思科ACS网络设备安全管理方案样本.doc

思科ACS网络设备安全管理方案

一、网络设备安全管理需求概述

就北京中行网络布局来看，网络基础设施现包含几百个网络设备。在网络上支撑业务日益关键，对网络安全和可靠性要求更为严格。

能够估计是，大型网络管理需要多个网络管理工具协调工作，不一样网络管理协议、工具和技术将各尽其力，同时发挥着应有作用。比如：对于Telnet网络管理手段。有些人可能会认为，以后这些传统设备管理手段，会降低使用甚或完全消失。但实际上，Telnet命令行设备管理仍因其速度、强大功效、熟悉程度和方便性而广受欢迎。尽管其它网络设备管理方法中有优异之处，基于Telnet管理在未来仍然会是一个常见管理方法。

伴随BOC网络设备数量增加，为维持网络运作所需管理员数目也会随之增加。这些管理员隶属于不一样等级部门，系统管理员结构也比较复杂。网络管理部门现在开始了解，假如没有一个机制来建立整体网络管理系统，以控制哪些管理员能对哪些设备实施哪些命令，网络基础设施安全性和可靠性问题是无法避免。

二、设备安全管了处理之道

建立网络设备安全管理首要出发点是定义和计划设备管理范围,从这一点我门又能够发觉，网络设备安全管理关键是定义设备操作和管理权限。对于新增加管理员，我们并不需要对个体用户进行权限分配，而是经过分配到对应组中，继承用户组权限定义。

经过上面例子，我们能够发觉网络安全管理关键问题就是定义以下三个概念：设备组、命令组和用户组。设备组计划了设备管理范围；命令组制订了操作权限；用户组定义了管理员集合。依据BOC设备管理计划，将它们组合在一起，组成BOC所需要设备安全管理结构。

安全设备管理包含身份验证Authentication、授权Authorization和记帐Accounting三个方面内容。比如：管理员需要经过远程Login或是当地Login到目标设备，能否进入到设备上，首先要经过严格身份认证；经过身份验证管理员能否实施对应命令，要经过检验该管理员操作权限；管理员在设备上操作过程，能够经过记帐方法统计在案。

AAA应用大大简化了大型网络复杂安全管理问题，提升了设备集中控制强度。现在AAA在企业网络中越来越成为网络管理人员不可缺乏网络管理工具。

CiscoSecureACS3.1以后版本提供Shell壳式授权命令集提供工具可使用思科设备支持高效、熟悉TCP/IP协议及实用程序，来构建可扩展网络设备安全管理系统。

三、CiscoACS帮助BOC实现设备安全管理

熟悉CiscoIOS用户知道，在IOS软件中，定义了16个等级权限，即从0到15。在缺省配置下，首次连接到设备命令行后，用户特权等级就设置为1。为改变缺省特权等级，您必需运行enable启用命令，提供用户enablepassword和请求新特权等级。假如口令正确，即可授予新特权等级。请注意可能会针对设备上每个权利等级而实施命令被当地存放于那一设备配置中。超级管理员能够在事先每台设备上定义新操作命令权限。比如：可修改这些等级并定义新等级，图1所表示。

图1启用命令特权等级示例

当值班管理员enable10以后，该管理员仅仅拥有在等级10要求之下授权命令集合，其能够实施clearline、debugPPP等命令。这种方法是“分散”特权等级授权控制。这种应用方法要求在全部设备全部要实施类似一样配置，这么同一个管理员才拥有一样设备操作权限，这显然会增加超级管理员工作负担。

为处理这种设备安全管理不足，CiscoACS提出了可扩展管理方法---“集中”特权等级授权控制，CiscoACS经过启用TACACS＋，就可从中央位置提供特权等级授权控制。TACACS＋服务器通常许可各不一样管理员有自己启用口令并取得特定特权等级。

下面探讨怎样利用CiscoACS实现设备组、命令集、用户组定义和关联。

3.1设备组定义

依据北京行网络结构，我们试定义以下设备组：

(待定)交换机组---包含总行大楼楼层交换机Cisco65/45；

试定义以下设备组：

(待定)交换机组---CiscoCatalyst6500或Catalyst4xxx

(待定)网络设备组---Cisco2811

3.2Shell授权命令集(ShellAuthorizationCommandSets)定义

壳式授权命令集可实现命令授权共享，即不一样用户或组共享相同命令集。图2所表示，CiscoSecureACS图形用户界面（GUI）可独立定义命令授权集。

图2壳式命令授权集GUI

命令集会被给予一个名称，此名称可用于用户或组设置命令集。

基于职责授权(Role-basedAuthorization)

命令集可被了解为职责定义。实际上它定义授予命令并由此定义可能采取任务类型。假如命令集围绕BOC内部不一样网络管理职责定义