思科网络准入控制(NAC)解决方案教程和下载汇总
思科网络准入控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如Pc 、服务器、PDA )接入网络,而不允许其它设备接人。在初始阶段,当端点设备进人网络时,NAC 能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。Cisco NAC Appliance能够帮助企业为来访者提供安全的公司网访问,确保访客和访客流量与内部网络流量隔开,并检查接入的计算机是否带有可能影响网络可用性和安全性的威胁。Cisco NAC Appliance提供了面向有线和无线用户的集中访客访问管理和执行特性,能够与无线解决方案、第三方访客访问门户和计费供应商轻松集成。
[quote]
[b][color=#ff0000]思科网络准入控制(NAC)教程和下载汇总
[/color][/b][url=http://www.51chongdian.net/bbs/viewthread.php?tid=15179][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=15179[/color][/url]
[b]最新Cisco NAC网络准入培训
[/b][url=http://www.51chongdian.net/bbs/thread-13925-1-1.html][color=#262626]http://www.51chongdian.net/bbs/thread-13925-1-1.html[/color][/url]
[color=red][b]最新Cisco NAC部署手册[/b][/color]
[url=http://www.51chongdian.net/bbs/thread-13926-1-1.html][color=#262626]http://www.51chongdian.net/bbs/thread-13926-1-1.html[/color][/url]
[color=blue][b]Cisco NAC 4.5_0-K9最新版本下载[/b][/color]
[url=http://www.51chongdian.net/bbs/thread-15177-1-1.html][color=#262626]http://www.51chongdian.net/bbs/thread-15177-1-1.html[/color][/url]
Cisco NAC Appliance教材PDF版本:
《[b]Cisco NAC Appliance[/b]》([b][color=red]Enforcing Host Security with Clean Access[/color][/b] )
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=15180][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=15180[/color][/url]
Cisco NAC在vmware下的安装应用
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=15171][color=#262626]http://www.51chongdian.net/bbs/viewthread.php?tid=15171[/color][/url]
Cisco NAC Guest Server思科网络准入控制访客服务器
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=15186][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=15186[/color][/url]
Cisco NAC Profiler工具使用指南
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=15187][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=15187[/color][/url]
Cisco NAC初始化过程说明文档
[url=http://www.51chongdian.net/bbs/thread-15811-1-1.html][color=#000000]http://www.51chongdian.net/bbs/thread-15811-1-1.html[/color][/url]
Cisco NAC项目售后实施方案
[url=http://www.51chongdian.net/bbs/thread-16154-1-1.html][color=#000000]http://www.51chongdian.net/bbs/thread-16154-1-1.html[/color][/url]
[Cisco NAC网络准入实验笔记]CCA OOB & IB-VPN Lab Report
[url=http://www.51chongdian.net/bbs/thread-16533-1-1.html][color=#000000]http://www.51chongdian.net/bbs/thread-16533-1-1.html[/color][/url]
Cisco NAC-8021x-配置指南
[url=http://www.51chongdian.net/bbs/thread-16514-1-1.html][color=#000000]http://www.51chongdian.net/bbs/thread-16514-1-1.html[/color][/url]
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=16995&highlight=NAC][color=#000000]重磅.NAC超级实验手册三部曲 + Cisco NAC Guest Lab Exercises[/color][/url]
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=16995][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=16995[/color][/url]
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=20115&highlight=NAC]Cisco NAC L3 IB 实施文档[/url]
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=20115][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=20115[/color][/url]
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=17937&highlight=NAC][color=#000000]重磅思科NAC调试完全手册[NAC-OOB-VG-L2-V4]安全类[/color][/url]
[url=http://www.51chongdian.net/bbs/viewthread.php?tid=17937][color=#000000]http://www.51chongdian.net/bbs/viewthread.php?tid=17937[/color][/url]
[/quote] 1. 网络准入控制(NAC)的需求与挑战
思科网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
IBNS 的作用是验证用户的身份,而 NAC 的作用是检查设备的“状态”。交换平台上的 NAC 可以与思科信任代理 (CTA) 共同构成一个系统。思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和 NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。思科正在与 McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。
NAC的主要优点包括:
1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;
2. 多厂商解决方案 —— NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro;
3. 现有技术和标准的扩展 ——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议 (EAP) 、 802.1X和RADIUS服务;
4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。
2. 网络准入控制(NAC)技术介绍
a. NAC系统组件
如下图所示,NAC系统共包括四个组件:
NAC系统组件
网络准入控制主要组件:
├端点安全软件(Cisco Security Agent/防病毒软件)
├Cisco Trust Agent
├网络接入设备(接入交换机和无线访问点)
├策略/AAA服务器
├防病毒服务器
├管理系统
├端点安全软件——包括AntiVirus防病毒软件,个人防火墙软件或Cisco Security Agent-思科安全代理,这些软件负责端点安全,并与 Cisco Trust Agent (思科信任代理)通讯,共同决定对终端的信任关系。
├Cisco Trust Agent——Cisco Trust Agent 负责收集多个安全软件客户端的安全状态信息,例如Anti-Virus 和Cisco Security Agent软件客户端,然后将信息传送到思科网络,在那里实施准入控制决策。对于未运行防病毒软件,或者没有适当版本的主机,按照预定策略,可以限制它对网络的接入范围,也可以其拒绝接入网络。
├网络接入设备 ——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
├策略服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器,它构成了策略服务器系统的基础。它可以与NAC合作商的应用服务器配合使用,提供更强的委托审核功能,例如防病毒策略服务器。
├防病毒服务器——防病毒服务器对防病毒软件客户端发送的状态报告进行检查,并将检查的结果返回策略服务器,对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。
├管理服务器——思科管理解决方案将提供相应的思科NAC组件,以及监控和报告操作工具。CiscoWorks VPN/安全管理解决方案 (CiscoWorks VMS) 和CiscoWorks安全信息管理器解决方案 (CiscoWorks SIMS) 形成了此功能的基础。思科的NAC合作商将为其端点安全软件提供管理解决方案。
NAC通过了两项最严格的兼容性测试:防病毒软件状况和操作系统信息。它不但包括防病毒厂商的软件版本、机器等级和签名文件等级,还包括操作系统类型、补丁和热修复。以后还将继续扩大安全保护范围以及工作地点应用检查的范围。
b. NAC系统基本工作原理
上图是NAC的示意图,当运行NAC时,首先由网络接入设备发出消息,从主机请求委托书。然后,AAA服务器Cisco Trust Agent (CTA) 与主机上的Cisco Trust Agent (CTA) 建立安全的EAP对话。此时,CTA对AAA服务器执行检查。委托书可以通过主机应用、CTA或网络设备传递,由思科ACS接收后进行认证和授权。某些情况下,ACS可以作为防病毒策略服务器的代理,直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。
委托书通过审查后,ACS将为网络设备选择相应的实施策略。例如,ACS可以向路由器发送准入控制表,对此主机实施特殊策略。
对于非响应性设备,可以对主动运行CTA(网络或ACS)的设备实施默认策略。在以后的各阶段,还将通过扫描或其它机制对主机系统执行进一步检查,以便收集其他端点安全信息。
3. 网络准入控制(NAC)部署方案
要部署NAC方案,需要安装上面提到的所有NAC系统组件,这包括由思科提供的产品以及思科的合作伙伴提供的产品。
思科提供的产品包括
o 执行准入控制的网络设备――包括路由器、交换机、无线接入点和安全设备。各种功能通过软件增强集成到新老平台中。
o Cisco Secure ACS――AAA RADIUS服务器,是用于确定接入权限的策略决策点。为支持NAC,正在增强ACS功能。
o Cisco Trust Agent――主机代理,由思科开发,将通过多种方式分发:作为独立代理直接从思科或NAC合作商分发,与Cisco Security Agent一起分发,或者嵌入到NAC防病毒厂商的更新软件中。
o Cisco Security Agent ――可以在主机上使用,同时为防止蠕虫和病毒提供零天保护,并为NAC提供操作系统补丁和热修复信息。
o CiscoWorks VMS可用于在路由器上批量配置NAC设置。
防病毒厂商将为主机和AV策略服务器提供系统的防病毒组件,目前加入NAC计划的防病毒厂商包括:IBM、趋势科技、McAfee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。
为了部署NAC,我们一般需要建议以下的具体步骤:
├升级网络设备上的的IOS
├升级主机上的防病毒软件
├安装主机上的Cisco Trust Agent (可以包含在防病毒软件升级过程中)
├安装Cisco Secure ACS 服务器(在实施基于802.1x的IBNS时已经部署)
├安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS
另外,还需要考虑以下操作问题:
├确定管理权限模式,妥善管理系统,并相应调整管理组件
├确定和实施网络准入控制策略
├确定可扩展性和性能要求,保证系统可以应付高峰状况(尤其是ACS等策略决策基础设施)
├确定和实施隔离和修复环境
----------------------------------------------------------------------------------
思科网络准人控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如Pc 、服务器、PDA )接入网络,而不允许其它设备接人。在初始阶段,当端点设备进入网络时,NAC 能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。 [quote] [url=http://www.cisco.com/en/US/products/ps6128/index.html][b][color=red]http://www.cisco.com/en/US/products/ps6128/index.html[/color][/b][/url] [/quote]
Cisco NAC Appliance (Clean Access) Introduction
Cisco NAC Appliance (formerly Cisco Clean Access) is an easily deployed Network Admission Control (NAC) product that uses the network infrastructure to enforce security policy compliance on all devices seeking to access network computing resources. With NAC Appliance, network administrators can authenticate, authorize, evaluate, and remediate wired, wireless, and remote users and their machines prior to network access. It identifies whether networked devices such as laptops, IP phones, or game consoles are compliant with your network's security policies and repairs any vulnerabilities before permitting access to the network.
Networks with Cisco NAC Appliance can realize benefits such as:
[list][*]Minimized network outages[*]Enforcement of security policies[*]Significant cost savings with automated device repairs and updates[/list]
Cisco NAC Appliance extends NAC to all network access methods, including access through local area networks (LANs), remote-access gateways, and wireless access points. Cisco NAC Appliance also supports posture assessment for guest users.
When deployed, Cisco NAC Appliance provides the following benefits:
[list][*]Recognizes users, their devices, and their roles in the network. This first step occurs at the point of authentication, before malicious code can cause damage.[*]Evaluates whether machines are compliant with security policies. Security policies can include specific antivirus or antispyware software, OS updates, or patches. Cisco NAC Appliance supports policies that vary by user type, device type, or operating system.[*]Enforces security policies by blocking, isolating, and repairing noncompliant machines.[/list]Noncompliant machines are redirected into a quarantine area, where remediation occurs at the discretion of the administrator.
Cisco NAC Appliance offers immediate NAC functionality today and, to protect your investment, will be interoperable with the [url=http://www.cisco.com/en/US/netsol/ns617/networking_solutions_sub_solution_home.html][color=#0000ff]NAC Framework architecture[/color][/url].
Deepen your knowledge of the Cisco NAC Appliance by tuning into one of our Chalk Talk Series> [url=http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps8418/ps6128/prod_presentation0900aecd80549168.html][color=#0000ff]Learn more[/color][/url]
> [url=http://tools.cisco.com/cmn/jsp/index.jsp?id=58289][color=#0000ff]An Introductory Conversation on NAC Appliance[/color][/url]
> Watch how [url=http://tools.cisco.com/cmn/jsp/index.jsp?id=58715][color=#0000ff]Rice University deployed the Cisco NAC Appliance[/color][/url] in Layer 3 out-of-band mode (Cisco.com login required)
[url=http://www.cisco.com/en/US/products/ps6128/prod_literature.html][color=#0000ff][b]Product Literature[/b][/color][/url] (8)
[img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[url=http://www.cisco.com/en/US/products/ps6128/prod_brochure_list.html][color=#0000ff]Brochures[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/prod_bulletins_list.html][color=#0000ff]Bulletins[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/prod_case_studies_list.html][color=#0000ff]Case Studies[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/products_data_sheets_list.html][color=#0000ff]Data Sheets[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/prod_eol_notices_list.html][color=#0000ff]End-of-Life and End-of-Sale Notices[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/prod_presentation_list.html][color=#0000ff]Presentations[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/prod_qandas_list.html][color=#0000ff]Q&A[/color][/url]
[color=#0000ff][img=1,5]http://www.cisco.com/swa/i/s.gif[/img]
[/color][url=http://www.cisco.com/en/US/products/ps6128/prod_white_papers_list.html][color=#0000ff]White Papers[/color][/url] [align=left]NAC vs. NAP vs. TNC vs. EAD vs NAC - NAP[/align]
[align=left][table=98%][tr][td=1,1,41][/td][td=1,1,101]NAC[/td][td=1,1,113]NAP[/td][td=1,1,98]TNC[/td][td=1,1,148]EAD[/td][td=1,1,146]NAC - NAP[/td][/tr][tr][td=1,1,41]背景[/td][td=1,1,101][align=left]NAC由于是CISCO发布的,所以其构架中接入设备的位置占了很大的比例,或者说NAC自身就是围绕着思科的设备而设计的.
Cisco的NAC方案,着重在网络架构及政策规划与管理能力。当然,前提是企业内大多采用Cisco设备,并且想藉由Cisco设备与其安全方案,来保护客户端。[/align][/td][td=1,1,113]NAP则偏重在终端agent以及接入服务(VPN、DHCP、802.1x、IPsec组件),这与微软自身的技术背景也有很大的关联.Microsoft的NAP方案,则着重在系统状态的监控与矫正。前提是您的服务器或桌上型计算机采用的是微软操作系统,而且希望这些主机都能安全地运作。
[/td][td=1,1,98]而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证,或者说TNC的目的是给TCG发布的TPM提供一种应用支持。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的,目标是解决可信接入问题,其特点是只制定详细规范,技术细节公开,各个厂家都可以自行设计开发兼容TNC的产品,并可以兼容安全芯片TPM技术。Trusted Computing Group的TNC方案,则提供一个弹性的安全架构。藉由安装在客户端主机的硬件设施来确认是否发生问题,并根据硬件来监控或执行客户端安全的政策。
[/td][td=1,1,148]华为的EAD和cisco的思路相当。华三EAD是采用客户端的形式,即PC启动后,由用户打开该客户端应用,从其中选择连接方式,然后建立连接。
这个连接过程中包括验证和对PC安全性的检查、刷新IP地址、实施访问控制。基本步骤类似CCA OOB方式。具体状态均有中文提示,安全检测目前了解到的是包括系统补丁以及病毒软件、病毒定义的检查。
EAD系统目前还无法进行SSO。
目前EAD可以支持Router/FW的VPN客户检查,另外在年中可以支持无线客户检查。
EAD系统可以实时监测用户机器的状态,如打开程序等等,对出现隐患的机器实时强制下线。
对于交换机接HUB的情况,应该是采用在交换机端口动态添加访问控制列表的方式,对逐个MAC进行访问控制,有点类似华三的802.1x客户端的工作情况。
因此不是所有的交换/路由设备都可以支持EAD。
目前华三公司内部使用EAD系统进行终端控制,据反映,连接过程时间较长,约30-60秒。
EAD客户端占用内存情况为空闲时12兆,CCA客户端约为4兆。
[/td][td=1,1,146]*互操作性和客户选择客户现在拥有多种架构和产品选择。他们将能选择在实施一种互操作解决方案时,最适合其需求的组件、基础设施和技术。
*投资保护此互操作架构能帮助客户保护其CiscoNAC和/或Microsoft NAP部署的投资。例如,客户现在能继续部署Cisco NAC,随后通过部署Windows Vista和Windows Server “Longhorn”,将Microsoft NAP与Cisco NAC集成在一起。
*WindowsVista中包括的单一代理运行Windows Vista或Windows Server “Longhorn”的计算机将包括Microsoft NAP代理组件,将其作为核心操作系统的一部分,同时用于Cisco NAC和 Microsoft NAP。
*独立软件提供商集成生态系统为简化第三方状态代理和运行WindowsVista的客户端状态实施组件的开发,NAP客户端API(应用编程接口)将作为唯一可编程接口,用于为Cisco NAC和Microsoft NAP提供状态报告。
*跨平台支持为支持除Windows外的客户端操作系统,微软将为第三方软件开发商提供NAP客户端技术组件的许可。思科则将继续支持和开发NAC客户端(思科信任代理),用于非WindowsVista和非Windows Server “Longhorn”平台的操作系统,并将继续按照其公开承诺,提交Cisco NAC协议,并通过开放标准流程实现标准化。
*代理部署和升级支持从客户体验和流程上讲,部署基于互操作性的WindowsVista和Windows Sever“Longhorn”系统所需要的代理组件,将和部署普通Windows操作系统服务以及Windows升级和Windows Server升级服务客户端组件的分布机制类似。
[/td][/tr][tr][td=1,1,41]架构层次[/td][td=1,1,101]都分为客户端、策略服务以及接入控制三个主要层次。NAC分为:Hosts Attempting Network Access、Network Access Device、Police Decision Points三层;
[/td][td=1,1,113]NAP分为:NAP客户端、NAP服务器端、NAP接入组件(DHCP、VPN、IPsec、802.1x);[/td][td=1,1,98]TNC分为AR、PEP、PDP三层[/td][td=1,1,148] [/td][td] [/td][/tr][tr][td=1,1,41] [/td][td=1,1,101]http://www.cisco.com/go/nac[/td][td=1,1,113]http://www.microsoft.com/nap[/td][td=1,1,98] [/td][td=1,1,148] [/td][td] [/td][/tr][/table][/align] 好东西啊,多谢了 good!!!!!!!!!!!!!!!!!!