思科网络安全解决方案

Cisco NAC Profiler Solution

概述

Cisco® NAC Profiler与Cisco NAC Appliance协同运行,能够加速网络准入控制(NAC)解决方案的部署。该产品简化了针对所有端点设备的发现和描述操作,不管这些设备是否与某个用户关联。由于能够在部署后管理设备身份、位置以及这些端点内部的添加、移动和更改操作,Cisco NAC Profiler还改进了对这些设备的管理。 端点分析

快速分析并管理所有设备或端点是NAC的核心功能之一。虽然许多端点是与用户相关联的台式机和笔记本电脑,但网络上还有大量其它与用户没有关联的端点设备,如IP电话和打印机。这些设备通常被称为非响应主机或非关联设备。

Cisco NAC Profiler能够剖析所有网络端点并准确地描述出强大的验证机制部署前和部署后网络边缘的状态。该产品汇聚了大量可选的信息源,包括:

  • 汇聚点网络流量监控结果
  • 终端站的活动
  • NetFlow数据获取
  • 持续端口状态(位置)监控
  • 积极分析

由于网络上可能有20%到40%的设备是非响应主机,因此以上信息对于一个有效的NAC解决方案越来越重要。

加速NAC部署

Cisco NAC Appliance通过一个标准的Web浏览器或一个位于端点上的轻型只读客户端启动准入流程。用户首先输入他们的证书信息,然后 NAC Appliance将确定访问权限和策略要求。对于不能支持这种用户交互的设备,Cisco NAC Appliance通过其Clean Access Manager中一个列出这些非响应主机MAC地址的特例列表(“过滤器列表”)来接受这些设备。当过滤器列表上的某个设备试图访问网络时,NAC Appliance利用基于角色的VLAN分配为其提供相对应的路由服务。

过滤器列表的分发通过批量输入或人工输入MAC地址完成。必须对该列表进行编排和分发才能实现全面的NAC部署。此外,还必须随时对非响应主机列表进行更新,不管更改是否正在进行。例如,如果要添加一个新的网络打印机,必须在过滤器列表中添加其MAC地址,这样才能建立连接。同样,在设备被移动或从网络中被永久删除时,管理员需要重新设置或删除他们的MAC地址。

为了简化这一流程,Cisco NAC Profiler建立了一个所有端点的自动化库存,不但能够分发MAC地址,还能用于分发设备描述符(打印机、IP电话、不间断电源等)和用于确定合理访问级别的正确的访问类型值,然后Cisco NAC Profiler将自动在Clean Access Manager中分发过滤器列表并持续管理该列表,以保证获得网络访问权限的所有设备保持相关性和准确性。

增强对非响应主机的控制

从管理的角度看,Cisco NAC Profiler能够在网络添加或删除设备时动态检测出端点环境发生的变化。管理员不需要再人工更新过滤器列表;更重要的是,这一特性消除了MAC地址欺骗。

此外,Cisco NAC Profiler能够检测出设备类型改变后端点行为的变化。当发生与设备描述文件不符的事件时,如打印机开始利用Internet Explorer接入互联网,Cisco NAC Profiler能够通知Clean Access Manager将可疑端点从过滤器列表中删除,或重新设置角色,以顺应设备功能的变化。

第三个选择是,企业可以将Cisco NAC Appliance 作为控制访问和执行策略的机制设计他们自己的访客访问门户。通过使用该设备的开放API,企业能够将一个访客访问解决方案连接到其它系统,如临时胸卡打印机、访问密钥卡或计费应用。

完全集成的用户界面

来自Cisco NAC Profiler的数据在Clean Access Manager基于Web的界面中显示,在一个中央地点提供了更详尽的NAC系统状态信息。NAC管理员能够一目了然地查看过滤器列表上所有设备的当前状态,从而减轻了管理工作负担并简化了故障排除。

总结

在部署NAC解决方案的过程中,端点分析的重要性逐步提升。Cisco NAC Profiler大幅度减少了部署时间,简化了日常维护,尤其是对非响应主机的维护,同时通过基于行为的监视提高了安全性。Cisco NAC Profiler与Cisco NAC Appliance共同提供了一个完整的解决方案,保证了对所有企业资产的安全访问。

解决方案的优势

Cisco NAC Profiler为NAC管理员带来了三大优势:

  • 自动端点描述和分析大大减少了Cisco NAC的初期部署工作和时间,使管理员能够将更多的时间用于处理策略和配置问题,而不是数据输入和物理库存工作。
  • 发现网络中设备的添加和删除,减轻了NAC管理员的维护负担。
  • 对端点行为的监视增加了一个安全保护层,使非响应主机无法再破坏NAC机制。
了解更多信息

如需了解更多关于Cisco NAC Profiler或Cisco NAC Appliance的信息,请访问 http://www.cisco.com/go/nac/appliance

联系我们