思科NAC網(wǎng)絡(luò)準(zhǔn)入控制白皮書(shū).doc

《思科NAC網(wǎng)絡(luò)準(zhǔn)入控制白皮書(shū).doc》由會(huì)員上傳分享，免費(fèi)在線(xiàn)閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

1、思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)進(jìn)行了專(zhuān)門(mén)設(shè)計(jì)，可確保為訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的所有終端設(shè)備(如PC、筆記本電腦、服務(wù)器、智能電話(huà)或PDA等)提供足夠保護(hù)，以防御網(wǎng)絡(luò)安全威脅。作為著名防病毒、安全性和管理產(chǎn)品制造商共同參與的市場(chǎng)領(lǐng)先的計(jì)劃，NAC引起了媒體、分析公司及各規(guī)模機(jī)構(gòu)的廣泛關(guān)注?！　”疚膶⒔忉屪鳛榛诓呗缘陌踩珣?zhàn)略的一部分，NAC將發(fā)揮怎樣的關(guān)鍵作用，同時(shí)描述并定義可用的NAC方法。　　NAC的優(yōu)勢(shì)　　據(jù)2005CSI/FBI安全報(bào)告稱(chēng)，雖然安全技術(shù)多年來(lái)一直在發(fā)展且安全技術(shù)的實(shí)施更是耗資數(shù)百萬(wàn)美元，但病毒、蠕蟲(chóng)、間諜軟件和其他形式的惡意軟件仍然是各機(jī)構(gòu)現(xiàn)在面臨的主要問(wèn)題。機(jī)構(gòu)每年遭遇

2、的大量安全事故造成系統(tǒng)中斷、收入損失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問(wèn)題，給機(jī)構(gòu)帶來(lái)了巨大的經(jīng)濟(jì)影響?！　★@然，僅憑傳統(tǒng)的安全解決方案無(wú)法解決這些問(wèn)題。思科系統(tǒng)公司?開(kāi)發(fā)出了將領(lǐng)先的防病毒、安全和管理解決方案結(jié)合在一起的全面的安全解決方案，以確保網(wǎng)絡(luò)環(huán)境中的所有設(shè)備都符合安全策略。NAC允許您分析并控制試圖訪(fǎng)問(wèn)網(wǎng)絡(luò)的所有設(shè)備。通過(guò)確保每個(gè)終端設(shè)備都符合企業(yè)安全策略(例如運(yùn)行最相關(guān)的、最先進(jìn)的安全保護(hù)措施)，機(jī)構(gòu)可大幅度減少甚至是消除作為常見(jiàn)感染源或危害網(wǎng)絡(luò)的終端設(shè)備的數(shù)量?！　〈蠓忍岣呔W(wǎng)絡(luò)安全性　　雖然大多數(shù)機(jī)構(gòu)都使用身份管理及驗(yàn)證、授權(quán)和記帳(AAA)機(jī)制來(lái)驗(yàn)證用戶(hù)并為其分配

3、網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限，但這些對(duì)驗(yàn)證用戶(hù)終端設(shè)備的安全狀況幾乎不起任何作用。如果不通過(guò)準(zhǔn)確方法來(lái)評(píng)估設(shè)備‘狀況’，即便是最值得信賴(lài)的用戶(hù)也有可能在無(wú)意間通過(guò)受感染的設(shè)備或未得到適當(dāng)保護(hù)的設(shè)備，將網(wǎng)絡(luò)中所有用戶(hù)暴露在巨大風(fēng)險(xiǎn)之中?！　AC是構(gòu)建在思科系統(tǒng)公司?領(lǐng)導(dǎo)的行業(yè)計(jì)劃之上的一系列技術(shù)和解決方案。NAC使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)試圖訪(fǎng)問(wèn)網(wǎng)絡(luò)計(jì)算資源的所有設(shè)備執(zhí)行安全策略檢查，從而限制病毒、蠕蟲(chóng)和間諜軟件等新興安全威脅損害網(wǎng)絡(luò)安全性。實(shí)施NAC的客戶(hù)能夠僅允許遵守安全策略的可信終端設(shè)備(PC、服務(wù)器及PDA等)訪(fǎng)問(wèn)網(wǎng)絡(luò)，并控制不符合策略或不可管理的設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)?！　AC設(shè)計(jì)集成在網(wǎng)絡(luò)基礎(chǔ)設(shè)施之

4、中，因此是獨(dú)一無(wú)二的。那么，為何要在網(wǎng)絡(luò)上(而不是其他位置)實(shí)施策略符合性和驗(yàn)證戰(zhàn)略呢？　　1.機(jī)構(gòu)感興趣或關(guān)心的每個(gè)比特的數(shù)據(jù)都通過(guò)網(wǎng)絡(luò)傳輸?！　?.機(jī)構(gòu)感興趣或關(guān)系的每個(gè)設(shè)備都與相同的網(wǎng)絡(luò)相連接?！　?.對(duì)網(wǎng)絡(luò)實(shí)施準(zhǔn)入控制使機(jī)構(gòu)能夠部署盡量廣泛的安全解決方案，包含盡可能多的網(wǎng)絡(luò)設(shè)備?！　?.這個(gè)戰(zhàn)略利用機(jī)構(gòu)的現(xiàn)有基礎(chǔ)設(shè)施、安全性和管理部署，因此最大限度地降低了IT開(kāi)銷(xiāo)?！　⊥ㄟ^(guò)運(yùn)行NAC，只要終端設(shè)備試圖連接網(wǎng)絡(luò)，網(wǎng)絡(luò)訪(fǎng)問(wèn)設(shè)備(LAN、WAN、無(wú)線(xiàn)或遠(yuǎn)程訪(fǎng)問(wèn)設(shè)備)都將自動(dòng)申請(qǐng)已安裝的客戶(hù)端或評(píng)估工具提供終端設(shè)備的安全資料。隨后將這些資料信息與網(wǎng)絡(luò)安全策略進(jìn)行比較，并根據(jù)設(shè)備對(duì)

5、這個(gè)策略的符合水平來(lái)決定如何處理網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求。網(wǎng)絡(luò)可以簡(jiǎn)單地準(zhǔn)許或拒絕訪(fǎng)問(wèn)，也可通過(guò)將設(shè)備重新定向到某個(gè)網(wǎng)段來(lái)限制網(wǎng)絡(luò)訪(fǎng)問(wèn)，從而避免暴露給潛在的安全漏洞。此外，網(wǎng)絡(luò)還能隔離的設(shè)備，它將不符合策略的設(shè)備重新定向到修補(bǔ)服務(wù)器中，以便通過(guò)組件更新使設(shè)備達(dá)到策略符合水平?！　AC執(zhí)行的某些安全策略符合檢查包括：　　判斷設(shè)備是否運(yùn)行操作系統(tǒng)的授權(quán)版本?！　⊥ㄟ^(guò)檢查來(lái)查看操作系統(tǒng)是否安裝了適當(dāng)補(bǔ)丁，或完成了最新的熱修復(fù)?！　∨袛嘣O(shè)備是否安裝了防病毒軟件以及是否帶有最新的系列簽名文件?！　〈_保已打開(kāi)并正在運(yùn)行防病毒技術(shù)?！　∨袛嗍欠褚寻惭b并正確配置了個(gè)人防火墻、入侵防御或其他桌面系統(tǒng)安全軟件

6、?！　z查設(shè)備的企業(yè)鏡像是否已被修改或篡改?！　AC隨后根據(jù)上述問(wèn)題的答案做出基于策略的明智的網(wǎng)絡(luò)準(zhǔn)入決策。　　實(shí)施NAC解決方案的某些優(yōu)勢(shì)包括：　　1.幫助確保所有的用戶(hù)網(wǎng)絡(luò)設(shè)備都符合安全策略，從而大幅度提高網(wǎng)絡(luò)的安全性，不受規(guī)模和復(fù)雜性的影響。通過(guò)積極抵御蠕蟲(chóng)、病毒、間諜軟件和惡意軟件的攻擊，機(jī)構(gòu)可將注意力放在主動(dòng)防御上(而不是被動(dòng)響應(yīng))?！　?.通過(guò)著名制造商的廣泛部署與集成來(lái)擴(kuò)展現(xiàn)有思科網(wǎng)絡(luò)及防病毒、安全性和管理軟件的價(jià)值?！　?.檢測(cè)并控制試圖連接網(wǎng)絡(luò)的所有設(shè)備，不受其訪(fǎng)問(wèn)方法的影響(如路由器、交換機(jī)、無(wú)線(xiàn)、VPN和撥號(hào)等)，從而提高企業(yè)永續(xù)性和可擴(kuò)展性?！　?.防止

7、不符合策略和不可管理的終端設(shè)備影響網(wǎng)絡(luò)可用性或用戶(hù)生產(chǎn)率?！　?.降低與識(shí)別和修復(fù)不符合策略的、不可管理的和受感染的系統(tǒng)相關(guān)的運(yùn)行成本。?NAC實(shí)施選項(xiàng)　　思科同時(shí)提供基于產(chǎn)品和架構(gòu)的NAC框架方法，以滿(mǎn)足任何機(jī)構(gòu)的功能和運(yùn)行要求，無(wú)論是簡(jiǎn)單的安全策略要求，還是涉及到大量安全供應(yīng)商的、與企業(yè)桌面系統(tǒng)管理解決方案相關(guān)的、復(fù)雜的安全實(shí)施要求?！　AC產(chǎn)品‘CiscoCleanAccess’通過(guò)自帶的終端評(píng)估、策略管理和修補(bǔ)服務(wù)支持快速部署。此外，NAC框架還將智能網(wǎng)絡(luò)基礎(chǔ)設(shè)施與50