Cisco Secure ACS认证系统

1.1.1 Cisco Secure ACS认证系统
Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。

思科NAC是思科系统公司®赞助的业界计划，使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略，进而防止病毒和蠕虫造成损失。

通过NAC，客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等)，并可限制违规设备的访问。

思科NAC是思科自防御网络计划的一部分，为在第二层和第三层网络上实现网络准入控制奠定了基础。

我们计划进一步扩展端点和网络安全性的互操作性，以便将动态的事故抑制功能包含在内。

这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。

因此，用户可将受感染的系统与其他网络部分动态隔离开，从而大大减少病毒、蠕虫及混合攻击的传播。

AAA管理系统
Cisco Secure ACS是功能强大的访问控制服务器，为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。

表1列出了Cisco Secure ACS的主要优势。

Cisco Secure ACS的主要优势
Cisco Secure ACS 4.0提供以下全新特性和优势：
Cisco NAC 支持— Cisco Secure ACS 4.0用作NAC部署中的策略决策点。

使用可配置的策略，它能评估Cisco Trust Agent 提交的证书、决定主机状态、并向网络访问设备发送逐用户的授权信息：ACL、基于策略的ACL或专用的VLAN分配。

评估主机证书可执行许多特定策略，如操作系统补丁级别和防病毒DAT文件版本等。

Cisco Secure ACS记录策略评估结果以供监控系统使用。

Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查，然后再决定是否准许它访问网络。

您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。

例如，防病毒供应商特定的证书可被转发至供应商的防病毒策略服务器，审查策略请求可被转发至审查供应商。

可扩展性改进— Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS 系统，将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。

同时也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。

基于资料库的策略— Cisco Secure ACS 4.0支持名为网络访问资料库的新
特性，允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类，可将验证、访问控制和授权策略映射到特定的资料库中。

例如，基于资料库的策略允许为无线访问与远程 (VPN)访问采用不同的访问策略。

扩展的复制组件— Cisco Secure ACS 4.0 改进并增强了复制功能。

管理员现已能够复制网络访问资料库和所有相关的配置，包括状态验证设置、AAA 客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享资料库组件和其他登录属性。

EAP- FAST增强支持— EAP-FAST是思科开发的可供公开访问的新型IEEE 802.1x EAP，用于支持无法执行强大的密码策略或希望部署无需数字证书的802.1x EAP的客户。

它支持各类用户和密码数据库并支持密码到期和变更机制，是易于部署、易于管理的灵活EAP。

例如，未实施强大的密码策略且不希望使用证书的客户可移植到EAP-FAST以防词典攻击。

Cisco Secure ACS 4.0在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。

可下载的IP ACL — Cisco Secure ACS 4.0将每用户的ACL支持扩展到了支持这个特性的所有第三层网络设备，包括Cisco PIX® 安全产品、思科VPN解决方案和Cisco IOS路由器。

您可定义每用户或每用户群应用的一系列ACL。

这个特性允许执行适当的ACL策略，藉此补充了NAC支持。

当与网络访问过滤器一起使用时，您可通过不同方式每设备的应用可下载的ACL，从而每用户或每访问设备的定制ACL。

认证撤销列表(CRL)比较— Cisco Secure ACS 4.0 使用X.509 CRL资料库支持证书撤销机制。

CRL是记录已撤销证书的加盖时间标记的列表，由证书授权机构或CRL发放人签字并免费提交到公共信息库中。

Cisco Secure ACS
4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL，并保存它们以便在
EAP传输层安全性(EAP-TLS)验证中使用。

如果用户在EAP-TLS验证期间提供
的证书位于已检索的CRL中，将无法通过Cisco Secure ACS验证，Cisco Secure ACS将拒绝用户访问网络。

这个功能对组织变更频繁的客户来说非常重要，可防止宝贵的网络资产遭到欺骗性的使用。

设备访问限制—作为Windows设备验证的增强特性，Cisco Secure ACS 4.0提供设备访问限制功能。

当打开Windows设备验证功能时，您可使用设备访问限制机制来控制EAP-TLS授权，以及通过Windows外部用户数据库验证的Microsoft受保护的可扩展身份验证协议(PEAP)的用户。

如果用户用于访问网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证，您可根据需要为用户配置访问权限限制。

您也可选择拒绝用户访问网络。

网络访问过滤器(NAF) — Cisco Secure ACS 4.0包括NAF，作为新型的共享资料库组件。

NAF为在网络设备名、网络设备组或其IP地址上应用网络访问控制及可下载的ACL提供了灵活的方法。

根据IP地址应用的NAF可使用IP地址范围和通配符。

这个特性提供精确的应用网络访问限制及可下载的ACL，而在以前，所有设备只能应用相同的访问限制或ACL。

NAF允许定义灵活的网络设备限制策略，满足大型环境中最常见的要求。

思科硬件设备的其他支持— Cisco Secure ACS 4.0 支持思科无线局域网控制器和思科自适应安全产品。