思科®可信代理是网络准入控制(NAC)解决方案的核心组件。
产品概述
NAC是构建在思科系统公司®领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而降低病毒、蠕虫和间谍软件等新兴安全威胁的破坏程度。
根据主机策略,对于在允许访问网络前必须接受检查的主机来说,思科可信代理是必须安装的软件。作为NAC的核心组件,思科可信代理使NAC可判断系统是否安装了思科安全代理、防病毒软件或所需的第三方安全性或管理软件及其时新性,同时还提供关于操作系统版本和补丁级别的信息。
思科可信代理是免费软件,由思科作为单独应用直接提供或与思科安全代理捆绑提供。您也可向NAC参与方索取软件。
思科可信代理:
- 允许NAC验证可管理资产上的应用状态
- 可运行在有线、无线、远程接入和远程机构环境中
- 得到大量第三方供应商的支持
- 可运行在Windows 和 Red Hat Linux 操作系统上
- 易于部署、运行简便的免费软件
特性和优势
思科可信代理:
- 用作中间件组件,可提取主机策略信息并将这些信息安全地传输给验证、授权和记帐(AAA)策略服务器。作为小型的、不干扰系统运行的软件,思科可信代理属于NAC计划的一部分,可提供思科安全代理版本、操作系统、补丁版本以及第三方应用的存在情况、版本和其他状态信息。
- 与运行在主机上的“支持NAC”的应用直接互动,无需用户干预。思科可信代理将通过由NAC参与方在其应用中集成的通信通道与基于NAC的应用进行通信。NAC计划日前拥有超过50个参与方,包括著名的防病毒、客户端安全性和补丁管理供应商。
- 可使用固有的通信组件在第二或第三层进行通信。思科可信代理同时包括使用用户数据报协议上的可扩展验证协议(EAPoUDP)的第三层通信组件以及802.1x请求系统,允许第二层通信。
- 包括有线环境中用于L2通信的802.1x请求系统。用于Windows的思科可信代理 包含基于Meetinghouse Data
Communications技术的免费的802.1x请求系统。您可同时在有线和无线环境中以第三方供应商提供的全零售的请求系统来替代这个请求系统。
- 验证AAA服务器。思科可信代理通过AAA服务器加密的通信对请求者进行验证。
- 允许客户为定制的信息收集而创建脚本。思科可信代理提供界面以便接收客户编写的脚本发送的信息,并将这些信息用于状态验证过程。
- 与思科安全代理相集成并可由NAC参与方利用其应用分发,以简化管理和分发工作。思科可信代理也可作为单独应用从Cisco.com免费下载。
网络准入控制产品架构
NAC由多个关键组件构成(见图1),包括:
- 通信代理 —思科可信代理软件工具从终端的安全软件解决方案收集安全状态信息并使用EAPoUDP
或802.1x上的可扩展验证协议 (EAPoL)将此类信息传输给网络访问设备。思科可信代理同时安装在TCP/IP堆栈的上方或802.1x上。
- 网络访问设备 — 试图访问网络的每个设备最初都要联系网络访问设备(路由器、交换机、VPN集中器或防火墙)。这些设备需要思科可信代理提供终端安全“凭证”并将此类信息传输给策略服务器以便作出准入决策。
- 策略服务器 — 思科安全访问控制服务器(ACS) 和第三方供应商的策略服务器将评估网络访问设备转发的终端安全凭证并决定适当的访问策略(准许、拒绝、隔离或限制)。
图1. 思科可信代理 架构概图
思科可信代理 允许NAC利用现有的基础设施投资,从而扩展了思科网络设备、思科安全代理软件和第三方安全软件的价值,包括防病毒和其他第三方终端安全及补丁管理技术投资。
产品规格
表1列出了思科可信代理 2.0的产品规格。
越来越多的供应商继续支持并集成思科可信代理。供应商对思科可信代理的支持与集成与思科版本计划无关。您也可从Cisco.com免费下载思科可信代理
2.0。
系统要求
表2列出了思科可信代理 2.0的系统要求。
下载软件
您可从Cisco.com的软件中心下载思科可信代理:www.cisco.com/kobayashi/sw-center/sw-ciscosecure.shtml。
登录软件中心时需提供登录帐户。与思科签订了路由器维护合同的客户有权访问思科软件中心。思科可信代理也由NAC合作伙伴以应用打包方式提供(包括最初的防病毒合作伙伴)。思科可信代理可与思科安全代理相捆绑;当配置思科安全代理套件时,它是一个管理安装选项。
了解更多信息
如需了解有关思科可信代理的更多信息,请联系当地客户代表或访问:www.cisco.com/go/nac。
