企业可信网络架构ISE解决方案建议书.docx

企业可信网络架构ISE解决方案建议书.docx

《企业可信网络架构ISE解决方案建议书.docx》由会员分享，可在线阅读，更多相关《企业可信网络架构ISE解决方案建议书.docx（28页珍藏版）》请在冰豆网上搜索。

企业可信网络架构ISE解决方案建议书

企业可信网络架构

ISE解决方案建议书

概述

1.1.背景与挑战

随着网络技术的不断发展，企业网络的访问和接入方式呈现多样化的趋势，包括无线、有线以及远程接入VPN等方式，得到了越来越多的应用。

在企业网络中，访问网络的终端设备种类越来越多，从传统的PC机，到IP话机，IP摄像头，打印机、传真机，尤其是随着移动终端设备，如各种智能手机，功能和性能不断提升，已经从原来的从可有可无，演变成为移动办公的重要工具，而且很多都是使用企业员工自带设备BYOD做办公使用。

此外，随着企业开始重视自身的敏感数据和信息的安全性，严格控制对敏感信息和重要数据的访问权限，对网络的使用者，包括公司员工、合作伙伴或者临时访客，都需要依据其身份进行访问权限的分配。

从上图可以看出，如今的企业网络比以往任何时候都更加多样化，体现在以下几个方面：

∙网络接入方式的多样化

∙接入设备类型的多样化

∙访问人员身份的多样化

随着网络访问方式的多样化和终端设备的多样化，出现安全漏洞和新的运营挑战的可能性也在增加，主要包括以下几个方面：

∙用户的授权访问

o如何对网络访问进行权限控制

o如何管理由于BYOD等智能终端接入网络带来的风险

o如何为在办公室、家里或外面等不同地点进行不同的访问授权

o如何保证网络接入设备本身符合安全要求

∙访客的访问

o如何限定访客的访问权限

o如何管理访客的网络接入

o访客的网络接入方式是有线还是无线

o如何对访客的访问进行监控

∙无人终端的访问

o如何发现和识别无人值守终端设备

o如何判断终端设备的类型

o如何对终端设备的访问进行控制

o如何发现终端设备被仿冒

因此，维护网络安全和提高运营效率需要新的解决方案，这些方案应该能够有效地执行包括无线、有线以及远程接入等网络访问的策略和授权、审核网络使用情况、监控企业的合规性并全面了解整个网络中的活动状况。

1.2.ISE功能简介

IdentityServicesEngine（简称ISE）身份服务引擎是可信网络架构TrustSec®解决方案和SecureX架构的不可或缺的组成部分。

ISE身份服务引擎作为下一代身份和访问控制策略平台，可以帮助企业执行策略规定、加强基础设施安全并简化服务操作。

ISE的独特架构可帮助企业从网络、用户和设备收集实时信息，通过在有线、无线和远程网络访问等多种情景下，实施访问控制策略，并以此制定出有效的管理决策。

身份服务引擎提供了一个非常强大而灵活的，基于策略的访问控制解决方案。

它在同一平台上集成了身份验证、授权和升级的功能，同时提供终端状态、分析和访客管理服务等功能。

这样极大地降低了复杂性，实现了整个企业网络安全策略的一致性。

借助于ISE，管理员可以以统一的方式集中创建和管理用户和终端设备的访问控制策略，并获得接入网络的所有设备的端到端可见性。

ISE身份服务引擎实现了以下功能特性：

∙企业能够针对对有线、无线和远程接入VPN的用户和各种终端设备，在企业内部以统一的策略进行身份验证和授权。

∙阻止未授权的网络访问，保护企业敏感数据和信息。

∙通过由接待人为临时访客进行授权，提供完整的访客生命周期管理，从而降低IT工作量，提供安全审计记录。

∙提供可定制门户网站及网页托管，简化业务定义工作流程，提升整体的用户访问体验。

∙通过自动发现、分类和控制连接至网络的终端设备，并依据设备类型为每台终端设备提供相应的服务，从而提供全面的网络可视性。

∙通过定期评估和修复来解决用户设备上的漏洞，帮助提前消除病毒、蠕虫和间谍软件等网络威胁。

∙无需管理员操作，能够通过阻止、隔离和在隔离区域内修复不合规设备来实施安全策略。

∙提供了一个内置的监控、报告和故障排除控制台，协助技术支持人员和管理员的操作排除故障。

∙使用主动终端设备扫描，使得在识别网络设备时获得更精细的数据。

通过对指定的终端设备进行具体设备属性扫描来增加基于网络的设备识别，从而更准确、更全面地了解网络状况。

∙通过终端保护服务来管理终端设备连接到网络中。

通过该服务，管理员可以对某个终端设备进行操作，例如将终端设备分配到新的VLAN、返回原始VAN、或将此终端完全与网络隔离。

所有操作均可在一个统一界面上完成。

1.3.ISE优势

的ISE提供全面的网络访问控制，是唯一能够将有线访问、无线访问以及远程VPN访问基于一身，提供统一服务平台的解决方案（见下图）。

ISE借助于各种类型的设备探测与识别，灵活的终端访问控制，提供了全面的BYOD解决方案，是唯一能够利用网络设备传感器和实时地终端设备扫描的厂商，帮助企业用户为种类繁多的BYOD提供访问控制策略。

ISE解决方案能够为企业带来以下的益处：

∙安全性：

提高接入网络访问的用户和终端设备的可视性、历史报告以及强大的故障排除工具，从而降低运营成本。

∙一致性：

企业能够以一致的方式推出高度定制化和全面的网络访问策略。

∙合规性：

通过确保执行和审核必要的控制措施使企业符合监管的要求，只有合规用户才能获得完全访问网络，不合规用户被隔离到有限的网络区域。

∙高效性：

通过将频繁操作的任务自动化处理，简化服务交付流程，提高IT部门的生产率。

可信网络架构

1.4.身份和访问策略控制

ISE是可信网络解决方案的关键组件。

ISE作为身份与访问控制的平台，使得企业用户能够实现合规性，基础架构安全性和加快服务流程，其特有的架构可以收集企业的网络、用户和各种设备的实时的运行信息，借助于接入层交换机、无线控制器、VPN网关以及数据中心的交换机，作出主动式的管理决策。

ISE是基于策略的访问控制解决方案：

∙在单台设备上集成了AAA功能，终端设备状态检查，设备识别以及访客管理功能；

∙在集中式或分布式的部署场景中，实现统一的策略控制；

∙支持部署在不同网络架构的场景中，包括支持802.1X的有线，无线和远程接入VPN网络；

∙支持从小型办公室到大型企业网络的部署。

ISE支持以下访问应用场景：

∙实现用户和终端设备的AAA功能；

∙通过检查连接到网络中的所有终端设备的健康状态，实现终端设备的合规性检查；

∙所有基于IP类型的设备，包括IP话机，打印机等，对其进行设备识别，分类和授权，以及设备接入网络后的授权变更；

∙各种合规性报表；

∙访客生命周期管理；

∙高级的安全组访问策略控制。

1.5.认证和授权策略

通过ISE可以阻止XX的终端设备接入到网络中，是降低企业网络风险的有效方式。

认证和授权是企业网络安全不可或缺的部分。

ISE作为控制平面，可以实现对有线、无线和远程VPN接入网络的用户或设备进行认证和授权。

ISE支持通过用户或终端设备在企业中的角色，进行分组授权。

分组授权可以通过动态VLAN或者dACL，以及URL重定向等方式对访问企业资源进行进一步的限制。

ISE集成了多种外部数据源，对用户进行认证和授权，同时获取用户分组信息其他属性用于授权策略。

ISE支持用户和终端设备的802.1X认证，支持的EAP认证协议包括：

∙基于质询-应答方式

oEAP-MD5

oLEAP

oEAP-MSCHAP2

∙基于证书方式

oEAP-TLS

∙隧道方式

oEAP-PEAP

oEAP-TTLS

oEAP-FAST

∙其他类型

oEAP-GTC

oGSS-API

以下是支持的用户认证数据源：

∙内部数据库

∙ActiveDirectory

∙LightweightDirectoryAccessProtocol（LDAP）

∙RadiusToken服务器

∙RemoteSupervisorAdaptor（RSA）

从授权策略来看，ISE充分借助与TrustSec网络平台的内在特性，提供了灵活的访问控制。

这包括了高级RADIUS的特性，比如FlexAuth，监控模式，多域认证（Multi-DomainAuthentication）。

例如，通过FlexAuth，IT管理员可以在单个接口上启用802.1X，MAB，和WebAuth的认证序列，从而满足各种认证的需求。

ISE的灵活的策略模型实现了每种FlexAuth服务都提供了唯一的访问控制策略，依据企业的访问控制要求，ISE提供了描述性的认证和授权访问策略。

1.6.终端设备类型的识别

ISE集成了设备识别（称为Profiling）的功能，可以检测并识别接入网络中的设备的类型。

设备识别功能一般是在策略服务节点上启用，借助于网络交换设备，以及终端设备的类型和属性进行设备的识别。

ISE可以使用以下属性来识别设备类型：

▪MACOUI

▪DHCP信息

▪RADIUS信息

▪HTTP信息

▪DNS查询信息

▪NetFlow信息

▪NMAP

▪SNMPQUERY

▪SNMPTRAP

ISE的设备识别是一个持续的过程。

当终端设备被分类并识别后，如果收到更新的设备识别数据，那么会继续检测终端设备的类型，获得更精确的设备类型的识别，随着更多的数据信息的获取，使得终端的设备类型可以得到更准确的判断。

当终端设备或端口配置发生改变时，ISE允许策略服务节点发起授权变更请求ChangeofAuthorization（简称CoA），可以重新进行端口授权或者拒绝该认证。

ISE提供了预配置设备类型库，同时也支持用户自定义各种类型的设备类型库。

下图是ISE预配置的主要的设备类型列表：

1.7.终端设备健康状态检查

ISE可以利用终端服务功能模块，对终端设备进行健康状态检查，以确保设备状态符合公司的安全策略，同时对不符合公司合规性要求的终端设备限制访问网络，甚至还可以提供修复的功能。

终端设备健康状态检查包括检查设备运行的操作系统版本，最新防病毒或防恶意软件的特征库，必要的的话还可以包括是否安装了正确的Agent程序，要检查哪些项目，都可以通过ISE管理员进行配置。

ISE通过在客户端安装NACAgent插件来对其进行健康状态评估，并提供对客户端设备的修复功能。

在启用合规性与终端健康状态检查的场景中，客户端会自动下载并安装NACAgent插件，检查内容包括文件、主机注册表、进程、应用程序和系统服务等。

NACAgent可以帮助完成防病毒和防恶意软件特征库的更新，发布文件到策略服务节点上，发布用于更新防病毒特征库的网站的链接。

NACAgent不需要手工下载和安装，而是通过用户在HTTP登录时推送给客户机，并在客户端自动安装到某个临时目录，并在该目录下对客户端进行扫描，并将扫描结果报告给ISE，然后在由ISE决定授权策略。

1.8.访客服务和BYOD自助服务

ISE的访客服务功能，允许访客，参观人，合同员工，咨询人员或者用户通过WEB页面登录的方式接入到网络中。

ISE管理员可以根据用户类型，角色和时间确定是否可以访问内网或者公网。

访问网络的策略和网段的分配，可以通过网络接入设备（NAD）的动态VLAN或dACL来进行控制。

ISE访客服务包含了以下三种角色：

∙访客：

是指需要一个临时帐号访问网络的人员。

∙接待人：

是指有创建临时网络访问帐号权限的企业员工，例如公司前台接待人可以通过一个Web门户页面创建和管理访客的临时帐号。

在ISE中可以创建不同权限的接待人帐号，帐号信息可以来自本地数据库，或者外部的LDAP或AD数据源。

∙管理员：

是指能够对在ISE上对接待人权限进行配置和管理的帐号。

ISE的接待人通过Web门户页面创建了访客临时帐号后，可以通过多种方式将帐号信息提供给访客，包括打印，邮件或短信等方式通知访客。

为访客创建帐号的过程，都可以被记录下来，用于日后的审计。

通过访客服务，可以大大降低企业IT人员的工作负荷，同时对所有访客的访问记录都进行了审计。

当获得访问帐号的访客首次接入网络后，无论是通过有线还是无线的方式，都会被分配到一个具有很低访问权限的网段中