1.ISE产品介绍

identity service engine(ise)

第一部分

ise产品介绍

ise不支持tacacs+

我们的网络安全策略需要发送改变

我们的业务需要针对各种工具提供保护

我们必须合规并且能够证明我们是合规的

我需要利用一些消费电子设备,来减少固定的桌面计算机开销

我需要对全球型企业提高it技术支持

ise为用户和设备定制策略

认证用户访问：

如何对网络访问进行权限限制

如何管理由于个人终端、只能终端而引入的风险

用户在办公地点、家里还是路上的不同权限

设备本身是否安全

访客访问：

如何限定访客只能访问互联网

如何管理访客访问

访客的访问时有线还是无线

如何监控访客的行为

无人值守终端：

如何发现无人值守终端

如何判断这些终端类型

如何控制这些终端的访问

他们被冒认

基于场景感知的策略

不同的应用场景

用户组识别

其他的使用条件

用户授权结果

ise提供全面的灵活的接入控制部署

多种服务包

可见性

灵活部署

访客

管理安全分组访问

系统监控与排错

ise授权

无线升级许可

对有线和vpn终端的策略扩展

无线无可

对无线终端的策略

5 yr term licensing

基于许可

对有线、无线和vpn终端的安全策略

永久许可

认证、授权

访客访问

链路加密策略

高级许可

对有线、无线和vpn终端的安全策略

3/5年许可

设备识别

主机安全检查

安全分组访问

硬件平台

小型3315/1121 | 中型 3355 | 大型3395 | 虚拟平台

在线准入控制虚拟机不支持,无线准入做不了,vpn准入做不了,主机的状态检查坐不了.

ise五大服务

1.身份认证与授权

2.终端安全检查

3.访客服务

4.设备探测

5.传输安全macsec与安全控制sga

服务一:认证与授权服务

1.802.1x

2.mac-authentication bypass(mab)

3.web/guest

服务二:安全评估服务

简单情景

1.文件检测

2.注册表检测

3.服务检测

4.应用检测

组合情景

1.正则表达式的组合

2.av组合

3.as组合

修复措施

1.链路修复

2.自动运行程序

3.文件下载

4.av/as特征更新

5.windows更新设置

6.wsus(微软升级补丁服务器)

ise集成自动升级的规则集

automated cisco rulesets

简化管理操作,支持超过350+厂家的应用软件

提供近30,000条预定义检查

服务三:访客服务

cisco实现访客生命周期管理,为业务伙伴、访客提供安全的internet访问

服务四:设备识别服务

profiler检查和分类设备类型

profiler设备识别需要高级许可

ise profiler概述

ise profiler是ise平台中负责终端类型识别与分类的一个功能组件

它通过一系列探测机制(sensor)来收集终端设备的属性特征,将这些属性与预先定义的终端类型文件比对,从而确认接入终端的类型:

ise profiler分为两个主要组件:

1.负责收集终端信息的各种探头

2.负责分类终端类型的策略引擎

a)对终端的分类结果将被用作认证授权策略的因子,从而影响该终端对网络资源的访问权限;

b)ise profiler功能需要advanced license,在无线环境下,只需要wireless license即可;

ipse profiling服务

对于移动设备侦测识别,推荐采用http,radius,dhcp及dns探测等多种方式的组合.

    探测方式                                       提供的信息

      radius                                          mac地址(oui)

       snmp                                   mac 地址(oui)设备类型

 dhcp and dns                缺省主机机(也可能包含有设备类型)

http user-agent                          详细的特定设备类型

ise的设备识别库

定义不同的设备策略

用户使用相同的ssid,eap认证后,可以关联到不同的vlan接口.

员工用公司的电脑,ad认证后,可以分配到vlan30=full network access

员工用个人的ipad/ipone,ad认证后,ad认证后,可以分配到vlan40=internet only

macsec介绍

基于安全分组的macsec安全保障

重要敏感流量,机密传输

数据不会被窃听、破坏和篡改

基于ieee802.1ae的hop to hop的加密

数据包在出口加密

数据包在入口解密

数据包在设备中明文传输

协议分析设备依然可以在交换机上使用

网络设备的准入

可信网络-网络设备准入(network device adminssion control)

双向设备准入认证(eap-past)

基于安全组的访问控制示例

sgacl允许独立于拓扑的访问控制:

1.当用户企图访问受限访问资源,其流量将在可信网络出口被处被阻止.

2.甚至当两个用户位于同一个vlan时,他们之间也不能相互访问,访问权限也可能不一样.

服务五:sga与macsec服务

创建sgt策略