思科NAC网络准入控制白皮书
SNAC6100 系列硬件技术白皮书
Symantec Network Access ControlEnforcer 6100 硬件系列SNAC硬件设备即Symantec Network Access Control Enforcer 6100 系列硬件, 是一款基于硬件的网络准入控制设备。
当任何一台计算终端尝试进入企业网络的时候,如果是符合企业安全策略,比如安装了指定的防病毒软件并且升级到最新、安装了最新的补丁等,那么SNAC6100就允许它进入企业网络,访问需要的网络资源。
如果该计算终端不符合企业的安全策略,SNAC6100就会针对它实施隔离,并进行自动修复,直到该终端符合企业的安全策略为止。
SNAC6100是预先配置好的硬件,采用了定制和加固的操作系统,并进行了性能优化,运行稳定,便于部署和维护。
SNAC6100集成了三种不同功能的Enforcer 可以根据网络环境的不同,选择使用不同的Enforcer,SNAC6100硬件有以下3种应用模式:•LAN Enforcer :即局域网准入控制器,它与支持 802.1X 标准的所有主要交换供应商协同工作。
LAN Enforcer 可以参与对用户和端点进行身份验证的现有 AAA 身份管理架构;对于只要求进行端点遵从验证的环境,也可以充当独立的 RADIUS 解决方案。
LAN Enforcer 可根据连接端点的身份验证结果设置交换机端口访问权限。
•Gateway Enforcer:即网关准入控制器是在网络瓶颈点处使用的内嵌实施设备。
它根据远程端点的策略遵从情况控制通过设备的通信流。
不管瓶颈点是位于边界网络连接点上(如WAN 链接或 VPN),还是位于访问关键业务系统的内部网段上,Gateway Enforcer 都可以对资源和补救服务有效提供可控访问。
•DHCP Enforcer :即DHCP准入控制器以内嵌方式部署在端点和现有 DHCP 服务基础架构之间,充当 DHCP 代理。
在对策略遵从状况进行验证之前,为实施的所有端点提供限制性的DHCP 租用分配,此时会将一个新 DHCP租用分配给端点。
如何保护学校校园网络的无线网络安全
如何保护学校校园网络的无线网络安全无线网络在学校校园中的应用越来越广泛,为师生提供了便利的网络服务,同时也带来了安全隐患。
保护学校校园网络的无线网络安全是一项重要的任务,本文将从以下四个方面讨论如何保护学校校园网络的无线网络安全。
一、建立安全的无线网络基础设施要保护学校校园网络的无线网络安全,首先需要建立安全的无线网络基础设施。
学校应该购买可靠的无线路由器和交换机,并确保其固件及时更新,以修复已知的漏洞。
同时,学校还应该采用强密码保护无线网络的访问,禁止使用弱密码或默认密码。
此外,学校还可以设置虚拟专用网络(VPN)提供给用户,以增加数据的安全性。
二、加强无线网络访问控制为了保护学校校园网络的无线网络安全,学校需要加强无线网络的访问控制。
首先,学校应该实施网络准入控制(NAC)机制,对连接到无线网络的设备进行身份验证和授权。
只有经过认证和授权的设备才能访问校园无线网络,从而避免未经授权的设备对网络造成威胁。
另外,学校还可以设置访客网络,并对访客网络进行隔离,以防止访客设备对学校内部网络造成潜在的安全风险。
同时,学校还应该限制每个用户设备的带宽,以避免某个用户占用过多的网络资源影响其他用户的正常使用。
三、加密无线网络流量为了保护学校校园网络的无线网络安全,学校应该加密无线网络的流量。
采用WPA2(Wi-Fi Protected Access 2)或更高级别的加密协议,确保无线网络的数据传输是安全的。
此外,学校还可以采用虚拟专用网络(VPN)来加密用户设备与服务器之间的通信,提高数据的安全性。
四、加强网络安全教育和培训为了保护学校校园网络的无线网络安全,学校需要加强网络安全教育和培训。
学校应该组织网络安全培训课程,向师生普及网络安全知识,并教育他们如何正确使用无线网络和避免常见的网络安全威胁。
此外,学校还应该定期组织网络安全演练,提高师生应对网络安全事件的能力和反应速度。
学校可以邀请网络安全专家进行演练,模拟网络攻击和数据泄露事件,使师生能够及时发现并应对这些安全威胁。
思科网络实验室手册 without edu
• 802.11B/G 无线局域网技术 • 无线用户接入认证 • 无线用户的漫游 • 无线网络安全研究 • 无线网络 Qos 研究 • 无线 IP 语音通信实验室 • 无线网络管理实验 • Cisco 无线兼容实验室
实验拓扑:
实验步骤:
无线局域网的详细操作请参看 思科网络技术学院教程:“无线局域网基础”。
• 思科公司先进网络技术实验室特点: 1. 先进性:思科公司网络技术始终处于世界领先地位。 2. 全面性:思科公司产品覆盖面全,产品线长,技术完善。 3. 权威性:思科公司的产品和技术,包括认证体系已经获得国际和国内 的认可,同时已成为业界标准。 4. 实用性:思科公司产品和技术紧密结合当前市场的主流应用,符合实 际应用的发展趋势。 5. 前瞻性:思科公司产品技术特点突出,能够引导和开发用户的潜在应 用,满足客户不断发展的需求。 6. 商业性:思科网络实验室不但为广大教育用户提供了教研平台,同时 可以作为校园市场商业化的一部分。
4. 网络安全实验
主要内容:
1) 防火墙 Firewall 2) IDS 3) 基于用户身份的网络认证实验 IBNS 4) 网络准入实验 NAC 5) 虚拟专用网实验 VPN
4.1 防火墙 Firewall
应用需求:
今天的学校网络面临越来越多的安全挑战,如何维护一个安全的网络环境是每一个 校园网拥有者和管理者最关注的问题之一。防火墙作为网络安全的基石,永远是校 园网络安全产品中必然的选择。
1.2 局域网交换技术: 实验内容:
• 以太网技术及其应用(以太网,快速以太网,千兆以太网等) • 交换机的设置及管理(CLI,Telnet,SNMP 等) • 虚拟网络(VLAN)概念及其在交换机中的设置 • 交换机端口队列技术及设置 • 802.1Q 协议及设置 • EtherChannel • 生成树(STP)算法及应用,MSTP, PortFast, UplinkFast 等 • 三层路由在交换机中的实现 • 交换机安全设置 • 语音支持,在线供电技术等 • 局域网故障排除
网络准入控制背景
北京艾科网信科技有限公司
创新更安全
艾科网信
各厂商市场分布率 项 目 规 模
大
华为
H3C
北京艾科
CISCO
深圳联软
杭州盈高
小 少
画方
客户数量和行业分布
多
北京艾科网信科技有限公司
创新更安全
优缺点 技术综合 性能优越 终端安全功能强 终端安全功能强 与交换机兼容好 无线控制功能强 网关型设备要求高 影响网速 802.1x支持较好 要求交换机支持802.1x 新厂商、案例少
创新更安全
艾科网信
ACK支持多种准入技术同时 使用,有效的避免单一准入 技术的盲区,是业界兼容性 最好、整合实用功能最多的 准入产品。
艾科网信
网络准入控制背景
北京艾科网信科技有限公司
创新更安全
艾科网信
思考: 什么是网络准入控制?
北京艾科网信科技有限公司
创新更安全
艾科网信
网络安全现状
被动防御 功能单一
• 防火墙、防毒墙、IPS、垃圾邮件 • 杀毒、防毒等
创新更安全
艾科网信
网络准入控制的诞生
网络准入控制是实名制ID网络准入控制 (NAC)的简称。是指对网络的边界进行 保护,对接入网络的终端和终端的使用 人进行合规性检查。
2004年,思 科的NAC进 入市场;许 多厂商跟进, 如NAP, A10等等
2002年,思 科提出NAC 的概念
北京艾科网信科技有限公司
防火墙、IPS、防毒墙 反垃圾邮件、网络行为审计 负载均衡、带宽流量管理 UTM、VPN 围堵策略,头痛医头,脚痛医脚
根据CSI/FBI等权威机构公布的数据,超过 80%的安全事件都发生在内网环境中; 蠕虫、木马、ARP病毒、DoS攻击层出不 尽;
网络访问控制(NAC)详解手册
网络访问控制(NAC)详解手册网络访问控制(NAC)详解手册在一些网络专业人士之间,仍然有这样的困惑,NAC技术可以做什么。
如今,NAC 已不是扫描和拦截了。
相反,它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。
现今的企业对于客户网络性能上的需求增加了许多,雇员们也正在逐渐开始需要连接他们的私人设备到(企业)网络的能力。
这即是NAC可以为企业解决的问题所在。
在本手册中,我们讲述了服务器虚拟化与NAC安全,整合NAC与网络安全工具,以及将NAC措施扩展到网络安全设备等用户最为关心的技术,希望本手册能对您有所帮助。
市场前景分析Infonetics询问过许多企业,经济危机(不景气)是否会迫使他们缩减2009年及2010年的NAC开支。
将近60%的企业表示不会。
如今,NAC已不是扫描和拦截了。
相反,它更多的关注于为网络中受管理的和未受管理的设备做来客访问网络控制和基线安全状态的建立。
NAC设备供应商:值得信赖吗?网络访问控制(NAC)市场前途依旧甚好服务器虚拟化与NAC安全网络安全尤其是网络准入控制(NAC)可以说是服务器虚拟化的死穴。
随着虚拟服务器在数据中心的广泛应用,传统的接入控制很难再继续顺利实施。
尤其当企业需要遵守严格的数据控制标准时,这将更具挑战性。
虚拟化架构为NAC创造了特别的挑战。
物理安全系统无法看到虚拟LAN中流量的运行情况,这些流量会随着虚拟机在物理机中运行而改变。
再者,由于虚拟机的安装是如此的容易,当部署新的服务器或恢复旧服务器时员工会违反审计需求。
服务器虚拟化与NAC安全(上)服务器虚拟化与NAC安全(下)整合NAC与网络安全工具整合网络访问控制(NAC)解决方案到其它网络安全工具将有助于扩展用户和主机身份认证,同时也可以增强网络上的安全策略。
了解如何整合网络访问控制解决方案与网络安全工具,并找出失误以便更好发展。
整合NAC与网络安全工具NAC措施扩展现在可以将Network Access Control(NAC)措施工具扩展到许多网络安全设备和网络管理工具。
Cisco NAC解决方案 2(优选.)
最新文件---------------- 仅供参考--------------------已改成-----------word文本 --------------------- 方便更改思科网络准入控制系统解决方案概述病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益,并使机构损失大量的金钱、生产率和机会。
与此同时,移动计算的普及进一步加剧了威胁的范围:移动用户能够从家里或公共热点连接互联网或办公室网络—而此举常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
显然,仅凭传统的安全解决方案无法解决这些问题。
思科系统公司®开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案,以确保网络环境中的所有设备都符合安全策略。
网络准入控制(NAC)允许您分析并控制试图访问网络的所有设备,通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施),机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划,NAC引起了媒体、分析公司及各规模机构的广泛关注。
功能及优势虽然大多数机构都使用身份管理及验证、授权和记帐(AAA)机制来验证用户并为其分配网络访问权限,但这些对验证用户终端设备的安全状况几乎不起任何作用。
如果不通过准确方法来评估设备“状况”,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。
NAC是构建在思科系统公司®领导的行业计划之上的一系列技术和解决方案。
NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。
实施NAC的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络,并控制不符合策略或不可管理的设备访问网络。
网络准入控制让企业网络更安全
是利用交换机 自身带有 的功能 , 通过一
定 的配 置 , 网络 准 入 控 制 应 用 到企 业 将 网络 中 , 而 达 到 控 制 效 果 。网 络 准入 从 控 制( NAC 是一 项 由思 科 发起 、 家 厂 ) 多 商 参 加 的计 划 , 宗 旨是 防 止 病 毒 和 蠕 其
一
起 的 全 面 的 安 全 解
决 方 案 , 网 络 准 入 控 制 可 以 确 保 网 络 环 境
通 过确 保 每 个终 端 设 备都 符 合企 业 安
全 策 略 , 网 络 准 入 控 制 将 更 好 的 保 障 企业 网络 信 息 安 全 。
“ 五步走” 实施策略 , 并
入 控 制 的实 施 方 案通 常 并不 繁 琐 , 而 简
言之主要是通过域服务器建立 、 交换 机
全 局 配 置 、 交 换 机 端 口配 置 和 终 端 配
置 , 到对企业网络控制 。 在实施前 , 达 但
企 业 仍 需 提 前 考 虑 谁 来 实 施 、 何 展 开 如
部 署 、 谁 来 评 审 实 施 效 果 等 问题 。
66 中 国 信 息 化 I2 152 01 ..0
网络 上 进 行 测 试 , 试 的 最 终 目的 是 要 测 确 定 系统 会 执 行 企 、 昕 要 求 的 任 何 事 l
情。
当 顺 利 完 成 以上 四 步 , 五 步 就 是 第 在 网络 中实 施 网络 准 人控 制 了 。 络 准 网
致命的恶意软 件。随后 , 用户设备就作 虫 等 新 兴 黑 客 技 术 对 企 业 安 全 造 成 危
第4节 NAC网络准接入系统
第四节 NAC网络准接入系统NAC全称是Network Clean Access(网络准入控制),用于对海尔网络环境中的主机进行网络流量管控。
NAC网络准接入条件:加海尔域并使用域帐户登陆安装集团规定的杀毒软件 - 诺顿或趋势安装集团资产维护软件SmarIT下面讲解一下杀毒软件诺顿、SmartIT以及NAC的安装,以下操作建议都以administrator帐号登录本地后进行操作。
4.4.1 安装诺顿1、Norton的安装文件存放在192.168.100.97服务器上,请参照下图方式进行访问。
如无法使用NetBIOS访问,可以改为ftp://192.168.100.97的方式来访问服务器。
2、弹出的登录框中,输入用户名wn04,密码为空,回车。
3、进入到\\192.168.100.97\杀毒软件目录下,确认并进入相应园区的目录,再双击该目录下的exe程序开始安装。
4、正在准备安装…5、点击“下一步”继续6、选择接受协议,点击“下一步”继续7、选择“自定义”,点击“下一步”继续8、确认要安装的Norton组件,点击“下一步”继续9、点击“安装”,开始安装Norton10、正在安装...11、安装完毕,点击“完成”确认。
可能会弹出病毒定义过旧的提示,点击确认忽略。
12、鼠标双击桌面右下角通知区域的黄色盾牌图标,打开Norton界面,可以查看病毒库日期,如下图所示,病毒库定义已经很旧了,需要升级。
13、进入\\192.168.100.97\杀毒软件\7.最新病毒定义码\32位更新目录,找到最新日期的exe文件,双击执行。
其它exe文件可以不用运行。
14、点击“是”继续15、正在升级中...16、升级完毕,点击“确定”完成17、鼠标双击桌面右下角通知区域的黄色盾牌图标,打开Norton界面,确认病毒库已升级到最新4.4.2 安装SmartIT1、进入\\192.168.100.97\网络准入nac\nac_check\SmartIT目录,双击smart.exe 执行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
思科网络准入控制(NAC) 进行了专门设计,可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护,以防御网络安全威胁。
作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划,NAC引起了媒体、分析公司及各规模机构的广泛关注。
本文将解释作为基于策略的安全战略的一部分,NAC将发挥怎样的关键作用,同时描述并定义可用的NAC方法。
NAC的优势据2005 CSI/FBI安全报告称,虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元,但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。
机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。
显然,仅凭传统的安全解决方案无法解决这些问题。
思科系统公司? 开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案,以确保网络环境中的所有设备都符合安全策略。
NAC允许您分析并控制试图访问网络的所有设备。
通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施),机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
大幅度提高网络安全性虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限,但这些对验证用户终端设备的安全状况几乎不起任何作用。
如果不通过准确方法来评估设备‘状况’,即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。
NAC是构建在思科系统公司?领导的行业计划之上的一系列技术和解决方案。
NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。
实施NAC 的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络,并控制不符合策略或不可管理的设备访问网络。
NAC设计集成在网络基础设施之中,因此是独一无二的。
那么,为何要在网络上(而不是其他位置)实施策略符合性和验证战略呢?1. 机构感兴趣或关心的每个比特的数据都通过网络传输。
2. 机构感兴趣或关系的每个设备都与相同的网络相连接。
3. 对网络实施准入控制使机构能够部署尽量广泛的安全解决方案,包含尽可能多的网络设备。
4. 这个战略利用机构的现有基础设施、安全性和管理部署,因此最大限度地降低了IT开销。
通过运行NAC,只要终端设备试图连接网络,网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。
随后将这些资料信息与网络安全策略进行比较,并根据设备对这个策略的符合水平来决定如何处理网络访问请求。
网络可以简单地准许或拒绝访问,也可通过将设备重新定向到某个网段来限制网络访问,从而避免暴露给潜在的安全漏洞。
此外,网络还能隔离的设备,它将不符合策略的设备重新定向到修补服务器中,以便通过组件更新使设备达到策略符合水平。
NAC执行的某些安全策略符合检查包括:判断设备是否运行操作系统的授权版本。
通过检查来查看操作系统是否安装了适当补丁,或完成了最新的热修复。
判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。
确保已打开并正在运行防病毒技术。
判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。
检查设备的企业镜像是否已被修改或篡改。
NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。
实施NAC解决方案的某些优势包括:1. 帮助确保所有的用户网络设备都符合安全策略,从而大幅度提高网络的安全性,不受规模和复杂性的影响。
通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击,机构可将注意力放在主动防御上(而不是被动响应)。
2. 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。
3. 检测并控制试图连接网络的所有设备,不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等),从而提高企业永续性和可扩展性。
4. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。
5. 降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。
NAC实施选项思科同时提供基于产品和架构的NAC框架方法,以满足任何机构的功能和运行要求,无论是简单的安全策略要求,还是涉及到大量安全供应商的、与企业桌面系统管理解决方案相关的、复杂的安全实施要求。
NAC产品‘Cisco Clean Access’通过自带的终端评估、策略管理和修补服务支持快速部署。
此外,NAC框架还将智能网络基础设施与50多家著名防病毒产品制造商提供的解决方案以及其他安全和管理软件解决方案集成在一起。
NAC产品通过Cisco Clean Access产品系列提供的NAC产品,利用自带的终端评估、策略管理和修补服务支持快速部署。
这种可快速部署的“一体化解决方案”技术可自动检测、隔离并清洁试图访问网络的已感染终端或易受攻击的有线或无线终端。
Cisco Clean Access提供三种关键的保护功能:在验证授权点识别用户、用户设备及其在网络中的作用。
使用扫描和分析技术评估终端的安全状态,或使用轻型代理进行更深入的状态评估,以检查安全漏洞。
通过阻止、隔离和修复不符合策略的终端等方法在网络中执行安全策略。
Cisco Clean Access还提供以下实施优势:可扩展性—Cisco Clean Access可直接部署,用于满足网络准入需求,同时设计并评估NAC框架,这是因为Cisco Clean Access组件可集成到更广泛的NAC框架架构中。
快速部署—Cisco Clean Access是现成的“紧缩型” 套装解决方案,针对防病毒、防间谍软件和Microsoft更新提供预装支持。
灵活性—Cisco Clean Access支持运行多个桌面操作系统的混合网络基础设施。
最适合部署Cisco Clean Access的网络包含以下特征:非802.1x LAN 环境无线、分支、远程或简单的LAN环境集中的IT环境和管理有不可管理的计算机需访问网络(如客人、承包商或学生)混合(多厂商)网络基础设施NAC框架解决方案NAC也可作为基于架构的框架解决方案提供,能同时利用现有的思科网络技术库和其他制造商提供的安全性和管理解决方案部署。
NAC框架解决方案提供以下优势:可评估使用所有访问方法,包括LAN、无线、远程访问和WAN的所有终端,来进行全面控制终端可视性和控制确保可管理的、不可管理的、访客和恶意设备均符合企业安全策略终端控制的全程支持可自动执行终端的评估、验证、授权和修补流程将集中策略管理、智能网络设备及网络服务与几十家著名防病毒、安全和管理供应商提供的解决方案结合在一起,以提供精确的准入控制管理基于标准的、灵活的API允许多个第三方参与整体解决方案,从而支持丰富的合作伙伴和技术生态系统最适合部署NAC框架的网络包含以下特征:大型企业部署复杂的LAN/WAN/无线环境完全或主要基于思科技术的LAN/WAN/无线基础设施与NAC合作伙伴安全和管理解决方案存在运行上的互操作性已实施或计划实施IP电话已实施或计划实施802.1X投资保护思科提供最全面的准入控制产品和解决方案来满足任何机构的功能需求。
鉴于许多机构的需求都在不断变化,因此,现在安装的Cisco Clean Access产品组件可用于支持随后的的NAC框架实施。
无论您决定使用哪种方法,思科NAC技术都能保护您在相应网络技术上的投资。
同时,互操作性和功能兼容性可确保从Cisco Clean Access平稳过渡到NAC 框架技术,以利用更多的优势和功能。
规划、设计并部署有效的NAC解决方案为了帮助确保成功部署思科NAC技术,思科高级服务机构提供以下需求分析、规划、设计和实施服务: ?NAC就绪评估—分析部署要求并评估网络设备、运行和架构是否为支持NAC 准备就绪。
NAC有限部署—提供有限部署解决方案的安装和配置服务,允许您的工作人员测试NAC并获得实践经验。
NAC设计开发—帮助您的团队制订具体的设计方案,以便将NAC集成到您的网络基础设施中。
NAC实施工程—支持您的团队制订具体的安装、配置、集成和管理方案,并提供现场安装、配置和测试服务,以帮助确保将部署平稳地集成到您的生产环境中,从而实现全面实施。
一旦NAC部署完毕,思科技术支持服务机构便与您的内部工作人员一起工作,以确保思科产品的高效运行、持续提供高可用性、以及安装最新的系统软件。
我接下来应开展哪些工作?1. 即刻部署Cisco Clean Access。
Cisco Clean Access使您能够立刻获得准入控制解决方案的优势。
2. 决定您是否需要基于架构的NAC框架解决方案。
通过运行Cisco Clean Access,您可开始评估是否还需要满足基于架构的方法要求。
当您在选择部署任何NAC解决方案时,必须考虑多个因素,包括作为部署目的地的网络以及正在部署它的机构类型等。
3. 考虑寻求某些帮助。
思科高级服务机构可帮您设计、实施、集成并部署定制的NAC解决方案。
4. 利用您的Cisco Clean Access投资。
Cisco Clean Access组件可全面集成到NAC框架解决方案中。
NAC技术NAC设备组件Cisco Clean Access包含以下组件: ?Cisco Clean Access Server,评估设备并基于终端的策略符合情况授予访问权限Cisco Clean Access Manager,集中管理Cisco Clean Access解决方案,包括执行策略和修补服务Cisco Clean Access Agent,可选的免费软件,提供更严格的终端策略符合评估,并同时简化可管理与不可管理环境中的修补流程Cisco Clean Access通过以下技术支持无线访问: ?所有的802.11 Wi-Fi接入点,包括Cisco Aironet接入点 ?提供支持NAC的IEEE 802.1X请求系统的所有Wi-Fi客户设备NAC框架的组件NAC框架提供以下技术支持: ?为园区LAN、WAN、VPN和无线接入点提供广泛的网络设备支持连接第三方主机评估工具,用于评估无人值守的、“无代理的”和其他非响应型设备,且能够对每个设备应用不同的策略为思科可信代理提供广泛的平台支持通过远远超越防病毒和基本操作系统补丁的应用和操作系统状态检查,来扩展多厂商集成功能NAC框架得到以下技术的支持: ?思科路由器:Cisco 83x、18xx、28xx 和 38xx系列集成多业务路由器;1701、1711、1712、1721、1751、1751-V和1760模块化接入路由器;2600XM、2691、3640 和 3660-ENT多业务接入路由器以及72xx 系列路由器思科交换机:- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720,安装Cisco Catalyst OS 和 Cisco IOS? 软件或者混合应用(Supervisor Engine 32 和 720上支持Cisco IOS软件)- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE,安装Cisco IOS软件- Cisco Catalyst 4948 和 4948-10GE- Cisco Catalyst 3550、3560 和3750,安装Cisco IOS IP Base和IP Services版本- Cisco Catalyst 2940、2950、2955、2960、2970思科无线接入点:Cisco Aironet接入点、连接思科无线局域网控制器的Cisco Aironet轻型接入点、Cisco Catalyst 6500系列无线局域网服务模块(WLSM)、所有的Cisco Aironet、思科兼容产品、提供支持NAC的IEEE 802.1X 请求系统的Wi-Fi客户设备Cisco VPN 3000系列集中器思科可信代理思科安全访问控制服务器(ACS)第三方供应商软件建议的组件:–思科安全代理–思科安全监控、分析和响应系统(MARS)– CiscoWorks安全和信息管理解决方案(SIMS)。