指南 思科NAC设备使用手册

简介：如果你正在考虑采用思科提供的网络准入控制解决方案，来保证公司网络安全的话，这篇文章将会带来极大的帮助。因为在文中，大卫·戴维斯将会对方案涉及到的各个方面进行详尽的介绍说明。

思科网络准入控制系统（ NAC ）是一个全面的解决方案，可以对所有连接到公司网络上的设备进行安全管理。思科网络准入控制系统包括了从软件到硬件以及服务的各个方面。本文将对其进行介绍。

思科网络准入控制系统中包括了哪些硬件？
在思科网络准入控制系统的介绍网页上，作为思科网络准入控制系统解决方案的一部分，你将发现下面列出的各项技术：

网络安全高级服务
思科安全代理（CSA）
思科安全监测、分析和响应系统（MARS）
思科信任代理2.0 （CTA）
Windows版本的思科安全访问控制服务器 （ACS）
思科安全访问控制服务器解决方案引擎（ACS）
思科用户使用界面配置管理器（ICM）
思科用户安全信息管理解决方案（CW-SIMS）
NAC路由器
路由器安全
思科VPN 3000系列
思科统一无线网络
思科Catalyst交换机

下面我们来讨论思科网络准入控制系统中的一些关键部分。

思科NAC路由器
最新发布的思科路由器NAT模块可以在远程分支机构里或校园中的附属建筑物中提供网络准入控制功能。作为解决方案的组成部分，它提高了整个网络的安全性，可以确保所有的接入用户和设备都遵循安全策略。

此外，思科网络准入控制路由器模块（# NME-NAC-K9部分）为思科2800和3800系列集成多业务路由器带来了思科网络准入控制服务器的功能。它可以减轻网络管理员的工作负担，确保网络安全的可靠性。

令人吃惊的是，这个模块实际上包含一个1G赫兹的英特尔赛扬处理器， 512MB内存， 64MB闪存，以及一个80GB容量的SATA硬盘。所有这些，被装入一个单独的一磅模块中，并安置到路由器中以便运行相关的安全策略。它需要运行IOS 12.4(11)T和更高版本的2800或3800系列路由器的支持。

思科NAC设备
思科NAC设备是思科网络准入控制解决方案中最热门的部分。从名字可见，思科NAC设备是一个以设备为基础的解决方案，可以提供快速部署、策略管理、安全策略执行等功能。

使用思科NAC设备的时间，你可以选择现场或者非现场的解决方案。现场解决方案适合小规模的部署。而作为成长型的网络环境，可能无法保证现场的部署。这个时间，就可以采用非现场的模式了。

下面是思科NAC设备的一些优势：

身份策略：思科NAC设备会对用户和设备在网络中的权限进行认证。

管理策略：思科NAC设备会对终端的安全情况进行管理。其中包括了：操作系统安全补丁和防病毒软件病毒库的更新状况，防火墙以及反木马软件的设置等方面。

隔离策略：思科NAC设备可以对不符合安全策略的终端进行隔离，直到它们符合安全要求（安装更新补丁或者调整了相关设置）后，才允许连接到网络上。

如果需要思科NAC设备的更多信息的话，可以访问思科NAC设备的相关数据网站。

思科安全访问控制服务器（ ACS ）
思科安全访问控制服务器可以被当作思科网络准入控制解决方案的大脑。正是在这里，用户信息的有效性被给予检验，安全策略被执行，用户活动情况被记录。因为提供了认证、授权和清理的功能，思科安全访问控制服务器被称做AAA服务器。

思科安全访问控制服务器可以在企业中现有的Windows服务器上运行，还可以利用已经存在的数据库对用户信息进行验证。举例来说，大部分公司现在利用Windows的活动目录功能对帐户进行了设置。因此，如果设置有效的话，思科安全访问控制服务器可以借助包括NAC设备、路由器的NAC模块或者ASA/PIX防火墙在内的网络硬件的帮助，强制执行网络安全策略。

思科安全代理（CSA）
思科安全代理是一个运行在企业里每台机器上的客户端软件。它们连接到一个中央服务器上，可以对机器上的软件运行情况进行监测，以确定其安全状态。思科安全代理可以对它所认为的非正常现象进行警告或者阻止。

与需要不断更新病毒库以保证有效的防病毒软件相比，思科公司宣称思科安全代理从来不需要进行更新，因为它是通过不断的学习而不是病毒库进行监测的。

如果需要思科安全代理的更多信息的话，可以访问思科安全代理的相关数据网站。

思科信任代理（CTA）
你可以把思科信任代理想象为网络准入控制系统的客户端。它运行在所有的电脑上，可以与NAC设备联络，提供象试图访问网络的设备的资料一类的情况。举例来说，思科信任代理可以提供包括操作系统版本，补丁安装情况，防火墙所在的位置在内以及更多的相关信息。思科宣称，你可以免费从他们那里获得思科信任代理。

思科用户安全信息管理解决方案（CW-SIMS ）
思科用户安全信息管理解决方案（CW-SIMS ）可以将所有思科设备使用的安全记录和其它相关资料进行集中保存。思科宣称，该应用可以“按照相关性对数据进行整和，并对安全情况进行分析，提高网络安全的透明度，给出可执行的策略，从而加强整体的安全性。”

网络中存在如此众多的安全设备，因此，需要一个工具对所有的相关日志和安全信息进行管理。思科宣称，思科用户安全信息管理解决方案有下面的优势：

内容全面的相关性分析：可以实时对所有思科网络设备报告的安全事件进行分析和统计。
直观的安全界面：可以通过直观的可视化界面对所有发生在网络中的安全事件进行监视。
事件的持续跟踪：思科用户安全信息管理解决方案可以对安全事件进行持续跟踪，直到被解决。
内置综合知识库：思科用户安全信息管理解决方案包含了大量相关安全问题以及相关的解决方法。
实时通知：思科用户安全信息管理解决方案可以在安全时间发生的同时通知安全人员。

如果需要思科用户安全信息管理解决方案的更多信息的话，可以访问思科用户安全信息管理解决方案的相关数据网站。

思科安全监测、分析和响应系统（MARS）
思科安全监测、分析和响应系统看上去和思科用户安全信息管理解决方案一样，但实际上，它们是迥然不同的。思科安全监测、分析和响应系统可以了解网络的配置和拓扑结构。你可以把思科安全监测、分析和响应系统当做一个虚拟的安全管理员。

思科安全监测、分析和响应系统可以利用思科路由器上的NetFlow数据获得网络流量的实时反映。它可以对网络是否正常作出判断，这就是所谓的行为分析。通过行为分析，思科安全监测、分析和响应系统可以阻止异常的网络流量。思科安全监测、分析和响应系统包含了一百五十种模式，可以对威胁到网络的事件提出安全建议。

思科安全监测、分析和响应系统实际上是一个安装在网络上的设备。它的大小和许可证数量取决于网络的规模。思科安全监测、分析和响应系统和思科安全管理器是思科安全管理套件的组成部分。

总结
为了建立一个满足思科自防御网络要求的安全网络，来自思科网络准入控制解决方案的软件和硬件必须给予充分的整合。九种以上的不同的软硬件组成的思科网络准入控制解决方案，对于配置、部署和监测来说，是一个相当浩大的工程。尽管类似思科安全监测、分析和响应系统和思科用户安全信息管理解决方案之类的应用软件可以把一切整合在一起，但这些应用也需要时间和相关的专业知识。因此，我可以明确地说，部署安全解决方案是一件非常困难的事情。

通过这篇文章，我对思科公司当前提供的网络准入控制解决方案进行了详细的介绍。希望这些资料会在你选择网络安全解决方案时提供帮助。