关于思科 TrustSec
以往,防火墙等安全功能根据预定义的 IP 地址、子网和协议执行访问控制。然而,随着企业不断向无边界网络过渡,用于连接人员和组织的技术取得了长足的进步,同时对数据保护和网络保护的安全要求也显著提高。同时,终端变得越来越具流动性,而且用户通常利用各种终端(例如,笔记本电脑(而非台式机)、智能手机或平板电脑),这样用户属性结合终端属性一起提供了关键特征(除了现有的基于 6 元组的规则以外),带防火墙功能的交换机和路由器或专用防火墙等实施设备能够可靠地利用这些关键特征制定访问控制决策。
因此,对于支持跨客户网络、在网络的接入层、分发层和核心层以及在数据中心实现安全性,终端属性或客户端身份属性的可用性和传送性已经成为越来越重要的要求。
思科 TrustSec 可以提供基于现有的身份感知基础设施的访问控制,确保网络设备之间的数据保密性,并集成平台上的安全访问服务。在思科 TrustSec 功能中,实施设备结合用户属性和终端属性制定基于角色和基于身份的访问控制决策。此信息的可用性和传送性支持在网络的接入层、分发层和核心层实现跨网络安全性。
在环境中实施思科 TrustSec 具备以下优势:
-
提供不断增加的移动和复杂劳动力,他们能够从任何设备进行适当和更安全的访问。
-
针对正在连接有线或无线网络的人员和设备,提供全面的可视性,降低安全风险
-
针对访问物理或云计算型的 IT 资源的网络用户的活动提供优越控制
-
通过高度安全的集中式访问策略管理和可扩展策略实施机制来降低总拥有成本
-
有关详细信息,请访问以下 URL:
-
面向企业的 Cisco TrustSec 系统和架构的说明。
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/index.html
-
有关在企业中部署 Cisco TrustSec 解决方案的说明,包含组件设计指南的链接。
-
搭配 ASA、交换机、无线 LAN (WLAN) 控制器和路由器使用的思科 TrustSec 解决方案概述。
-
思科 TrustSec 平台支持矩阵,其中列出支持 Cisco TrustSec 解决方案的思科产品。
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html
-
关于思科 TrustSec 中的 SGT 和 SXP 支持
在 Cisco TrustSec 功能中,安全组访问可以将拓扑感知网络转换为基于角色的网络,支持在基于角色的访问控制 (RBAC) 的基础上实施端到端策略。在身份验证期间获得的设备和用户凭证用于按安全组对数据包进行分类。每个进入 Cisco TrustSec 云的数据包都被标记有安全组标记 (SGT)。这种标记有助于可信的中间设备确定数据包的源身份,沿着数据路径实施安全策略。当使用 SGT 定义安全组 ACL 时,SGT 可以指明域上的权限级别。
SGT 通过 IEEE 802.1X 身份验证、Web 身份验证或 MAC 身份验证绕行 (MAB) 分配到设备,被分配的同时带有 RADIUS 供应商特定属性。SGT 可以被静态地分配给特定 IP 地址或交换机接口。在成功进行身份验证之后,SGT 可以被动态地传送到交换机或访问点。
安全组交换协议 (SXP) 是一种为 Cisco TrustSec 开发的协议,用以在不具有(支持 SGT 的)硬件支持的网络设备上将 IP 到 SGT 的映射数据库传送到支持 SGT 和安全组 ACL 的硬件。SXP 为一种控制层面协议,可以将 IP-SGT 映射从身份验证点(例如,旧版接入层交换机)传送到网络中的上游设备。
SXP 连接为点到点的连接,使用 TCP 作为底层传输协议。SXP 使用 TCP 64999 端口启动连接。此外,SXP 连接唯一可通过源 IP 地址和目标 IP 地址被标识。
思科 TrustSec 功能中的角色
为了提供基于身份和策略的访问实施,思科 TrustSec 功能包含以下角色:
-
访问请求者 (AR) - 访问请求者指的是请求访问网络中受保护资源的终端设备。它们是架构的主要主体,其访问权限视身份凭证而定。
访问请求者包括终端设备,例如计算机、笔记本电脑、移动电话、打印机、摄像机和支持 MACsec 功能的 IP 电话。
-
策略决定点 (PDP) - 策略决定点负责制定访问控制决策。PDP 可以提供 802.1x、MAB 和 Web 身份验证等功能。PDP 通过 VLAN、DACL 和安全组访问 (SGACL/SXP/SGT) 支持身份验证和实施。
在思科 TrustSec 功能中,思科身份服务引擎 (ISE) 可充当 PDP。思科 ISE 提供身份和访问控制策略功能。
-
策略信息点 (PIP) - 策略信息点是向策略决策点提供外部信息(例如,信誉、位置和 LDAP 属性)的源。
策略信息点包括 Session Directory、Sensor IPS 和通信管理器等设备。
-
策略管理点 (PAP) - 策略管理点定义策略并将策略插入授权系统。PAP 提供思科 TrustSec 标记到用户身份映射和思科 TrustSec 标记到服务器资源映射,充当一个身份资源库。
在思科 TrustSec 功能中,思科安全访问控制系统(带集成式 802.1x 和 SGT 支持的策略服务器)充当 PAP。
-
策略实施点 (PEP) - 策略实施点是实施 PDP 为每个 AR 制定的决策(策略规则和操作)的实体。PEP 设备通过网络上的主要通信路径获悉身份信息。PEP 设备从多个来源获悉每个 AR 的身份属性,例如终端代理、授权服务器、对等实施设备和网络流量。反过来,PEP 设备使用 SXP 将 IP-SGT 映射传送到网络上相互信任的对等设备。
策略实施点包括 Catalyst 交换机、路由器、防火墙(特别是 ASA)、服务器、VPN 设备和 SAN 设备等网络设备。
ASA 在身份架构中充当 PEP 角色。使用 SXP,ASA 可直接从身份验证点获悉身份信息并使用它们来实施基于身份的策略。
安全组策略实施
安全策略实施基于安全组名称进行。终端设备尝试访问数据中心中的资源。与在防火墙上配置的基于 IP 的传统策略相比,基于身份的策略基于用户和设备身份配置。例如,允许市场营销承包商访问市场营销服务器;允许市场营销公司用户访问市场营销服务器和公司服务器。
此类部署的优点包括:
-
使用单一对象 (SGT) 简化策略管理定义和实施用户组与资源。
-
在支持思科 TrustSec 的交换机基础设施中保留用户身份和资源身份。
下图显示基于安全组名称的策略实施的部署。

通过实施思科 TrustSec,可以配置支持服务器分类的安全策略,并且实现以下功能:
-
可以将 SGT 分配给服务器池,以简化策略管理。
-
SGT 信息保留在支持思科 TrustSec 的交换机的基础设施中。
-
ASA 可使用 IP-SGT 映射跨思科 TrustSec 域执行策略实施。
-
服务器强制要求 802.1x 授权,由此可能简化部署。
ASA 如何实施基于安全组的策略
![]() 注 |
基于用户的安全策略和基于安全组的策略在 ASA 中可以共存。网络属性、基于用户的属性和基于安全组的属性的任意组合都能够在安全策略中配置。 |
要将 ASA 配置为与思科 TrustSec 协同运行,必须从 ISE 导入受保护的访问凭证 (PAC) 文件。
将 PAC 文件导入到 ASA 会与 ISE 建立安全的通信通道。建立通道后,ASA 会使用 ISE 启动 PAC 安全 RADIUS 事务并下载思科 TrustSec 环境数据(即安全组表)。此安全组表将 SGT 映射到安全组名称。安全组名称在 ISE 上创建,为安全组提供用户友好的名称。
ASA 第一次下载安全组表时会浏览表中的所有条目,并解析在其中配置的安全策略中包含的所有安全组名称;然后,ASA 将在本地激活这些安全策略。如果 ASA 无法解析安全组名称,则会对未知安全组名称生成系统日志消息。
下图显示如何在 Cisco TrustSec 实施安全策略。

-
终端设备直接或通过远程访问连接到接入层设备,并使用思科 TrustSec 进行身份验证。
-
通过使用 802.1X 或 Web 身份验证等身份验证方法,接入层设备可以利用 ISE 对终端设备进行身份验证。终端设备传送角色和组成员信息,将此设备划分至相应的安全组。
-
接入层设备使用 SXP,将 IP-SGT 映射传送到上游设备。
-
ASA 接收数据包并使用 SXP 传送的 IP-SGT 映射查询源与目标 IP 地址的 SGT。
如果该映射为新映射,ASA 将在其本地 IP-SGT 管理器数据库中记录该映射。IP-SGT 管理器数据库在控制层面中运行,为每个 IPv4 或 IPv6 地址跟踪 IP-SGT 映射。此数据库记录映射被获悉的源。SXP 连接的对等 IP 地址可用作映射源。每个 IP-SGT 映射条目都可以有多个源。
如果 ASA 被配置为发言者,ASA 会将所有 IP-SGT 映射条目传输到其 SXP 对等体。
-
如果在 ASA 上配置了包含 SGT 或安全组名称的安全策略,ASA 将实施该策略。(您可以在 ASA 上创建包含 SGT 或安全组名称的安全策略。要基于安全组名称实施策略,ASA 需要使用安全组表将安全组名称映射到 SGT。)
如果 ASA 在安全组表中找不到安全组名称,但安全策略中包含安全组名称,ASA 会将安全组名称视为未知并生成一条系统日志消息。在 ASA 从 ISE 刷新安全组表并获得安全组名称后,ASA 将生成一条系统日志消息,指示安全组名称已知。
更改 ISE 上安全组的效果
ASA 通过从 ISE 下载更新表定期刷新安全组表。在不同的下载之间,ISE 上的安全组会发生更改。在刷新安全组表之前,ASA 中不会反映这些更改。
![]() 提示 |
我们建议您在维护时段安排在 ISE 上进行策略配置更改,然后手动刷新 ASA 上的安全组表,以确保执行安全组更改。 |
按这种方式处理策略配置更改,可以最大限度增加安全组名称获得解析和安全策略立即进入活动状态的几率。
当环境数据计时器过期时,系统会自动刷新安全组表。也可以按需触发安全组表刷新。
如果进行 ISE 中的安全组更改,当 ASA 刷新安全组表时会发生以下事件:
-
只有使用安全组名称配置的安全组策略才需要通过安全组表进行解析。包含安全组标记的策略始终处于活动状态。
-
当安全组表首次可用时,浏览所有包含安全组名称的策略,解析安全组名称,激活策略。浏览所有包含标记的策略,并为未知标记生成系统日志。
-
如果安全组表已过期,将继续根据最新下载的安全组表实施策略,直到您清楚或有新表变得可用为止。
-
当 ASA 上已解析的安全组名称变成未知时,安全策略将被禁用;不过,该安全策略仍然存在于 ASA 运行配置中。
-
如果在 PAP 上删除现有安全组,以前已知的安全组标记会变成未知,但在 ASA 上不会发生策略状态更改。以前已知的安全组名称会变成未解析,然后策略被停用。如果安全组名称被重用,则使用新标记重新编译策略。
-
如果在 PAP 上添加新安全组,以前未知的安全组标记会变成已知,会生成系统日志消息,但策略状态不会发生更改。以前未知的安全组名称变成已解析,然后相关联的策略被激活。
-
如果已在 PAP 上重命名标记,使用标记配置的策略会显示新的标记名称,策略状态不会发生更改。使用此新标记值重新编译使用安全组名称配置的策略。
ASA 中的发言者和收听者
ASA 支持通过 SXP 发送和接收进出其他网络设备的 IP-SGT 映射条目。SXP 允许安全设备和防火墙从访问交换机获悉身份信息,无需硬件升级或更改。SXP 还能够用来将上游设备(例如,数据中心设备)的 IP-SGT 映射条目重新传送到下游设备。ASA 可接受来自上游和下游方向的信息。
在 ASA 上配置 SXP 到 SXP 对等体的连接时,您必须将 ASA 指定为该连接的发言者或收听者,这样才能交换身份信息:
-
发言者模式 - 配置 ASA,使其可以将 ASA 中收集的所有活动 IP-SGT 映射条目转发到上游设备进行策略实施。
-
收听者模式 - 配置 ASA,使其可以接收来自下游设备(支持 SGT 的交换机)的 IP-SGT 映射条目,并可使用该信息创建策略定义。
如果将 SXP 连接的一端配置为说话者,必须将另一端配置为收听者,反之亦然。如果位于 SXP 连接两端的两个设备均配置为同一角色(同为发言者或同为收听者),则 SXP 连接失败,ASA 将生成一条系统日志消息。
多个 SXP 连接能够获悉已从 IP-SGT 映射数据库下载的 IP-SGT 映射条目。在 ASA 上建立 SXP 到 SXP 对等体的连接后,收听者将从发言者下载完整的 IP-SGT 映射数据库。此后发生的所有更改仅在网络上出现新设备时被发送。因此,SXP 信息流速率与终端主机对网络进行身份验证的速率成比例。
已通过 SXP 连接获悉的 IP-SGT 映射条目在 SXP IP-SGT 映射数据库中进行维护。可以通过不同 SXP 连接获悉相同映射条目。此映射数据库为每个已获悉的映射条目维护一个副本。同一 IP-SGT 映射值的多个映射条目按获悉映射的连接的对等 IP 地址进行标识。SXP 请求 IP-SGT 管理器在首次获悉新映射时添加映射条目,并在删除 SXP 数据库中的最后副本时删除映射条目。
无论 SXP 连接何时被配置为说话者,SXP 都请求 IP-SGT 管理器将在设备上收集的所有映射条目转发给对等体。当在本地获悉新映射时,IP-SGT 管理器请求 SXP 通过已配置为说话者的连接转发此映射。
将 ASA 同时配置为 SXP 连接的发言者和收听者可能会导致形成 SXP 循环,这意味着最初传输 SXP 数据的 SXP 对等体可以接收这些数据。
将 ASA 注册到 ISE
在 ISE 中,必须首先将 ASA 配置为认可的思科 TrustSec 网络设备,ASA 才能成功导入 PAC 文件。要将 ASA 注册到 ISE,请执行以下步骤:
过程
步骤 1 |
登录 ISE。 |
步骤 2 |
依次选择 Administration > Network Devices > Network Devices。 |
步骤 3 |
点击 Add。 |
步骤 4 |
输入 ASA 的 IP 地址。 |
步骤 5 |
当 ISE 用于进行用户身份验证时,请在 Authentication Settings 区域输入一个共享密钥。 在 ASA 上配置 AAA 服务器时,需提供您此时在 ISE 上创建的共享密钥。ASA 上的 AAA 服务器要与 ISE 通信需使用此共享密钥。 |
步骤 6 |
为 ASA 指定设备名称、设备 ID、密码和下载间隔。有关如何执行这些任务的详细信息,请参阅 ISE 文档。 |
在 ISE 上创建安全组
在配置 ASA 以便与 ISE 通信时,需指定 AAA 服务器。在 ASA 上配置 AAA 服务器时,必须指定服务器组。必须配置安全组,使其使用 RADIUS 协议。要在 ISE 上创建安全组,请执行以下步骤:
过程
步骤 1 |
登录 ISE。 |
步骤 2 |
依次选择 Policy > Policy Elements > Results > Security Group Access > Security Group。 |
步骤 3 |
为 ASA 添加安全组。(安全组是全局性的,并非 ASA 特定的。) ISE 在 Security Groups 下创建带有标记的条目。 |
步骤 4 |
在 Security Group Access 区域,为 ASA 配置设备 ID 凭证和密码。 |
生成 PAC 文件
要生成 PAC 文件,请执行以下步骤。
![]() 注 |
PAC 文件包括允许 ASA 和 ISE 保护两者之间进行的 RADIUS 交易的共享密钥。因此,请确保将其安全地存储于 ASA 中。 |
过程
步骤 1 |
登录 ISE。 |
步骤 2 |
依次选择 Administration > Network Resources > Network Devices。 |
步骤 3 |
从设备列表中选择 ASA。 |
步骤 4 |
在 Security Group Access (SGA) 下方点击 Generate PAC。 |
步骤 5 |
要加密 PAC 文件,请输入密码。 为加密 PAC 文件而输入的密码(或加密密钥)独立于在 ISE 上被配置为设备凭证的一部分的密码。 ISE 生成 PAC 文件。ASA 可通过 TFTP、FTP、HTTP、HTTPS 或 SMB 从闪存或远程服务器导入 PAC 文件。(导入 PAC 文件之前,不必一定将其置于 ASA 闪存中。) |