Cisco_Secure_ACS认证系统

的所有设备执行并更改安全策略。 产品灵活 性 Cisco IOS 软件内嵌了对于AAA的支持，因此，Cisco Secure ACS几乎能在思科销售 的任何网络接入服务器上使用(Cisco IOS软件版本必须支持RADIUS 或 TACACS+)。
®
集成
与Cisco IOS路由器和VPN解决方案紧密集成，提供了多机箱多链路点到点协议(PPP) 和Cisco IOS软件命令授权等特性。
� EAP- FAST增强支持 — EAP-FAST是思科开发的可供公开访问的新型IEEE 802.1x EAP，用于支持无法执行强大的密码策略或希望部署无需数字证书的 802.1x EAP的客户。它支持各类用户和密码数据库并支持密码到期和变更机 制，是易于部署、易于管理的灵活EAP。例如，未实施强大的密码策略且不 希望使用证书的客户可移植到EAP-FAST以防词典攻击。 Cisco Secure ACS 4.0 在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。
� 认证撤销列表(CRL)比较 — Cisco Secure ACS 4.0 使用X.509 CRL资料库 支持证书撤销机制。CRL是记录已撤销证书的加盖时间标记的列表，由证书 授权机构或CRL发放人签字并免费提交到公共信息库中。Cisco Secure ACS 4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL，并保存它们以便在 EAP传输层安全性(EAP-TLS)验证中使用。如果用户在EAP-TLS验证期间提供
1.1.1
Cisco Secure ACS 认证系统
Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。思科NAC是思科系 统公司®赞助的业界计划，使用网络基础设施迫使企图访问网络计算资源的所有 设备遵守安全策略，进而防止病毒和蠕虫造成损失。通过NAC，客户只允许遵守 安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等)，并可限 制违规设备的访问。思科NAC是思科自防御网络计划的一部分，为在第二层和第 三层网络上实现网络准入控制奠定了基础。 我们计划进一步扩展端点和网络安全 性的互操作性，以便将动态的事故抑制功能包含在内。这个创新将允许遵守安全 策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。因 此，用户可将受感染的系统与其他网络部分动态隔离开，从而大大减少病毒、 蠕 虫及混合攻击的传播。
Cisco Secure ACS 4.0提供以下全新特性和优势：
� Cisco NAC 支持 — Cisco Secure ACS 4.0用作NAC部署中的策略决策点。 使用可配置的策略，它能评估Cisco Trust Agent 提交的证书、决定主机状 态、并向网络访问设备发送逐用户的授权信息：ACL、基于策略的ACL或专用 的VLAN分配。评估主机证书可执行许多特定策略，如操作系统补丁级别和防 病毒DAT文件版本等。Cisco Secure ACS记录策略评估结果以供监控系统使 用。Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技 术的主机进行审查，然后再决定是否准许它访问网络。您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。 例如，防病毒供应商特定的证书可被转发至供应商的防病毒策略服务器，审 查策略请求可被转发至审查供应商。
AAA管理系统 Cisco Secure ACS是功能强大的访问控制服务器，为正在增加其WAN或LAN连接的 机构提供了许多高性能和可扩展性特性。表1列出了Cisco Secure ACS的主要优 势。 Cisco Secure ACS的主要优势
优势 易用性 可扩展性 说明 基于Web的用户界面可简化并分发用户资料、组资料和Cisco Secure ACS的配置。 Cisco Secure ACS可通过支持冗余服务器、远程数据库以及数据库复制和备份服务来 支持大型网络环境。 可扩容性 轻型目录访问协议(LDAP)验证转发功能支持对著名目录供应商保存在目录中的用户 资料进行验证，包括Sun、Novell和Microsoft等。 管理 Windows Active Directory支 持 结 合 了Windows 用 户 名 和 密 码 管 理 功 能 ， 并 使 用 Windows Performance Monitor来查看实时统计数据。 经营 为每个Cisco Secure ACS管理员分配不同的访问权限 — 以及对网络设备进行分组的 能力— 可以更轻松地控制网络访问并最大限度地提高灵活性，从而方便地对网络中
� 可下载的IP ACL — Cisco Secure ACS 4.0将每用户的ACL支持扩展到了支 持这个特性的所有第三层网络设备，包括Cisco PIX® 安全产品、思科VPN解 决方案和Cisco IOS路由器。您可定义每用户或每用户群应用的一系列ACL。 这个特性允许执行适当的ACL策略，藉此补充了NAC支持。当与网络访问过滤 器一起使用时，您可通过不同方式每设备的应用可下载的ACL，从而每用户 或每访问设备的定制ACL。
特性，允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网 络设备发送的其他特定的RADIUS属性值对访问请求进行分类，可将验证、访 问控制和授权策略映射到特定的资料库中。例如，基于资料库的策略允许为 无线访问与远程 (VPN)访问采用不同的访问策略。
� 扩展的复制组件 — Cisco Secure ACS 4.0 改进并增强了复制功能。管理 员现已能够复制网络访问资料库和所有相关的配置， 包括状态验证设置、 AAA 客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享 资料库组件和其他登录属性。
� 网络访问过滤器(NAF) — Cisco Secure ACS 4.0包括NAF，作为新型的共享 资料库组件。NAF为在网络设备名、网络设备组或其IP地址上应用网络访问 控制及可下载的ACL提供了灵活的方法。根据IP地址应用的NAF可使用IP地址 范围和通配符。这个特性提供精确的应用网络访问限制及可下载的ACL，而 在以前，所有设备只能应用相同的访问限制或ACL。NAF允许定义灵活的网络 设备限制策略，满足大型环境中最常见的要求。
的证书位于已检索的CRL中， 将无法通过Cisco Secure ACS验证， Cisco Secure ACS将拒绝用户访问网络。这个功能对组织变更频繁的客户来说非常重要， 可防止宝贵的网络资产遭到欺骗性的使用。
� 设备访问限制 — 作为Windows设备验证的增强特性，Cisco Secure ACS 4.0 提供设备访问限制功能。当打开Windows设备验证功能时，您可使用设备访 问限制机制来控制EAP-TLS授权，以及通过Windows外部用户数据库验证的 Microsoft受保护的可扩展身份验证协议(PEAP)的用户。如果用户用于访问 网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证， 您可根据需要为用户配置访问权限限制。您也可选择拒绝用户访问网络。
� 思科硬件设备的其他支持 — Cisco Secure ACS 4.0 支持思科无线局域网 控制器和思科自适应安全产品。
� 可扩展性改进 — Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS 系统，将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。同时 也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。
� 基于资料库的策略 — Cisco Secure ACS 4.0支持名为网络访问资料co Secure ACS为提供满足RFC要求的RADIUS接口 (如RSA、 PassGo、安全计算、 ActiveCard、Vasco 或 CryptoCard) 的所有OTP供应商提供令牌服务器支持。 Cisco Secure ACS为一天中的时间点、网络使用、登录的会话数量和一周中每天的访 问限制提供动态配额。