Cisco的NAC Framework是设计用来如何让多种硬件和软件组件协同工作,共同保护用户网络免受不良客户端侵害的一种架构。本文主要向大家浅显的介绍NAC Framework架构。
什么是Cisco NAC Framework的组件?
Cisco的NAC Framework试图解决一个复杂的问题,因此它必然也是一个复杂的解决方案。充分实施NAC Framework并不是一个简单的任务,因为整个架构中有太多来自Cisco和其它厂商的不同组件了,比如架构中包含了NAC策略管理器,多网络系统,认证服务器,补丁修补服务器,以及第三方安全软件验证服务器等。图A显示了整个框架的组件工作方式:
图A NAC架构工作方式
关于Cisco NAC Framework
不论是对于安全管理人员还是网络管理人员来说,让上图中的所有组件都和谐的工作,确实不是一件易事。不过没关系,思科的NAC架构已经被大多数主流终端安全公司,安全接入网关以及补丁修复服务器所支持。
Cisco NAC Framework如何工作
说了这么多,Cisco NAC Framework到底能做什么呢?以下是它的工作内容:
1.如果一台PC试图接入网络,首先必须经过验证,并且审核它的策略是否与规定相符。PC试图登录的行为会触发NAC过程。
2.PC主机运行思科可信代理Cisco Trust Agent (CTA).
3.网络接入设备Network Access Device (NAD) 即以太网交换机试图建立到PC机的连接。
4.可扩展认证协议Extensible Authentication Protocol (EAP)启用,PC电脑上的凭据被发送到思科安全接入控制服务器上Cisco Secure Access Control Server (ACS)。
5.直到这整个过程完成,PC主机(潜在的不良终端)只是将来自可信代理Cisco Trust Agent的凭证发送到了网络上。PC机本身还不能与网络进行通信。
6.可信代理Cisco Trust Agent是通过一个安全通道传达凭证的,因此NAD看不到它们。
7.安全接入控制服务器ACS Server可以将凭证传递给其它的服务器。比如,现在大部分此类凭证都会发送给Windows AD服务器。当然,凭证也会发送给其它服务器,比如LDAP或一次性密码服务器。
8.根据一个或多个验证服务器反馈的信息,ACS服务器可以允许,拒绝或者隔离请求接入网络的PC。另外,ACS服务器可以设定不同的网络接入等级。
9.在校验安全策略一致性方面,Cisco NAC Framework采用的是网络和基于代理的扫描方式。
10.Cisco NAC Framework可以实施针对各类设备的一致性检测。
11.Cisco NAC Framework可以通知用户的连接状态,如果其中出现任何问题,它可以通过升级PC机的补丁,防火墙或其它设置等方式纠正所出现的问题。另外,也可以通过弹出窗口或类似功能通知PC机是否获得了网络访问权。比如用户可能会看到一个弹出窗口,其中标注为:“由于你的电脑缺少必要的升级补丁,因此没有获得网络访问权限。为了获得网络访问权限,请先访问以下地址[URL]获取电脑升级补丁。” 图B可以帮助我们更好的理解这个过程:
图B连接过程
可能你注意到了,通常都是使用802.1X网络验证协议来验证试图接入网络的设备。因此NAD连接的交换机必须支持802.1X,否则该设备在验证和扫描前无法真正被隔离。
【编辑推荐】
