Cisco Secure ACS认证系统.doc

Cisco Secure ACS认证系统 Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。思科NAC是思科系统公司?赞助的业界计划，使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略，进而防止病毒和蠕虫造成损失。通过NAC，客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等)，并可限制违规设备的访问。思科NAC是思科自防御网络计划的一部分，为在第二层和第三层网络上实现网络准入控制奠定了基础。我们计划进一步扩展端点和网络安全性的互操作性，以便将动态的事故抑制功能包含在内。这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。因此，用户可将受感染的系统与其他网络部分动态隔离开，从而大大减少病毒、蠕虫及混合攻击的传播。 AAA管理系统 Cisco Secure ACS是功能强大的访问控制服务器，为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。表1列出了Cisco Secure ACS的主要优势。 Cisco Secure ACS的主要优势 优势 说明 易用性 基于Web的用户界面可简化并分发用户资料、组资料和Cisco Secure ACS的配置。 可扩展性 Cisco Secure ACS可通过支持冗余服务器、远程数据库以及数据库复制和备份服务来支持大型网络环境。 可扩容性 轻型目录访问协议(LDAP)验证转发功能支持对著名目录供应商保存在目录中的用户资料进行验证，包括Sun、Novell和Microsoft等。 管理 Windows Active Directory支持结合了Windows用户名和密码管理功能，并使用Windows Performance Monitor来查看实时统计数据。 经营 为每个Cisco Secure ACS管理员分配不同的访问权限 — 以及对网络设备进行分组的能力— 可以更轻松地控制网络访问并最大限度地提高灵活性，从而方便地对网络中的所有设备执行并更改安全策略。 产品灵活性 Cisco IOS? 软件内嵌了对于AAA的支持，因此，Cisco Secure ACS几乎能在思科销售的任何网络接入服务器上使用(Cisco IOS软件版本必须支持RADIUS 或 TACACS+)。 集成 与Cisco IOS路由器和VPN解决方案紧密集成，提供了多机箱多链路点到点协议(PPP)和Cisco IOS软件命令授权等特性。 第三方支持 Cisco Secure ACS为提供满足RFC要求的RADIUS接口 (如RSA、 PassGo、安全计算、ActiveCard、Vasco 或 CryptoCard) 的所有OTP供应商提供令牌服务器支持。 控制 Cisco Secure ACS为一天中的时间点、网络使用、登录的会话数量和一周中每天的访问限制提供动态配额。 Cisco Secure ACS 4.0提供以下全新特性和优势： Cisco NAC 支持 — Cisco Secure ACS 4.0用作NAC部署中的策略决策点。使用可配置的策略，它能评估Cisco Trust Agent 提交的证书、决定主机状态、并向网络访问设备发送逐用户的授权信息：ACL、基于策略的ACL或专用的VLAN分配。评估主机证书可执行许多特定策略，如操作系统补丁级别和防病毒DAT文件版本等。Cisco Secure ACS记录策略评估结果以供监控系统使用。Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查，然后再决定是否准许它访问网络。您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。例如，防病毒供应商特定的证书可被转发至供应商的防病毒策略服务器，审查策略请求可被转发至审查供应商。 可扩展性改进 — Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS系统，将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。同时也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。 基于资料库的策略 — Cisco Secure ACS 4.0支持名为网络访问资料库的新特性，允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类，可将验证、访问控制和授权策略映射到特定的资料库中。例如，基于资料库的策略允许为无线访问与远程 (VPN)访问采用不同的访问策略。 扩展的复制组件 — Cisco Secure ACS 4.0 改进并增强了复制功能。管理员现已能够复制网络访问资