ISE概述
ISE概述
ISE:一款网络准入控制的产品,主要功能还是控制你的PC能不能合法的接入到公司网络,同时,ISE也是一款AAA服务器。
一、概述
随着企业网络的发展,网络接入方式和接入设备不断变化(从传统的PC机,到IP-Phone,IP摄像头,打印机、传真机,尤其是随着移动终端设备,如各种智能手机,功能和性能不断提升,已经从原来的可有可无,演变成为移动办公的重要工具,而且很多都是使用企业员工自带设备BYOD做办公使用),给企业网络安全带来了很大挑战。由于员工使用的设备丰富多样,BYOD成为趋势,要保障企业数据的安全需要采取更加全面、高效的安全策略。
注(名词解释):
BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备包括个人电脑、手机、平板等(而更多的情况指手机或平板这样的移动智能终端设备。)在机场、酒店、咖啡厅等,登录公司邮箱、在线办公系统,不受时间、地点、设备、人员、网络环境的限制,BYOD向人们展现了一个美好的未来办公场景。
二、功能支持:
ISE支持多种终端设备,如Windows、MAC或者iPhone平板等智能终端设备。通过集成认证和授权服务,ISE可以实现对这些智能终端的全面控制,包括对设备进行信任、身份验证、权限分配、会话监控等。同时,ISE还提供了强大的策略管理功能,可以根据企业的需求和安全策略设置相应的访问规则,并能够及时响应各种安全威胁。
当公司业务需要针对各种攻击进行保护。ISE就可以做准入,只有合规的设备才可接入网络。
什么叫准入?
比如你是公司的合法用户,而且入了AD域的,而且拥有公司正式员工账号,那如果我们做的是802.1X,那好,只要你输对账号了,你就可接入公司网络,这个叫802.1X认证。但是准入的概念是:你账号输对了还不行,因为你的PC机或者你的智能终端还是有可能带有病毒或者木马,所以如果没有准入的话,你接入公司网络时就很有可能把木马和病毒带到公司网络里面来。
准入条件:是否合法的操作系统,是不是win10,不是win10不能接入网络。是不是打了安全补丁,是不是开了防火墙,你的病毒库有没有更新。
所以设置准入条件并不能帮你杀病毒,但是可以要求你必须装杀毒软件,必须定期更新杀毒软件的病毒库,而且必须要安装安全补丁,开启主机防火墙等等。只有你满足要求了,你才可能接入到网络,不然就会把你隔离再进行修复。
当然我们还可以通过ISE实现,手机一个策略,iPad一个策略,笔记本电脑一个策略等等。
(1)MAB认证:
MAC认证旁路,也叫做静态MAC认证,使用MAC地址作为用户名和密码,只要ISE数据库有相应的账号就可以认证通过。
使用场景:MAB是一种最基本形式的认证,因为很多设备并不支持802.1x
--这些限制让基于MAC地址的认证相对于其他形式的认证,在安全性上比较薄弱,但却是设备认证很多的第一步。
--dot1x很强大,密文的,证书的等等,但是MAC地址可能存在被盗用。
设备不支持802.1X,只能退而求其次使用MAC地址认证。
认证方式(MAC地址作为用户名):
MAB使用PAP/ASCII或者可选的EAP-MD5来hash密码,Radius包是明文的,并且用户名也是MAC地址。
适用对象:没有办法做dot1x的设备(如电话--高端电话可以、摄像机、打印机),如想要认证,只能做MAB
场景一(无人值守终端):不是所有接入到网络的设备都可以认证的。个人笔记本、智能终端都是可以认证的。但是在我们的网络中可能会有打印机,有电话,摄像头,打卡机这类设备。这些都是无人值守的,如何对这些设备做认证,给它推送相应的策略?这就依赖于ISE的设备识别功能,通过设备设备(探测机制:流量分析、主动扫描、客户端信息传递,如HTTP, RADIUS, DHCP及 DNS探测、CDP、LLDP等多种方式),可发现网络中的各类接入设备。
(2)PEAP准入:
通过联动AD域账号进行认证,授权。
本课程主要包括以下内容:
基于虚拟化环境搭建ISE实验环境:讲解ISE的工作流程和核心功能,介绍如何在虚拟机上部署ISE环境和配置ISE节点,完成ISE实验环境的构建。
通过本课程的学习,学员将学习准入技术、虚拟化技术,并深入了解服务器与ESXI的关联关系,充分利用虚拟化环境,构建高效稳定的网络认证授权实验环境,有效提升网络安全保障能力。
实验环境:
公开笔记对他人可见,有机会被管理员评为“优质笔记”
{{ noteEditor.content.length }}/2000
讲师收到你的提问会尽快为你解答。若选择公开提问,可以获得更多学员的帮助。
课程大纲