网络安全产品

Cisco Secure Access Control Server 4.0 for Windows 概述

产品简介

思科® 安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。

思科® 安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。

产品概述

现在,网络访问方法越来越多,使遵守安全制度和不可控的网络访问成为企业担心的主要问题。随着IEEE 802.11无线局域网和普遍宽带互联网连接的广泛部署,安全问题不仅存在于网络外围,还存在于网络内部。能够防御这些安全漏洞的身份识别网络技术现已成为吸引全球客户关注的主要技术。

企业越来越多地使用公共密钥基础设施(PKI)和一次性密码(OTP)等更严格的验证方式来控制用户从公共网络访问企业资源。网络管理员希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性来提供灵活的授权策略。最后,集中跟踪并监控网络用户连接的能力对于杜绝不适当地或过度地使用宝贵的网络资源至关重要。

Cisco® Secure ACS (ACS)是具高可扩展性的高性能访问控制服务器,可作为集中的RADIUS 和 TACACS+ 服务器运行。Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中,因此提高了灵活性、移动性、安全性和用户生产率, 从而进一步增强了访问安全性。它针对所有用户执行统一安全策略,不受用户网络访问方式的影响。它减轻了与扩展用户和网络管理员访问权限相关的管理负担。通过对所有用户帐户使用一个集中数据库,Cisco Secure ACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。对于记帐服务,Cisco Secure ACS针对网络用户的行为提供具体的报告和监控功能,并记录整个网络上每次的访问连接和设备配置变化。这个特性对于企业遵守Sarbanes Oxley法规尤其重要。Cisco Secure ACS支持广泛的访问连接,包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。

Cisco Secure ACS是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco IBNS基于802.1x (用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准,并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL]),这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS协议上查询Cisco Secure ACS。

Cisco Secure ACS也是思科网络准入控制(NAC)架构的重要组件。思科NAC是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等),并可限制违规设备的访问。思科NAC是思科自防御网络计划的一部分,为在第二层和第三层网络上实现网络准入控制奠定了基础。我们计划进一步扩展端点和网络安全性的互操作性,以便将动态的事故抑制功能包含在内。这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。因此,用户可将受感染的系统与其他网络部分动态隔离开,从而大大减少病毒、蠕虫及混合攻击的传播。

Cisco Secure ACS是功能强大的访问控制服务器,为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。表1列出了Cisco Secure ACS的主要优势。

表1. Cisco Secure ACS的主要优势
优势 说明
易用性 基于Web的用户界面可简化并分发用户资料、组资料和Cisco Secure ACS的配置。
可扩展性 Cisco Secure ACS可通过支持冗余服务器、远程数据库以及数据库复制和备份服务来支持大型网络环境。
可扩容性 轻型目录访问协议(LDAP)验证转发功能支持对著名目录供应商保存在目录中的用户资料进行验证,包括Sun、Novell和Microsoft等。
管理 Windows Active Directory支持结合了Windows用户名和密码管理功能,并使用Windows Performance Monitor来查看实时统计数据。
系统管理 为每个Cisco Secure ACS管理员分配不同的访问权限 — 以及对网络设备进行分组的能力— 可以更轻松地控制网络访问并最大限度地提高灵活性,从而方便地对网络中的所有设备执行并更改安全策略。
产品灵活性 Cisco IOS® 软件内嵌了对于AAA的支持,因此,Cisco Secure ACS几乎能在思科销售的任何网络接入服务器上使用(Cisco IOS软件版本必须支持RADIUS 或 TACACS+)。
集成 与Cisco IOS路由器和VPN解决方案紧密集成,提供了多机箱多链路点到点协议(PPP)和Cisco IOS软件命令授权等特性。
第三方支持 Cisco Secure ACS为提供满足RFC要求的RADIUS接口 (如RSA、 PassGo、安全计算、ActiveCard、Vasco 或 CryptoCard) 的所有OTP供应商提供令牌服务器支持。
控制 Cisco Secure ACS为一天中的时间点、网络使用、登录的会话数量和一周中每天的访问限制提供动态配额。

特性和优势

Cisco Secure ACS 4.0提供以下全新特性和优势:

  • Cisco NAC 支持 — Cisco Secure ACS 4.0用作NAC部署中的策略决策点。使用可配置的策略,它能评估思科可信代理 提交的凭证、决定主机状态、并向网络访问设备发送逐用户的授权信息:ACL、基于策略的ACL或专用的VLAN分配。评估主机凭证可执行许多特定策略,如操作系统补丁级别和防病毒DAT文件版本等。Cisco Secure ACS记录策略评估结果以供监控系统使用。Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查,然后再决定是否准许它访问网络。您可通过作为Cisco Secure ACS转发凭证目的地的外部策略服务器扩展Cisco Secure ACS策略。例如,防病毒供应商特定的凭证可被转发至供应商的防病毒策略服务器,审查策略请求可被转发至审查供应商。
  • 可扩展性改进 — Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS系统,将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。同时也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。
  • 基于资料的策略 — Cisco Secure ACS 4.0支持名为网络访问资料库的新特性,允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类,可将验证、访问控制和授权策略映射到特定的资料库中。例如,基于资料库的策略允许为无线访问与远程 (VPN)访问采用不同的访问策略。
  • 扩展的复制组件 — Cisco Secure ACS 4.0 改进并增强了复制功能。管理员现已能够复制网络访问资料库和所有相关的配置,包括状态验证设置、AAA客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享资料库组件和其他登录属性。
  • EAP- FAST增强支持— EAP-FAST是思科开发的可供公开访问的新型IEEE 802.1x EAP,用于支持无法执行强大的密码策略或希望部署无需数字证书的802.1x EAP的客户。它支持各类用户和密码数据库并支持密码到期和变更机制,是易于部署、易于管理的灵活EAP。例如,未实施强大的密码策略且不希望使用证书的客户可移植到EAP-FAST以防词典攻击。Cisco Secure ACS 4.0在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。
  • 可下载的IP ACL — Cisco Secure ACS 4.0将每用户的ACL支持扩展到了支持这个特性的所有第三层网络设备,包括Cisco PIX® 安全产品、思科VPN解决方案和Cisco IOS路由器。您可定义每用户或每用户群应用的一系列ACL。这个特性允许执行适当的ACL策略,藉此补充了NAC支持。当与网络访问过滤器一起使用时,您可通过不同方式每设备的应用可下载的ACL,从而每用户或每访问设备的定制ACL。
  • 认证撤销列表(CRL)比较 — Cisco Secure ACS 4.0 使用X.509 CRL资料库支持证书撤销机制。CRL是记录已撤销证书的加盖时间标记的列表,由证书授权机构或CRL发放人签字并免费提交到公共信息库中。Cisco Secure ACS 4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL,并保存它们以便在EAP传输层安全性(EAP-TLS)验证中使用。如果用户在EAP-TLS验证期间提供的证书位于已检索的CRL中,将无法通过Cisco Secure ACS验证,Cisco Secure ACS将拒绝用户访问网络。这个功能对组织变更频繁的客户来说非常重要,可防止宝贵的网络资产遭到欺骗性的使用。
  • 设备访问限制 — 作为Windows设备验证的增强特性,Cisco Secure ACS 4.0提供设备访问限制功能。当打开Windows设备验证功能时,您可使用设备访问限制机制来控制EAP-TLS授权,以及通过Windows外部用户数据库验证的Microsoft受保护的可扩展身份验证协议(PEAP)的用户。如果用户用于访问网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证,您可根据需要为用户配置访问权限限制。您也可选择拒绝用户访问网络。
  • 网络访问过滤器(NAF) — Cisco Secure ACS 4.0包括NAF,作为新型的共享资料库组件。NAF为在网络设备名、网络设备组或其IP地址上应用网络访问控制及可下载的ACL提供了灵活的方法。根据IP地址应用的NAF可使用IP地址范围和通配符。这个特性提供精确的应用网络访问限制及可下载的ACL,而在以前,所有设备只能应用相同的访问限制或ACL。NAF允许定义灵活的网络设备限制策略,满足大型环境中最常见的要求。
  • 思科硬件设备的其他支持 — Cisco Secure ACS 4.0 支持思科无线局域网控制器和思科自适应安全产品。

系统要求

Cisco Secure ACS提供两个版本:Cisco Secure ACS for Windows 及 Cisco Secure ACS Solution Engine—单机架单元(RU)的安全性增强设备,预装Cisco Secure ACS许可。

如想实施Cisco Secure ACS for Windows,您的Windows服务器至少要满足表2列出的最低硬件要求。

表2. Cisco Secure ACS for Windows的最低服务器规范
类别 最低要求
处理器速度 1.8 GHz或更快的Pentium IV 处理器
内存 最小1 GB RAM
硬盘驱动器 最低250 MB的自由磁盘空间
分辨率 最低800 x 600 (256色彩)

联系我们