B可以幫助我們更好的理解這個過程：
    
    圖B連接過程
    可能你注意到了，通常都是使用802.1X網(wǎng)絡(luò)驗證協(xié)議來驗證試圖接入網(wǎng)絡(luò)的設(shè)備。因此NAD連接的交換機必須支持802.1X，否則該設(shè)備在驗證和掃描前無法真正被隔離。
    Cisco NAC Framework的組件都是什么?
    知道了架構(gòu)的大致工作方式，我們接下來逐一了解NAC框架的組件。以下就是組件和他們的功能介紹:
    1.屬性集Posture:這是試圖接入網(wǎng)絡(luò)的電腦所擁有的一系列憑證和屬性的集合。包含了用戶電腦的狀態(tài)或健康程度，以及電腦上安裝的程序信息。
    2.思科可信代理Cisco Trusted Agent: Cisco Trusted Agent (CTA) 是Cisco NAC Framework的一個內(nèi)部組件。CTA也被稱作posture代理。 Cisco Trusted Agent其實是一個軟件客戶端，主要作用就是收集來自終端設(shè)備（NAD）上所安裝的安全軟件發(fā)來的狀態(tài)信息。另外，它還會將接收到的 “posture”（或者其它接收到的信息）傳送給Cisco ACS Policy Server。
    這里需要提一下，Cisco Trusted Agent只能與那些Cisco合作伙伴出品的NAC設(shè)備進行通信。目前市場上大概有50個廠商支持NAC。包括一線的補丁管理廠商，客戶端安全產(chǎn)品廠商以及反病毒軟件廠商。
    3.網(wǎng)絡(luò)接入設(shè)備Network Access Devices (NAD): NAD簡單來講就是PC機所連接的交換機。當然，它也有可能是路由器，VPN集線器，或者其它類似的網(wǎng)絡(luò)接入設(shè)備。大部分廠商的交換機都支持Cisco NAC Framework。
    4.AAA Policy Server: AAA策略服務(wù)器就是安全接入控制服務(wù)器Cisco Secure Access Control Server (ACS)。ACS服務(wù)器的主要功能是作為NAC部署的策略決策點。除此以外，Cisco Secure Access Control Server還評估用戶的可信性以及網(wǎng)絡(luò)終端的安全狀態(tài)。
    一般來說，Cisco Secure ACS Server會給Cisco接入設(shè)備發(fā)送每個用戶的審核，包括可下載的訪問控制列表。如果你沒有使用Cisco的接入設(shè)備也不用擔心，因為Cisco Secure Access Control Server還是會正常工作。
    Cisco ACS Server是Cisco的一套應(yīng)用程序，可以運行在Windows或Linux Server上。ACS servers的管理范圍相當大，就算沒有NAC，Cisco ACS系統(tǒng)也還是可以作為RADIUS中心或TACACS+服務(wù)器。一般情況下，Cisco Secure Access Control Server管理驗證，審核以及對訪問網(wǎng)絡(luò)控制信息的用戶進行驗證。
    Cisco Secure Access Control Server的優(yōu)勢是它給管理員提供了控制用戶訪問網(wǎng)絡(luò)的權(quán)利。另外還可以針對不同的用戶控制使用不同的網(wǎng)絡(luò)服務(wù)。如果想記錄所有網(wǎng)絡(luò)用戶的所有行為， Cisco Secure Access Control Server也可以輕松實現(xiàn)。
    5.目錄服務(wù)器Directory Servers: Directory Servers提供用戶ID，審核特權(quán)以及將成員信息分組。
    6.屬性認證服務(wù)器Posture Validation Server:正如我們剛才提到的，Cisco Secure Access Control Server可以將試圖接入的系統(tǒng)的狀態(tài)數(shù)據(jù)傳送給程序指定的狀態(tài)確認服務(wù)器，這一般是第三方廠商提供的。Posture Validation Server會判斷終端設(shè)備的相關(guān)狀態(tài)是否達標。根據(jù)Posture Validation Server的評估，Cisco Secure Access Control Server會對用戶訪問網(wǎng)絡(luò)的請求做出允許或者拒絕的處理。
    7.補丁修復(fù)服務(wù)器Remediation Servers: 補丁修復(fù)服務(wù)器的作用是保持設(shè)備符合一致性要求。它的好處是可以像Web服務(wù)器一樣支持軟件直接下載。另外，補丁修復(fù)服務(wù)器還可以自動評估設(shè)備以及提供軟件升級補丁。
    總結(jié)
    Cisco 的NAC Framework是設(shè)計用來如何讓多種硬件和軟件組件協(xié)同工作，共同保護用戶網(wǎng)絡(luò)免受不良客戶端侵害的一種架構(gòu)。雖然整個框架使用起來不如Cisco NAC Appliance簡單，但是卻提供了包括很多第三方安全公司所提供的多種功能。因此，我們應(yīng)該熟悉Cisco NAC Framework中的組件，包括可信代理 (Cisco Trust Agent), 安全接入控制服務(wù)器 (Cisco ACS Server), 網(wǎng)絡(luò)接入設(shè)備(NAD)即Cisco交換機，以及補丁修復(fù)服務(wù)器（用戶在這里獲取防火墻，操作系統(tǒng)或者殺毒軟件所需的升級補?。?。