測試亮點

　　·智能交換機防范安全攻擊

　　·老系統平滑過渡

　　·現有應用良好兼容

　　·適應多種應用環境

　　·Single Sign-on

　　·高可擴展性

　　根據公安部最近公布的調查數據顯示，內網安全、計算機安全仍舊是企業安全的關鍵。兩年前，思科、微軟等業界領先公司相繼提出了端點安全控制的技術體系架構，多種手段相互配合，自動應對多種安全威脅。但是部署端點安全控制方案會不會帶來新的問題呢?

　　《網絡世界》評測實驗室有機會對端點安全控制技術始作俑者之一的思科公司的NAC解決方案的 NAC Framework部分進行了實測。NAC系統不僅很好地實現了端點安全控制的設計初衷。同時思科NAC解決方案在細微之處周到的考慮，使得系統在兼容企業已有應用、提供全面安全控制、系統可擴展性和易維護性上都有著優異的表現。(請到www.cnw.cn下載詳細測試報告)

　　細節決定成敗

　　細節一:多種驗證手段確保NAC實施

　　NAC提供了NAC over 802.1x和L2-IP兩種驗證架構，以適應不同的企業應用環境。

　　NAC over 802.1x全面的安全保障

　　NAC over 802.1x可以提供一個全面的安全解決方案，一方面NAC借助802.1x可以根據計算機的健康狀態決定是否允許其進入網絡，同時還可以利用802.1x協議進行計算機和客戶的身份識別、認證和授權。

　　NAC over 802.1x的工作原理見下圖。

#p#副標題#e#

　　測試中，我們在模擬的環境中部署了ACS(ACS - Cisco Secure Access Control Server 思科安全訪問控制服務器)、微軟的活動目錄(AD)控制器、CSA(CSA - Cisco Security Agent，思科安全代理)的MC(CSA MC - CSA Management Center CSA管理中心)、趨勢科技的Office Scan殺毒軟件策略服務器的服務器群，使用Catalyst 3750和6509交換機作為接入交換機，兩臺筆記本電腦模擬接入PC。PC機按照ACS的要求，啟動了Office Scan殺毒軟件，打齊了所有的操作系統補丁，并且在計算機上部署了登錄域所需要的數字證書。經過認證，ACS讓交換機將連接計算機的端口聯入VLAN 100，可以進行正常的通信。此時CTA(CTA - Cisco Trust Agent ，思科信任代理)軟件提示用戶，計算機健康狀況良好。當關閉了Office Scan殺毒軟件客戶端之后，重新接入網絡，由于不符合ACS的安全策略，端口劃入到隔離VLAN，計算機的通信受到了限制，CTA彈出對話框，告知計算機不健康。而此時計算機上的CSA軟件也發揮了作用，一方面按照MC當初制定的策略限制了計算機上Outlook Express軟件的啟動，限制使用U盤，同時CSA會把PC上發生的安全事件通知MARS(Cisco Security Monitoring，Analysis and Response System，思科安全監控、分析和響應系統管理系統)，方便系統管理員進行監控統計。

　　L2-IP適應多種應用場景

　　相比較NAC over 802.1x，L2-IP可以適應更多的應用場景和用戶終端。比如說有些企業并不希望部署802.1x或一些計算機可能無法安裝CTA軟件，有些網絡中仍舊存在HUB或不支持802.1x協議交換機的接入設備。還有就是部署過802.1x，并不想因NAC有改變的用戶。

　　L2-IP方案實施時，仍舊需要CTA軟件支持(應對特殊平臺的在下面專門討論)。工作流程、系統組成與NAC over 802.1x相似，區別在于:在L2-IP CTA傳遞主機健康信息依賴UDP協議告知交換機。L2-IP只擔當主機健康性的檢查工作。對被認證計算機通信控制，主要靠ACS向交換機下發的 L3/L4層ACL。

　　L2-IP對于健康性問題的計算機處理有一個獨到之處，就是在限制其絕大多數通信的同時， ACS還會給交換機下發一個Web瀏覽重定向的ACL，只要用戶打開瀏覽器，不論輸入任何一個網址，交換機都會把通信重定向到一個專有網頁，提示用戶計算機存在安全隱患，需要下載相關補丁、打開防病毒軟件……由于這一重定向工作由接入交換機完成，實現全網的分布式處理，系統有著非常好的可擴展性，避免出現所有的問題計算機由網絡內一臺設備集中處理瀏覽重定向請求帶來的性能瓶頸。

　　我們重復了類似NAC over 802.1x中的測試項目，交換機成功重定向了為通過驗證計算機的網頁訪問行為。

　　思科的工程師介紹說，部署L2-IP的時候，交換機必須啟用DHCP Snooping、IP Source Guard(這些功能的測試見網站《智能升級受益更多—Catalyst 4500 SUPERVISORENGINE V-10GE》)，這樣可以保證使用L2-IP時,其他計算機不會通過模擬其IP地址侵入網絡。

　　細節二:應對多平臺挑戰

　　部署NAC的時候必須要盡可能避免老舊系統成為安全漏洞。

　　在采用L2-IP方案時，思科的ACS可以和第三方的漏洞管理軟件廠商Qualys或者自己的Clean Access系統互動，對不能安裝CTA的計算機進行健康檢查、加以控制。

　　思科針對打印機和IP電話機等無法安裝CTA的聯網設備進行了細心的設計。對于打印機等設備，思科的交換機支持一種MAC Authe bypass的解決方案。對于IP電話機，交換機上設置專門用于IP電話的Voice VLAN。交換機會識別連接設備是否為打印機、電話機，如果不是會自動啟用NAC，檢查健康性，決定計算機是否可以聯網。

　　細節三:單點登錄

　　我們測試的時候非常順利地實現了802.1x和微軟AD的單點登錄，但是看似簡單的操作，實際上是暗流涌動。

　　思科提出了一個主機認證的解決方案，解決了802.1x與Windows域登錄的矛盾(詳細內容見網站測試報告)。為了避免802.1x認證過程中出現的多個VLAN切換造成的通信中斷，思科提出了一些設計建議，即盡可能不要在主機ID認證和用戶ID認證過程中進行VLAN域的切換，而鑒權后的訪問控制可以用Per User ACL的方式來進行控制。另一個方法是通過腳本做一個ipconfig /renew的操作。

　　思科的CTA軟件很好地和微軟的AD系統進行了集成，實現單點認證登錄。我們此次測試嘗試了基于EAP-MD5、EAP-OTP、EAP-TLS的802.1x認證方法。