产品概述
NAC是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而降低病毒、蠕虫和间谍软件等新兴安全威胁的破坏程度。
根据主机策略,对于在允许访问网络前必须接受检查的主机来说,思科可信代理是必须安装的软件。作为NAC的核心组件,思科可信代理使NAC可判断系统是否安装了思科安全代理、防病毒软件或所需的第三方安全性或管理软件及其时新性,同时还提供关于操作系统版本和补丁级别的信息。
思科可信代理是免费软件,由思科作为单独应用直接提供或与思科安全代理捆绑提供。您也可向NAC参与方索取软件。
思科可信代理:
允许NAC验证可管理资产上的应用状态
可运行在有线、无线、远程接入和远程机构环境中
得到大量第三方供应商的支持
可运行在Windows 和 Red Hat Linux 操作系统上
易于部署、运行简便的免费软件
特性和优势
思科可信代理:
用作中间件组件,可提取主机策略信息并将这些信息安全地传输给验证、授权和记帐(AAA)策略服务器。作为小型的、不干扰系统运行的软件,思科可信代理属于NAC计划的一部分,可提供思科安全代理版本、操作系统、补丁版本以及第三方应用的存在情况、版本和其他状态信息。
与运行在主机上的“支持NAC”的应用直接互动,无需用户干预。思科可信代理将通过由NAC参与方在其应用中集成的通信通道与基于NAC的应用进行通信。NAC计划日前拥有超过50个参与方,包括著名的防病毒、客户端安全性和补丁管理供应商。
可使用固有的通信组件在第二或第三层进行通信。思科可信代理同时包括使用用户数据报协议上的可扩展验证协议(EAPoUDP)的第三层通信组件以及802.1x请求系统,允许第二层通信。
包括有线环境中用于L2通信的802.1x请求系统。用于Windows的思科可信代理 包含基于Meetinghouse Data Communications技术的免费的802.1x请求系统。您可同时在有线和无线环境中以第三方供应商提供的全零售的请求系统来替代这个请求系统。
验证AAA服务器。思科可信代理通过AAA服务器加密的通信对请求者进行验证。
允许客户为定制的信息收集而创建脚本。思科可信代理提供界面以便接收客户编写的脚本发送的信息,并将这些信息用于状态验证过程。
与思科安全代理相集成并可由NAC参与方利用其应用分发,以简化管理和分发工作。思科可信代理也可作为单独应用从Cisco.com免费下载。
网络准入控制产品架构
NAC由多个关键组件构成(见图1),包括:
通信代理 —思科可信代理软件工具从终端的安全软件解决方案收集安全状态信息并使用EAPoUDP 或802.1x上的可扩展验证协议 (EAPoL)将此类信息传输给网络访问设备。思科可信代理同时安装在TCP/IP堆栈的上方或802.1x上。
网络访问设备 — 试图访问网络的每个设备最初都要联系网络访问设备(路由器、交换机、VPN集中器或防火墙)。这些设备需要思科可信代理提供终端安全“凭证”并将此类信息传输给策略服务器以便作出准入决策。
策略服务器 — 思科安全访问控制服务器(ACS) 和第三方供应商的策略服务器将评估网络访问设备转发的终端安全凭证并决定适当的访问策略(准许、拒绝、隔离或限制)。
图1. 思科可信代理 架构概图
试图访问网络的主机网络访问设备思科策略服务器第三方策略服务器
思科安全代理
支持NAC的应用 思科可信代理
安全策略的执行安全策略的创建第三方凭证评估
思科可信代理 允许NAC利用现有的基础设施投资,从而扩展了思科网络设备、思科安全代理软件和第三方安全软件的价值,包括防病毒和其他第三方终端安全及补丁管理技术投资。
[1] [2] 下一页
产品规格
表1列出了思科可信代理 2.0的产品规格。
表1. 思科可信代理 2.0产品规格
思科可信代理 2.0 兼容:思科安全代理 4.0.2 和更高版本
AhnLab V3Pro2004 for NAC 6.0
BigFix Enterprise Suite 5和更高版本
Citadel Hercules 4.0
Computer Associates eTrust AntiVirus 6, 7,