?随着互联网应用的全面普及和向局域网的渗透,现在公用网络与专用网络边界已变得日益模糊,这不,思科近期就推出一个整体的“无边界网络”解决方案,其目的就是要让我们公司的网络随时随地接入公司移动办公的员工、分支机构、合作伙伴和供应商网络。但这里就涉及到两个最重要的安全问题,那就是身份认证和访问控制。因为现在不同的网络接入方式所采用的认证技术和访问控制策略配置都不xx一样,这就给网络中心的接入设备带来了巨大的挑战,也给网络管理人员的管理造成了比较大的管理负担。这时我们的企业网络管理员就设想,是否有一种可以适用于采用各种接入方式用户的统一认证和访问控制策略呢?因为再好的独立解决方案都难以满足他们的实际需求,各种独立解决方案的用户认证和访问控制策略都无法一致,必须寻找一种适合于所有访问方法的一致认证方案。必须为在任何设备上的用户,或者各种访问端点上的任何平台提供一种统一的边界应用和网络资源访问解决方案。这就是本文章要向大家介绍的——Cisco TrustSec(Cisco Trusted Security,思科信任的安全)统一安全策略解决方案。它是作为思科{zx1}推出的“无边界网络”整体方案的一部分而出现的。
?
????一、Cisco TrustSec方案诞生的背景
????无边界网络的开放网络和全球访问特性也带来了网络上新的安全需求。公司员工、合作伙伴、供应商和客户都需要访问公司网络,像笔记本电脑、电话、PDA,无线访问点和打印机也需要对用户进行控制访问。在以前的安全解决方案中,各部分是采用不同的认证和访问控制策略,定义这些策略的授权需要根据公司各个部门,或者某个独立区域特权来进行。如图1中需要有专门用于LAN连接的安全策略服务器,也需要部署通过WLAN接入的安全策略服务器,还需要部署像VPN访问的安全策略服务器,……。这种解决方案一方面很难提供和管理一致性访问策略,另一方面成功访问一个网络需要经过多次不同机制的认证和控制筛选,用户的访问效率大打折扣。
?
?
图1
?
????在这种背景下,思科无边界网络方案中的Cisco TrustSec为我们提供了一个极好的解决方案。在TrustSec方案中,当用户从外部网络,或者分支机构连接到公司网络,无论是有线的,还是无线的,他们的身份都是通过一致性的认证机制得到识别。这个身份识别信息然后必须在所有网络节点上都可用,以确保授予一致的访问控制权限。访问控制不仅适用于商业应用,同样适用于像语音、视频这样的应用。这些访问策略必须也经常审核,以适应和调整管理需求。现有的身份认证和访问控制机制很难满足以上这些管理需求,企业网络{zh1}必须提供安全的校园访问控制,为使用任意不同凭据(如用户名/密码、安全ID、设备凭据等)的用户提供身份认证。管理员必须具有基于各种不同资格定义和应用访问权限,或者特权。访问策略映射用户为各种不同角色,如来宾,普通用户,或者高级人员。引入Cisco TrustSec的直接结果就可以减轻用户身份和访问策略管理的负担。
?
????二、Cisco TrustSec主要功能特性和带来的好处
????Cisco TrustSec可建立适用于所有用户的可见性和控制,还可发现和监控支持IP的设备,从而全面地保护网络以及对关键业务资源的访问。它的主要功能特性包括:基于策略的访问控制、身份感知网络以及网络中的数据保密性和完整性保护。
?
????基于策略的访问控制:Cisco TrustSec为各种用户,如员工、合作伙伴或客户,以及端点设备(笔记本电脑、IP 电话、打印机)和网络设备(交换机、路由器等)提供基于一致策略的网络访问控制。Cisco TrustSec还可能控制向用户或设备授予访问权限的方式、端点设备必须满足的安全策略,以及允许用户使用的网络资源。
?
????身份感知网络:Cisco TrustSec使用最终用户和设备身份信息以及其他因素(如时间、地点以及用户在企业中的角色)提供xx的安全策略控制。此外,TrustSec还提供其他基于角色的网络服务,包括对Cisco Medianet的支持,以及与特定角色的用户相关联的关键业务应用程序的服务质量。
?
????数据保密性和完整性:Cisco TrustSec使用IEEE 802.1AE标准加密来保护交换环境中的数据路径。数据保密性和完整性具体体现在交换机端口级别的设备之间(逐跳方式)。思科交换基础架构通过保持控制,让关键安全应用程序(如防火墙、入侵防御和内容检查)始终都能查看数据流。
?
????整个Cisco TrustSec方案的核心技术组成如图2所示。主要包括了三大部分:设备终端的拓扑识别模块,用户终端的角色识别模块和中心的身份验证和访问控制策略管理模块。
?
?
图2
?
????从以上Cisco TrustSec的三个主要功能特性可以总结出,采用该方案后可以带来的好处同样体现在以下三个方面:
?
????实现安全协作:Cisco TrustSec可为用户和设备动态分配访问权限和服务,以便提供动态员工支持。TrustSec提供的一致性、效率和角色感知功能可营造一种安全的协作业务环境,并提供无缝的用户体验。
?
????加强安全性:Cisco TrustSec可保护对网络和资源的访问(有线、无线或VPN),同时确保端点设备已经过授权且运行状况良好。TrustSec在整个网络中实施安全策略。此外,TrustSec还使用交换机端口级别的加密来保护网络数据的保密性和完整性。
?
????满足合规性要求:Cisco TrustSec可识别进入网络的人员、他们在网络上执行的操作以及他们有权访问的资源类型,从而帮助满足合规性要求。客户可以将用于控制、审计和报告的信息与功能作为满足合规性要求的工作的一部分。
?
????三、Cisco TrustSec方案产品
????作为“无边界网络”整体方案的一个重要组成部分,Cisco TrustSec不是独立的一个硬件,或者一个软件,而是一整套系统,它渗透到了无边界网络的各个主要部分。所以思科专门Cisco TrustSec方案提供了一整套的软/硬件支持,是一个完整的系统。主要包括三个产品组件:基础架构、策略和端点。
?
????Cisco TrustSec方案中的基础架构组件是它的硬件支持,得到了所有应用于无边界网络解决方案的Cisco设备支持(是通过交换机设备中的IOS系统提供的),主要包括Cisco Catalyst系列2900/3560/3700/4500/6500交换机和 Cisco Nexus 7000交换机。它们可以通过与网络用户进行交互进行身份验证和授权。在这些交换机上支持灵活的身份验证方法,其中包括IEEE 802.1X、Web和MAC身份验证,所有这些方法都是通过每个交换机端口的单个配置进行控制的,用户可以根据不同的接入方式灵活选择相应的身份验证方法。另外,思科交换机还可以使用用户身份信息来标记每个数据包,以便在网络中的任何位置部署进一步的控制。新型的Cisco Nexus系统交换机更是支持MACSec(IEEE 802.1AE加密标准),可用于保护移动中数据的机密性和完整性。
?
????除了硬件基础架构外,在Cisco TrustSec方案还提供了强大的软件支持。其中,Cisco TrustSec方案中的策略组件Cisco Secure Access Control System (ACS)就是一种简单,但功能强大的策略服务器系统,可用于集中式网络身份识别和访问控制。Cisco Secure ACS具有一个基于规则的策略模型和一个旨在实现{zj0}控制和可视化全新直观管理界面。{zx1}的Cisco Secure ACS还可帮助IT管理员利用全面的监控和故障排除功能快速确定潜在的问题。
?
????在Cisco TrustSec方案中的软件支持中,另一个重点就是Cisco Network Admission Control (NAC,网络接入控制) Manager。它是基于设备的NAC部署环境的策略和管理中心,可用于定义基于角色的用户访问和端点安全策略。它又包括几个子组件,其中的Cisco NAC Server在基于设备的NAC部署环境中评估安全策略合规性,并强制执行这些安全策略;Cisco NAC Profiler可为部署基于策略的访问控制提供帮助,可以发现所有端点设备,并为这些设备建立简档,基于策略地为它们设置布局,以及对它们进行连接后监控;Cisco NAC Guest Server可管理来宾用户的网络访问,包括所有来宾用户帐户和网络活动的调配、通知、管理和报告。
?
????在无边界网络终端,也渗透了Cisco TrustSec方案,这就是Cisco TrustSec方案的端点组件,包括Cisco Secure Services Client (SSC)和Cisco NAC Agent。Cisco SSC可帮助客户部署单个身份验证系统来访问有线和无线网络,提供IEEE 802.1X用户和设备身份验证,可管理用户和设备身份以及用于安全访问的网络访问协议;Cisco NAC Agent是在端点设备上运行的可选轻型代理,通过分析注册表设置、服务和文件,对设备的安全概况进行深度检查。除了上述两个支持标准设备的端点客户端之外,思科IP电话还具有可与Cisco TrustSec方案集成的高级内置客户端功能。
?
????通过以上这些Cisco TrustSec组件最终形成的信任的安全解决方案如图3所示。在其中,整个网络都是采用统一的安全策略系统,既方便,又实用。
?
?
图3
?
????另外从圈内朋友处得知,思科中国百座城市巡展和大量成长企业网络产品海量促销,目前正在举办中,现场促销大量产品和解决方案,想要购买或体验产品与方案,与思科资深工程师互动的抓紧了,难得的一次与无边界网络亲密接触的机会!促销活动详情请xx:
?
????这里有4月7日佛山站巡展现场的一些照片给大家分享:
?
?
?
?
