思科NAC解决方案核心：可信代理(1)

　　产品概述

　　NAC是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而降低病毒、蠕虫和间谍软件等新兴安全威胁的破坏程度。

　　根据主机策略，对于在允许访问网络前必须接受检查的主机来说，思科可信代理是必须安装的软件。作为NAC的核心组件，思科可信代理使NAC可判断系统是否安装了思科安全代理、防病毒软件或所需的第三方安全性或管理软件及其时新性，同时还提供关于操作系统版本和补丁级别的信息。

　　思科可信代理是免费软件，由思科作为单独应用直接提供或与思科安全代理捆绑提供。您也可向NAC参与方索取软件。

　　思科可信代理:

　　允许NAC验证可管理资产上的应用状态

　　可运行在有线、无线、远程接入和远程机构环境中

　　得到大量第三方供应商的支持

　　可运行在Windows 和 Red Hat Linux 操作系统上

　　易于部署、运行简便的免费软件

　　特性和优势

　　思科可信代理:

　　用作中间件组件，可提取主机策略信息并将这些信息安全地传输给验证、授权和记帐(AAA)策略服务器。作为小型的、不干扰系统运行的软件，思科可信代理属于NAC计划的一部分，可提供思科安全代理版本、操作系统、补丁版本以及第三方应用的存在情况、版本和其他状态信息。

　　与运行在主机上的“支持NAC”的应用直接互动，无需用户干预。思科可信代理将通过由NAC参与方在其应用中集成的通信通道与基于NAC的应用进行通信。NAC计划日前拥有超过50个参与方，包括著名的防病毒、客户端安全性和补丁管理供应商。

　　可使用固有的通信组件在第二或第三层进行通信。思科可信代理同时包括使用用户数据报协议上的可扩展验证协议(EAPoUDP)的第三层通信组件以及802.1x请求系统，允许第二层通信。

　　包括有线环境中用于L2通信的802.1x请求系统。用于Windows的思科可信代理 包含基于Meetinghouse Data Communications技术的免费的802.1x请求系统。您可同时在有线和无线环境中以第三方供应商提供的全零售的请求系统来替代这个请求系统。

　　验证AAA服务器。思科可信代理通过AAA服务器加密的通信对请求者进行验证。

　　允许客户为定制的信息收集而创建脚本。思科可信代理提供界面以便接收客户编写的脚本发送的信息，并将这些信息用于状态验证过程。

　　与思科安全代理相集成并可由NAC参与方利用其应用分发，以简化管理和分发工作。思科可信代理也可作为单独应用从Cisco.com免费下载。

　　摘要：NAC是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而降低病毒、蠕虫和间谍软件等新兴安全威胁的破坏程度。

　　标签：NAC 访问控制 思科

　　网络准入控制产品架构

　　NAC由多个关键组件构成(见图1)，包括:

　　通信代理 —思科可信代理软件工具从终端的安全软件解决方案收集安全状态信息并使用EAPoUDP 或802.1x上的可扩展验证协议 (EAPoL)将此类信息传输给网络访问设备。思科可信代理同时安装在TCP/IP堆栈的上方或802.1x上。

　　网络访问设备 — 试图访问网络的每个设备最初都要联系网络访问设备(路由器、交换机、VPN集中器或防火墙)。这些设备需要思科可信代理提供终端安全“凭证”并将此类信息传输给策略服务器以便作出准入决策。

　　策略服务器 — 思科安全访问控制服务器(ACS) 和第三方供应商的策略服务器将评估网络访问设备转发的终端安全凭证并决定适当的访问策略(准许、拒绝、隔离或限制)。

　　图1. 思科可信代理 架构概图

试图访问网络的主机网络访问设备思科策略服务器第三方策略服务器

　　思科安全代理

　　支持NAC的应用 思科可信代理

　　安全策略的执行安全策略的创建第三方凭证评估

　　思科可信代理 允许NAC利用现有的基础设施投资，从而扩展了思科网络设备、思科安全代理软件和第三方安全软件的价值，包括防病毒和其他第三方终端安全及补丁管理技术投资。

　　摘要：NAC是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而降低病毒、蠕虫和间谍软件等新兴安全威胁的破坏程度。

　　标签：NAC 访问控制 思科

　　产品规格

　　表1列出了思科可信代理 2.0的产品规格。

　　表1. 思科可信代理 2.0产品规格

　　思科可信代理 2.0 兼容:思科安全代理 4.0.2 和更高版本

　　AhnLab V3Pro2004 for NAC 6.0

　　BigFix Enterprise Suite 5和更高版本

　　Citadel Hercules 4.0

　　Computer Associates eTrust AntiVirus 6, 7, 7.1 和eTrust PestPatrol 5

　　IBM Tivoli 安全和身份管理产品套件

　　InfoExpress CyberGatekeeper Server 3.1 和 CyberGatekeeper Policy Manager 3.1

　　McAfee VirusScan 7.x 和 8.0i

　　Senforce Endpoint Security Suite 3

　　Symantec AntiVirus 9.0 和 Symantec Client Security 2.0

　　Trend Micro OfficeScan Corporate Edition 6.5和更高版本

　　NAC参与方提供的大量其他产品;最新列表请访问

　　思科可信代理 2.0 捆绑:思科安全代理 4.0.2和更高版本

　　InfoExpress CyberGatekeeper Server 3.1 和 CyberGatekeeper Policy Manager 3.1

　　Trend Micro OfficeScan Corporate Edition 6.5

　　如需完整的最新列表，请访问www.cisco.com/en/US/partners/pr46/nac/partners.html

　　越来越多的供应商继续支持并集成思科可信代理。供应商对思科可信代理的支持与集成与思科版本计划无关。您也可从Cisco.com免费下载思科可信代理 2.0。

　　摘要：NAC是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而降低病毒、蠕虫和间谍软件等新兴安全威胁的破坏程度。

　　标签：NAC 访问控制 思科

　　系统要求

　　表2列出了思科可信代理 2.0的系统要求。

　　表2. 思科可信代理 2.0的系统要求

　　磁盘空间5 MB 的可用硬盘空间 (建议20 MB)

　　系统一个或多个奔腾处理器，频率为200 MHz或更高

　　网络连接

　　内存最少为Windows NT 和 Windows 2000提供128 MB 的 RAM

　　最少为Windows XP 和 Windows 2003提供256 MB的 RAM

　　操作系统支持以下操作系统:

　　– Windows NT 4.0

　　– Windows 2000 Professional 和 Server (Service Pack 4)

　　– Windows XP Professional (最高Service Pack 2)

　　– Windows 2003

　　– Red Hat Linux Enterprise Linux 3.0

　　注: 只测试了操作系统的英语(美式)和日语版本。其他语言版本无已知问题。