使用準入控制實現(xiàn)終端安全接入

ISE的準入控制模式

對于準入控制來說，并不是在部署網(wǎng)絡(luò)管理服務(wù)就進行配置，管理員需要先部署好ISE的各種安全認證機制，之后根據(jù)企業(yè)網(wǎng)絡(luò)的具體特點，例如客戶端安裝哪個版本的Windows系統(tǒng)，安裝哪種類型的安全軟件，系統(tǒng)是否升級等。然后才可以具體部署所需的準入控制機制。準入控制包含Audit（審計）、Optional（選項）、Mandatory（強制）三種部署模式。

對于審計模式來說，準入測試只是在后臺生效，了解和統(tǒng)計終端的實際狀態(tài)，只會產(chǎn)生報告信息。但是其并不會對終端進行強制操作，也不會對終端通告任何錯誤信息，終端依然可以接入網(wǎng)絡(luò)。對選項模式來說，會根據(jù)客戶機的實際情況，顯示對應(yīng)的錯誤信息來提醒用戶注意，例如提示沒有安裝安全軟件等。但用戶可以進行忽略處理，終端依然可以接入網(wǎng)絡(luò)。對于強制模式來說，準入服務(wù)不僅會針對終端用戶顯示對應(yīng)的錯誤信息，而且不允許用戶將其忽略。并為用戶設(shè)置一段修復(fù)時間，用戶必須在該時間內(nèi)修復(fù)錯誤，否則將無法接入網(wǎng)絡(luò)。

管理和配置NAS客戶端

注意，要實現(xiàn)正確的準入控制，ISE設(shè)備需要進行必要的升級。

點 擊 菜 單“Policy”、“Conditions”項，在左側(cè)點擊“Client Provisioning”、“Resource”項，在右側(cè)顯示NAC客戶端類型信息。點擊“Add”、“Agent resource from Cisco site”項，可以連接到思科站點，顯示可用的NAC客戶端類型列表，根據(jù)所使用的ISE版本，來選擇和下載對應(yīng)的NAC客戶端模塊。

注 意，必 須 下 載“ComplianceModule x.x”模塊，“x.x”表示具體的版本。點擊“Save”按鈕下載選定的NAC客戶端。點擊“Add”、“ISE Posture Profile”項來配置NAS客戶端。在“Profile Name”欄中輸入其名稱（例如“Nasprofile1”），在“VLAN detect interval in secs”欄中輸入檢測VLAN的周期，單位為秒。因為在終端存在安全問題的話，會被ISE劃分到某個VLAN來約束其行為。當(dāng)終端解決了安全問題，就會被動態(tài)劃分到合適的VLAN中。在“Enable VLAN detect without UI?”列表中如選擇“Yes”項，則禁止終端用戶來配置VLAN檢測項目。在“Discover host”欄中輸入ISE主機的域名或地址，在“Ping ARP”欄中輸入合適的值（例如“2”），可利用ARP廣播探測VLAN變化情況。

其余保持默認，點擊“Submit”按鈕提交。點擊“Policy”、“Client Provisioning”項，在第一行的“Rule Name”列中輸入策略名（例如“Winrule1”），在“Operating Systems”列中選擇終端操作系統(tǒng)類型，例如選擇“Windows 7(All)”等。在“Other Conditions”列中選擇對應(yīng)的客戶組，例如選擇ISE外部組。

在本例中，所有的設(shè)備都處于名為“xxx.com”的域中，相關(guān)的Windows服務(wù)器、ISE設(shè)備、Windows客戶端等都連接到某臺思科交換機上，并被規(guī)劃到不同的VLAN中。在“Results”列中的“Agent”列表中選擇合適的NAS客戶端，例如“NACAgent x.x”，這 里 NAS客 戶 端 必須事先下載到ISE中。在“Profile”列表中選擇上述“Nasprofile1”的配置文件。在“Compliance Module”列表中選擇對應(yīng)的Compliance模塊。其余保持默認，這樣只要終端安裝的是Windows 7，且處于域活動目錄中上述的“Isegrp”組中的，就會按照上述配置，來安裝Windows版的NAS客戶端程序。

在規(guī)則右側(cè)點擊“Actions”、“Insert new policy below” 項，在 其下插入一條新規(guī)則，將名稱 修 改 為“Linshi”項，在“Identity”列 中 選 擇“Guest”項，針對臨時用戶進行配置。操作系統(tǒng)選擇為 Windows 7，在“Results”列中的“Agent”列表中選擇名為“WebAgent x.x”的客戶端模塊。點擊“Save”按鈕保存以上規(guī)則。點擊菜 單“Administration”、“Web Portal Management”、“Settings”項，在 左 側(cè)選 擇“Guest”、“Multiportal Configurations”、“DefaultGuestPortal” 項，在右側(cè)的“Operations”面板 中 選 擇“Guest users should download the posture client”項，這樣當(dāng)Guest用戶訪問時，就需要下載NAS客戶端程序。

配置所需的控制列表

為了實現(xiàn)準入控制，需要在交換機的全局配置模式下執(zhí)行“ip access-list extended WEB-REDIRECT”、“deny udp any any eq domain”、“deny udp any host xxx.xxx.xxx.xxx eq 8905”、“deny udp any host xxx.xxx.xxx.xxx eq 8906”、“deny udp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8905”、“deny tcp any host xxx.xxx.xxx.xxx eq 8909”、“deny tcp any host xxx.xxx.xxx.xxx eq 8443”、“deny udp any host yyy.yyy.yyy.yyy eq 8905”、“deny tcp any host yyy.yyy.yyy.yyy eq 8905”、“permit ip any any”命令。

這樣可以創(chuàng)建名為“WEBREDIRECT”的 ACL，其 中 的“xxx.xxx.xxx.xxx” 為 ISE的IP地址?！皔yy.yyy.yyy.yyy”為終端所在VLAN的網(wǎng)關(guān)地址，這需要根據(jù)實際情況配置。這些命令主要作用是定義重定向列表，即被其Deny流量不進行重定向，這些被屏蔽的流量包括DNS流量以及和ISE設(shè)備之間的準入控制流量。這里的IP地址均為假設(shè)，可以根據(jù)實際情況更改。登錄到ISE管理界面，點擊菜單“Policy”、“Results”項，在左側(cè)點擊“Authorization”、“Downloadable ACLs” 項，在右側(cè)點擊“Add”按鈕輸入新的DACL列表名稱（例 如“Dacl1”），并“DACL Control”欄輸入具體指令。

其 中 包 括“Permit icmp any any”、“Permit udp any any eq domain”、“Permit icmp any any”、“Permit tcp any any eq 80”、“Permit tcp any any eq 443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8443”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8905”、“Permit tcp any host yyy.yyy.yyy.yyy eq 8905”、“Permit tcp any host xxx.xxx.xxx.xxx eq 8909”、“Permit udp any host xxx.xxx.xxx.xxx eq 8905”、“Permit udp any host xxx.xxx.xxx.zzz eq 8905”、“Permit udp any host xxx.xxx.xxx.xxx eq 8906”、“Permit udp any host xxx.xxx.xxx.xxx eq 8909”，其中的“xxx.xxx.xxx.zzz”表 示 ISE所在VLAN的網(wǎng)關(guān)地址。點擊“Submit”按鈕執(zhí)行提交操作。該DACL的作用是定義允許通過的流量，用于中心網(wǎng)頁認證，該列表和上述重定向列表功能剛好相反，兩者需要結(jié)合使用，即目標(biāo)流量既要在該列表中被放行，又要在重定向列表中被Deny。

和準入相關(guān)的認證策略

在左側(cè)點擊“Authorization”、“Authorization Profiles”項，在右側(cè)點擊“Add”按鈕，添加新的授權(quán)項目。輸入新的Profile項目名稱（例 如“Zrule1”）， 選擇“DACL Name”項，選 擇上述下載ACL，當(dāng)然，這些DACL需要預(yù)先配置。選擇“Web Authentication”項，在列表中選擇“Posture Discovery”項，即發(fā)現(xiàn)客戶端的狀態(tài)，并輸入上述重定向名為“WEB-REDIRECT”的ACL。點擊“Submit”按鈕提交修改。點擊工具欄上的“Authorization”按鈕，在授權(quán)策略列表選擇某個已經(jīng)存在的認證策略（例如針對有線連接的DotX認證等），

在 右 側(cè) 點 擊“Edit”項，對其進行編輯，在“Condition”列中添加新的條件，這里為“session：PostureStatus”、“Equals”、“Compliant”，即針對準入狀態(tài)進行檢測，判斷其是否滿足要求。再添加一個條件，針對的是ISE的外部組賬戶，例如活動目錄中的“Isegrp”組。這樣，只有是該組中的設(shè)備，當(dāng)滿足準入條件后，才可以允許接入網(wǎng)絡(luò)。

同理，可以在該規(guī)則的基礎(chǔ)上再創(chuàng)建兩條規(guī)則，分別針對的條件為“session：PostureStatus”、“Equals”、“No Compliant” 以 及“session ：PostureStatus”、“Equals”、“Unknown”， 分別針對不滿足準入條件和未知狀態(tài)進行處理，在“Permissions”列中選擇上述名為“Zrule1”的Profile項目，讓其去修復(fù)安全問題。在第一行規(guī)則右側(cè)點擊“Edit”、“Insert New Rule Above”項，插入新的規(guī)則，在其“Rule Name”列中輸入名稱（例如“GRule”），在“Conditions”列中選擇“Guest”組，使用的條件為“session ：PostureStatus”、“Equals”、“Compliant”， 在“Permission”列中為其指定合適的權(quán)限，這樣，當(dāng)滿足準入條件的Guest用戶連接網(wǎng)絡(luò)時，就可以得到相應(yīng)的授權(quán)。

激活預(yù)設(shè)準入控制策略

在ISE管理界面上點擊菜 單“Policy”-“Posture”項，在其中顯示和準入控制相關(guān)的策略列表（如圖3），在默認情況下，所有的準入控制策略都沒有激活。為了提高安全性，需要配置合適的策略。最簡單的方法時直接激活已有的策略，例如激活名為“Policy_Check_For_AV_Installation_Win”策略項，表示對于Windows客戶端來說必須安裝反病毒軟件，注意其支持常見的各種反病毒軟件。激活名為“Policy_Check_For_AV_Definition_Win”策略項，表示要擁有最新的病毒庫。為了便于說明，這里采用自定義方式創(chuàng)建所需的準入控制策略。

自定義準入控制策略

依次點擊菜單“Policy”、“Conditions”項，在左側(cè)點擊“Posture”、“AV Compound Condition”項，在右側(cè)點擊“Add”按鈕，輸入反病毒檢測條件名 稱（例 如“Antivirus_install”），在“*Operating System”列表中選擇終端的操作系統(tǒng)類型，這里選擇“Windows 7(All)”。 在“Vendor”列表中提供了大量的反病毒軟件軟件，這里選 擇“AVG Technologies”。在“Products for Select Vendor”欄中顯示該反病毒軟件可用的版本列表，選擇合適的版本，點擊“Submit”按鈕提交修改。

點擊工具欄上的“Add”按鈕，針對病毒庫進行配置，輸入條件名稱（例如“VirusDef”），選 擇合 適的操作系統(tǒng)和上述反病毒軟件 廠 商，在“Check Type”欄 中 選 擇“Definition”和“Check against AV definition file version if available”項，表示必須使用最新的病毒庫。選擇“Allow virus definition file to be x days older than” 和“l(fā)atest file date”項，可以設(shè)置病毒庫更新的最小允許天數(shù)。

如果終端出現(xiàn)安全問題，可以對其進行修復(fù)。點擊工具欄上的“Results”按鈕，在左側(cè)選擇“Posture”、“Remediation Actions”、“File Remediation” 項，在右側(cè)點擊“Add”按鈕，輸入修復(fù)策略名稱（例如“NewAntivirus”）， 點擊“瀏覽”按鈕，選擇該反病毒軟件安裝包，點擊“Sunbit”按鈕將其發(fā)送到ISE上，便于推送給客戶。在左側(cè)點擊“Posture”、“Remediation Actions”、“AV Remediation” 項，在右側(cè)點擊“Add”按鈕，輸入修復(fù)策略名稱（例如“NewDefinition”），輸 入 嘗試修復(fù)的間隔和嘗試次數(shù)，在“*AV Vendor Name”列表中選擇上述反病毒廠商。

這樣，當(dāng)終端沒有安裝該反病毒軟件時，可自動將推送給客戶安裝。當(dāng)檢測到病毒庫陳舊時可自動幫助客戶端升級病毒庫。在左側(cè)依次點擊“Posture”、“Requirement”

當(dāng)某終端接入網(wǎng)絡(luò)后，當(dāng)執(zhí)行訪問操作時，會自動被重定向到ISE網(wǎng)絡(luò)安全通知頁面，點擊“點擊安裝代理”按鈕，安裝NAC客戶端程序。之后重啟終端，當(dāng)再次連接網(wǎng)絡(luò)時，NAS客戶端會掃描本機狀態(tài)，按照ISE上預(yù)設(shè)的準入控制規(guī)則，如果該機上沒有安裝指定的反病毒軟件，就會顯示無法正常接入網(wǎng)絡(luò)，只能擁有臨時訪問權(quán)項，在右側(cè)選擇某個匹配項目，在右側(cè)點擊“Edit”、“Insert new requirement”項創(chuàng)建新的匹配項目，在“Name”列中輸入名稱（如“AntiVirus-Win”）， 在“Operating Systems”列中選擇“Windows 7(All)”，在“Conditions”列中選擇上述名 為“Antivirus_install”的 條 件，在“Remediation Actions”列中選擇上述名為“NewAntivirus”的修復(fù)項目。

同 理，創(chuàng) 建 新 的匹配項目（例如名為“AVDefinition_Win”），將上述名為“VirusDef”的條件和名為“NewDefinition”的

終端的安全接入

限。點擊“修復(fù)”按鈕，并執(zhí)行下載操作，ISE就會將相應(yīng)的安裝包推送給客戶端。如果已經(jīng)安裝但是病毒庫較老的話，會自動對病毒庫進行升級。

如果檢測通過，就會顯示“完整網(wǎng)絡(luò)訪問”信息，就可以順利接入網(wǎng)絡(luò)了。當(dāng)然，前提是還需要滿足其他預(yù)設(shè)的條件（例如Dot1X認證等）。對于非本單位的外來用戶來條件結(jié)合起來，點擊“Save”按鈕保存配置信息。在工具欄上點擊“Posture”按鈕，在準入控制策略列表中選擇某個項目，在右側(cè)點 擊“Edit”、“Insert new policy”項，插入新的 控制策略，輸入其名稱（例如“Policy_AV”），操作系統(tǒng)選擇為Windows 7，對應(yīng)的是活動目錄中的“Isegrp”組，為其添加上述“AntiVirus-Win” 和“AVDefinition_Win”匹配項目。針對這兩種匹配項目，可以激活“Mandatory”、“Optional”和“Audit”控制模式，這里選擇“Mandatory”（強制）模式，點擊“Save”按鈕保存。說，需要使用ISE的來賓身份連接，這需要實現(xiàn)在ISE中創(chuàng)建所需的Guest賬戶。當(dāng)該外來用戶接入網(wǎng)絡(luò)時，會自動重定向到ISE的來賓門戶頁面，在其中輸入對應(yīng)的來賓賬戶名和密碼，就會進入上述ISE網(wǎng)絡(luò)安全通知頁面，之后下載安裝NAC Web客戶端程序，經(jīng)過檢測通過后就可以接入網(wǎng)絡(luò)，并得到對應(yīng)的授權(quán)。