Cisco NAC Appliance Cisco NAC Appliance ( 前身為 Cisco Clean Access ) 為一易於部署的網路存取控制產品 (Network Admission Control:NAC ), 允許網路管理者在有線 無線和遠端存取用戶及其終端裝置存取網路前, 能先對其機器的狀態進行驗證 授權 評估和矯正 (Rediation) 它能識別出如筆記型電腦 桌上型電腦或其他相關公司資產的連網設備, 是否符合安全性政策, 並在其進入網路存取前修補漏洞 產品概觀 Cisco NAC Appliance 為一套完整的網路登錄與強制性解決方案, 允許網路管理者在終端用戶正式存取網路前, 能夠先對其主機狀態進行驗證 授權 評估和矯正 (Rediation) 其進階的網路安全產品可以: 識別使用者 使用者的裝置, 和其在網路中的身份, 在惡意程式碼造成損害前, 即在初始步驟進行驗證 評估機器是否符合安全性政策, 資訊安全政策能依據使用者, 使用者的裝置或作業系統隨之改變 藉由阻斷 隔離與矯正功能, 將不符合安全性政策的設備強制執行安全政策, 不符安全性政策的用戶將被導向隔離區, 並依據管理者的處理規則進行矯正 (Rediation) Cisco NAC Appliance 能對所有的裝置進行狀態評估及修補服務, 無須理會此裝置本身的 : 設備類型 Cisco NAC Appliance 能針對所有的連網機器進行強制性安全政策執行, 包括 :Windows Mac 或 Linux 的機器 膝上型電腦 桌上型電腦 個人的數位助理 (PDA); 與其它公司的資產, 如 : 印表機和 IP 話機 設備擁有權 Cisco NAC Appliance 能適用安全政策至公司 員工 承包商和訪客其所擁有的系統 設備存取方式無論連網機器的存取是經由區域網路 無線網路 廣域網路或虛擬私有網路,Cisco NAC Appliance 皆可實施網路存取控制 Cisco NAC Appliance 本身可在所有的運作情境下, 具備有獨立的執行政策能力, 無須添加個別的產品與額外 模組 功能和好處 在網路環境內部署 Cisco NAC Appliance 其最主要的好處 : 成為遵循良好存取規範的健全網路 可針對病毒 蠕蟲 間諜軟體及惡意程式進行積極防禦 藉由週期性的評估與矯正 (Rediation), 大幅降低用戶端機器的安全性漏洞 藉由自動化修補與更新用戶端機器的程序, 省卻資訊管理費用
認證整合單一登入 對應到市場上多種主要的認證方式,Cisco NAC Appliance 可扮演成認證代理的身份, 可與 Kerberos 輕量級目錄存取協定 (LDAP) RADIUS Active Directory S/Ident 及其他的認證方式進行整合 另外為了降低用戶端的不便性,Cisco NAC Appliance 也支援用戶端以虛擬私人網路 無線網路與 Windows AD 網域進行網路存取時的單一登入應用 網路管理者能使用以多重使用者範本的權限等級來管理 實施以身份為基礎的存取控管 弱點評估 Cisco NAC Appliance 可掃瞄所有 Windows 系統 Mac 作業系統及以 Linux 為基礎的作業系統和設備 ; 也支援掃瞄非個人電腦型式的網路裝置, 如 : 遊戲機 PDA 印表機和 IP 話機 可實施以網路為基礎的掃描或依用戶端需求的客製化定義掃描 Cisco NAC Appliance 能檢查任何應用程式其註冊機碼值的設定 執行中的服務或系統的檔案 裝置隔離 Cisco NAC Appliance 能將不符合安全性政策的設備置於隔離區, 防止其散播威脅感染, 並允許它們存取矯正 所需的網路資源 設備隔離可藉由使用遮罩長度為 /30 的子網路或獨立隔離的 VLAN 來達成 自動安全政策更新 自動安全政策更新是思科標準軟體維護包的一部分, 其提供了預先定義好的常見網路存取標準政策, 包含 : 檢查重要的作業系統升級 常用的病毒碼更新及常用的間諜軟體更新 藉由持續維護最新的安全政策能有效降低網路管理者的管理成本 集中式的管理 以 Web 為基礎的管理控制台, 提供了網路管理者其定義每種身份所需的掃描種類及其用於矯正時所需的相關軟 體套件, 一個管理控制台能對多部伺服器進行集中式的管理 矯正與修補 在隔離期間允許設備存取矯正伺服器, 該伺服器能提供作業系統修補檔和更新 病毒碼定義檔或終端安全解決 方案, 如思科安全代理程式等, 管理者能透由代理用戶端程式啟動自動化矯正或另行提供特定的矯正步驟 彈性的部署 Cisco NAC Appliance 提供廣泛的部署配置方式來迎合用戶端的網路架構, 客戶可將其視為是虛擬或實體的 IP 閘道, 可部署在網路的中心或邊緣, 包含網路第二層及第三層的用戶端存取, 及 In-band 或 Out-of-band 的網路流量
部署模式 Cisco NAC Appliance 可採取數種部署模式與客戶網路進行最佳整合 表 1 為主要的部署選項說明 : 表 1 Cisco NAC Appliance 設備部署選項 配置模式 Passing Traffic Mode Physical Deployment Model Client Access Mode Traffic Flow Model 選項 虛擬閘道器 ( 橋接模式 ) 實體 IP 閘道器 / 轉址閘道器 ( 路由模式 ) 網路邊緣 網路中心 Layer 2 ( 用戶端鄰近 Cisco NAC Appliance Server) Layer 3 ( 用戶端未鄰近 Cisco NAC Appliance Server) In-band ( 用戶端流量永遠需透由 Cisco NAC Appliance Server) Out-of-band ( 用戶端流量只有在驗證 狀態評估與矯正時才需透由 Cisco NAC Appliance Server) 產品架構 Cisco NAC Appliance 涵蓋了下列三種組成元件 : Cisco NAC Appliance Server 此設備會依據用戶端需遵循的法規進行安全狀態評估及存取權限的強制行為 用戶會被封鎖在通訊埠且禁止其對受信賴的網路區段進行存取, 直到成功地通過檢查 依同時上線的用戶數,Cisco NAC Appliance Server 可區分為 :100 250 500 1500 和 2500 個五種使用者授權版本 一家企業內可搭配不同授權數目的伺服器 ; 舉例來說, 企業總部將會需要一個 1500 個使用者授權的 Cisco NAC Appliance Server, 而相同公司內的一個分支機構則可能只需要 100 個使用者授權 Cisco NAC Appliance Manager 採 WEB 介面的集中式管理平台, 具備設立身份 核對 規則與政策的功能 Cisco NAC Appliance Manager 依規模提供了三種版本 :Cisco NAC Appliance Lite Manager 版本最大可管理到三台的 Cisco NAC Appliance Server;Cisco NAC Appliance Standard Manager 版本最大可管理到 20 台 ;Cisco NAC Appliance Super Manager 版本最大可管理到 40 台 Cisco NAC Appliance Agent 精簡型唯讀功能的用戶端程式, 具備強化過的狀態檢查與無縫式矯正功能,Cisco NAC Appliance Agents 為一可供免費的選擇性安裝項目
圖 1 為 Cisco NAC Appliance In-band 部署模式的邏輯示意圖 這種組態可與任一 802.11 無線設備環境共同運作, 包含 Cisco Aironet 無線基地台在內 這種 In-band 模式同時也是虛擬私有網路架構下的優先部署方式 圖 1. In-Band 模式下的 Cisco NAC Appliance 架構 圖 2 為 Cisco NAC Appliance Out-of-band 部署模式的邏輯示意圖 在此模式下,Cisco NAC Appliance Server 只有在驗證 狀態評估與矯正 (Rediation) 功能時, 才會採取 In-band 模式 一旦使用者裝置成功地完成登入後, 其流量將可直接穿越交換器網路埠 圖 2. Out-of-Band 模式下的 Cisco NAC Appliance 架構
產品規格 Cisco NAC Appliance 為即用型的安全性設備, 使用者不再需要採取軟 硬體分開的方式購買 因應此購買方式 的改變, 思科分別提供了三種新的 NAC Appliance Server 及 NAC Appliance Manager 硬體選項 表 2 詳列 Cisco NAC Appliance 硬體的版本規格 表 2 Cisco NAC Appliance 硬體規格 產品 中央處理器 記憶體 Cisco NAC Appliance 3310 Cisco NAC Appliance 3350 Cisco NAC Appliance 3390 Cisco NAC Appliance Server for 100,250,and 500 使用者授權 Cisco NAC Appliance Lite Manager 雙核心 Intel Xeon 2.33-GHz 1 GB PC2-4200 (2 x512 MB) Cisco NAC Appliance Server for 1500 and 2500 使用者授權 Cisco NAC Appliance Standard Manager 雙核心 Intel Xeon 3.0-GHz Cisco NAC Appliance Super Manager 雙核心 Intel Xeon 3.0-GHz x 2 2 GB PC2-5300(2 x1 GB) 4 GB PC2-5300(4 x1 GB) 記憶體匯流排 1333 MHz FSB 1333 MHz FSB 1333 MHz FSB 硬碟控制器 內建 SATA 磁碟陣列控制器 Smart Array E200 i 控制器 Smart Array E200 i 控制器 硬碟 80-GB NPH SATA 2 x 72-GB SFF SAS RAID drives 4 x 72-GB SFF SAS RAID drives 外接式媒體 CD/DVD-ROM drive CD/DVD-ROM drive CD/DVD-ROM drive 網路連接 乙太網路介面卡 (NICs) 10BASE-T 纜線支援 10/100/1000BASE TX 纜線支援 安全傳輸 (SSL) 加速卡 介面 2 x Integrated Broadcom 10/100/1000 5708 NICs 2 x Intel e1000 Gigabit NICs (PCI-X) Category (Cat) 3, 4, or 5 unshielded twisted pair (UTP) up to 328 ft (100 m) 2 x Integrated Broadcom 10/100/1000 5721 NICs 2 x Intel e1000 Gigabit NICs (PCI-X) Cat 3, 4, or 5 UTP up to 328 ft (100 m) 2 x Integrated Broadcom 10/100/1000 5721 NICs 2 x Intel e1000 Gigabit NICs (PCI-X) Cat 3, 4, or 5 UTP up to 328 ft (100 m) Cat 5 UTP up to 328 ft (100m) Cat 5 UTP up to 328 ft (100m) Cat 5 UTP up to 328 ft (100m) None Cavium CN1120-NHB-E Cavium CN1120-NHB-E 序列埠 1 1 1 USB 2.0 4( 前二, 後二 ) 4( 前 1, 內一, 後二 ) 4( 前 1, 內一, 後二 ) 鍵盤 1 1 1 影像埠 1 1 1 滑鼠埠 1 1 1 外接 SCSI 埠 None None None 系統規格 外觀 Rack-mount 1 RU Rack-mount 1 RU Rack-mount 1 RU 重量 大小 35 lb (15.87 kg) fully configured 1.70 x 16.78 x 27.75 in. (4.32 x 42.62 x 70.49 cm) 35 lb (15.87 kg) fully configured 1.70 x 16.78 x 27.75 in. (4.32 x 42.62 x 70.49 cm) 35 lb (15.87 kg) fully configured 1.70 x 16.78 x 27.75 in. (4.32 x 42.62 x 70.49 cm) 電源 650W auto-switching, PFC Dual 700W (redundant) Dual 700W (redundant) 風扇 6; non-hot plug, nonredundant 9; redundant 9; redundant 額定 BTU 2910 Btus/hr (at 120 VAC);2870 (at 240 VAC) 2910 Btus/hr (at 120 VAC);2870 (at 240 VAC) 2910 Btus/hr (at 120 VAC);2870 (at 240 VAC) 當 Cisco NAC Appliance 在 In-band 模式下可支援任意的網路架構 ; 而 Out-of-band 模式則需透過簡易網路管理協定 (SNMP) 的支援與交換器間整合運作 使用者可參訪下列網址得知最新的交換器支援清單 http:// www.cisco.com/en/us/product/ps 6128/products_device_support_table 0918600806f 65fb.html
系統需求 表 3 為 Cisco NAC Appliance Agent 在系統上的特性 表 3 Cisco NAC Appliance Agent 系統需求 功能 作業系統支援 硬碟機需求空間 最低需求 Windows XP Professional Windows XP Home Windows XP Media Center Edition, Windows XP Tablet PC Windows 2000 Windows 98 Windows SE Windows ME Mac OS X (auth only) 至少 10 MB 硬體無最低硬體需求 ( 可執行於眾多用戶端機器 ) Cisco NAC Appliance 支援無線網路或是使用 IPSec VPN 及 WebVPN Client 存取單一登入 (Single sign-on) 連線應用 表 4 為其主要說明 : 表 4 支援單一登入模式的 VPN 與無線網路元件 產品 Cisco wireless LAN controllers - Cisco ASA 5500 Series Adaptive Security Appliances Cisco WebVPN Service Modules for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers Cisco VPN 3000 Series Concentrators Cisco PIX Security Appliances 用戶端 Cisco SSL VPN (Tunnel) Cisco IPsec VPN Client Cisco NAC Appliance 已支援超過 50 家以上廠商的 300 種以上應用程式 其支援的項目清單正不斷的增加當中, 請參訪 http:// www.cisco.com/en/ US/product/ps 6128/prod_release_notes_list.html ( 列於 " Cisco NAC Appliance Supported AV/AS Product List ") 注意 : 列表產品並非都支援所有的檢查項目, 且有部分代理商不支援 Windows 9x 除事先定義的檢查項目外, 客戶也同時具備 Cisco NAC Appliance 的完整規則訂立, 並還擁有為任意第三者應用程式制訂客製化檢查或規則 服務和支援 思科提供了廣泛的服務方案來加速客戶的成功 這些創新的服務方案透由一個專業人士 程序 工具和伙伴的獨特結合, 提供客戶端高度的滿意 思科服務可協助客戶保護網路投資, 最佳化網路運作, 提供網路智能以因應新應用的來到並達到商業運作的強化 想瞭解思科服務的更多資訊, 請參考 CiscoTechnical Support Services 或 Cisco Advance Services 產品保固資訊可參訪 http:// www.cisco.com/en/us/product/prod_warranties_item 0918600805f 005b.html 產品授權訊息可參訪 http:// www.cisco.com/en/us/product/ps 6128/products_device_support_table 09186008073136b.html 想要知道更多的訊息 關於 Cisco NAC Appliance 的更多資訊, 請造訪 http:// www.cisco.com/go/nac/appliance 或聯絡思科專業代理商聚碩科技之業務代表 2007.06 印刷 All contents are Copyright 1992 2006 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.