思科网络安全解决方案

产品概述

安全访客访问的重要性

Cisco NAC Appliance能够帮助企业为来访者提供安全的公司网访问，确保访客和访客流量与内部网络流量隔开，并检查接入的计算机是否带有可能影响网络可用性和安全性的威胁。Cisco NAC Appliance提供了面向有线和无线用户的集中访客访问管理和执行特性，能够与无线解决方案、第三方访客访问门户和计费供应商轻松集成。

企业：公共热点

企业网络是当今商务旅行人士最重要的访问热点之一。随着无线网络、承包和外包业务的增长，为来访者提供互联网访问已成当务之急。为提供访客互联网访问，企业必须保证网络资源的安全性，同时最大限度降低该服务对IT支持的要求。具体来说，企业在提供访客访问方面面临的挑战包括：

• 根据访客的身份，规定访客只能访问互联网或某些内部资源
• 无缝支持无线和有线访问
• 实现管理和控制的集中化
• 针对访客用户和设备执行安全、企业或政府政策

根据这些业务挑战，出色的安全访客访问解决方案必须符合以下技术要求：

• 面向访客的易用性：访客应不需要重新配置他们的笔记本电脑或下载代理；验证应该基于网络。
• 面向企业的易用性：解决方案应该“即插即用”，支持公司的代理设置并能叠加在现有网络上；非IT人员也应能够设置并管理访客用户账户。
• 面向企业的灵活性：解决方案应能支持不同地点和设备的闪屏和网络内容。
• 面向企业的可管理性：管理员应该能够对访客用户的位置、他们的MAC地址、IP地址和用户名进行全面的审核；并能合理分配带宽，确保员工获得理想的网络性能。
• 企业的控制能力：解决方案应确保以可定制的免责声明或可接受的用户规范（AUP）的形式满足法律要求，访客在访问前必须接受该声明和规范。

用于支持安全访客访问的Cisco NAC Appliance

Cisco NAC Appliance是一个强大的安全访客访问解决方案的主体设备。作为一个在授予网络访问权限之前执行访问策略的产品，Cisco NAC 可以单独使用、可以与来自思科高级服务部和其他第三方访客访问门户合作伙伴的解决方案集成，也可通过自身的开放API进行全面定制

图1显示了基本的访客访问流程。

图1 访客互联网连接的自动化和控制

单独使用时，Cisco NAC Appliance可通过其基于Web的界面Cisco NAC Appliance Manager来创建访客用户账户，从而为来访者提供支持。系统将把访客归入“guest”一类，然后管理员将可以限制带宽并从细节上限制对资源的访问。

在将Cisco NAC Appliance与访客访问门户应用结合使用时，如思科高级服务部或VisitorNetworks (www.visitornetworks.com)提供的应用，企业将能够使用全账户生命周期管理和增强易用性工具。任何员工都能够利用一个集中的内联网门户创建登录证书并查看访客账户在整个生命周期的状况。NAC设备增强了访客访问门户应用，因为它允许网络管理员：

• 根据接入设备的操作系统及其位置制定一个访客策略
• 根据用户、IP地址和DNS创建动态过滤器
• 要求访客接受免责声明或AUP
• 利用/30子网分配结果在第3层分隔访客流量
• 与现有的Cisco Unified无线产品轻松集成

第三个选择是，企业可以将Cisco NAC Appliance 作为控制访问和执行策略的机制设计他们自己的访客访问门户。通过使用该设备的开放API，企业能够将一个访客访问解决方案连接到其它系统，如临时胸卡打印机、访问密钥卡或计费应用。

图2 列出了基于Cisco NAC Appliance的三个访客访问部署选项。

图2 安全访客访问的部署选项

基于Cisco NAC Appliance的安全访客访问的优势

由于Cisco NAC Appliance主要是一个策略实施解决方案，因此为访客访问增加了一个深度安全保护层。由于企业网络支持的来访者种类更多，从承包商和顾问到会议参加者，因此保护内部资源的安全性并维持网络的正常运行就变得更加重要。

使用面向安全访客访问的 Cisco NAC Appliance有以下优势：

• 通过为访客合并有线和无线访问降低初期和后续成本
• 大幅度提高根据来访者类型开放并控制网络资源的灵活性
• 在改进访客体验的同时降低了IT开销
• 通过评估接入设备的安全状态提高了安全性和网络永续性

思科的优势

通过选择思科的安全访客访问产品，您将能够受益于当今市场上部署最广泛的网络准入控制解决方案。访客网络正在成为企业生产率的核心要素，必须拥有更高的灵活性、可管理性和控制力，而后者最为重要。