《思科NAC架构知识.docx》由会员分享,可在线阅读,更多相关《思科NAC架构知识.docx(3页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、思科NAC架构知识不管是对于安全管理人员还是网络管理人员来讲,让上图中的所有组件都和谐的工作,确实不是一件易事。不过没关系,思科的NAC架构已经被大多数主流终端安全公司,安全接入网关以及补丁修复服务器所支持。CiscoNACFramework怎样工作讲了这么多,CiscoNACFramework到底能做什么呢?下面是它的工作内容:1.假如一台PC试图接入网络,首先必须经过验证,并且审核它的策略能否与规定相符。PC试图登录的行为会触发NAC经过。2.PC主机运行思科可信代理CiscoTrustAgent(CTA).3.网络接入设备NetworkAccessDevice(NAD)即以太网交换机试图
2、建立到PC机的连接。4.可扩展认证协议ExtensibleAuthenticationProtocol(EAP)启用,PC电脑上的凭据被发送到思科安全接入控制服务器上CiscoSecureAccessControlServer(ACS)。5.直到这整个经过完成,PC主机(潜在的不良终端)只是将来自可信代理CiscoTrustAgent的凭证发送到了网络上。PC机本身还不能与网络进行通信。6.可信代理CiscoTrustAgent是通过一个安全通道传达凭证的,因而NAD看不到它们。7.安全接入控制服务器ACSServer能够将凭证传递给其它的服务器。比方,如今大部分此类凭证都会发送给Window
3、sAD服务器。当然,凭证也会发送给其它服务器,比方LDAP或一次性密码服务器。8.根据一个或多个验证服务器反应的信息,ACS服务器能够允许,拒绝或者隔离请求接入网络的PC。另外,ACS服务器能够设定不同的网络接入等级。9.在校验安全策略一致性方面,CiscoNACFramework采用的是网络和基于代理的扫描方式。10.CiscoNACFramework能够施行针对各类设备的一致性检测。11.CiscoNACFramework能够通知用户的连接状态,假如其中出现任何问题,它能够通过升级PC机的补丁,防火墙或其它设置等方式纠正所出现的问题。另外,可以以通过弹出窗口或类似功能通知PC机能否获得了网络访问权。比方用户可能会看到一个弹出窗口,其中标注为:由于你的电脑缺少必要的升级补丁,因而没有获得网络访问权限。为了获得网络访问权限,请先访问下面地址URL获取电脑升级补丁。图B能够帮助我们更好的理解这个经过: