ISE概述

ISE：一款网络准入控制的产品，主要功能还是控制你的PC能不能合法的接入到公司网络，同时，ISE也是一款AAA服务器。

一、概述

       随着企业网络的发展，网络接入方式和接入设备不断变化（从传统的PC机，到IP-Phone，IP摄像头，打印机、传真机，尤其是随着移动终端设备，如各种智能手机，功能和性能不断提升，已经从原来的可有可无，演变成为移动办公的重要工具，而且很多都是使用企业员工自带设备BYOD做办公使用），给企业网络安全带来了很大挑战。由于员工使用的设备丰富多样，BYOD成为趋势，要保障企业数据的安全需要采取更加全面、高效的安全策略。

注（名词解释）：

BYOD（Bring Your Own Device）指携带自己的设备办公，这些设备包括个人电脑、手机、平板等（而更多的情况指手机或平板这样的移动智能终端设备。）在机场、酒店、咖啡厅等，登录公司邮箱、在线办公系统，不受时间、地点、设备、人员、网络环境的限制，BYOD向人们展现了一个美好的未来办公场景。

二、功能支持：

       ISE支持多种终端设备，如Windows、MAC或者iPhone平板等智能终端设备。通过集成认证和授权服务，ISE可以实现对这些智能终端的全面控制，包括对设备进行信任、身份验证、权限分配、会话监控等。同时，ISE还提供了强大的策略管理功能，可以根据企业的需求和安全策略设置相应的访问规则，并能够及时响应各种安全威胁。

      当公司业务需要针对各种攻击进行保护。ISE就可以做准入，只有合规的设备才可接入网络。

什么叫准入？

  比如你是公司的合法用户，而且入了AD域的，而且拥有公司正式员工账号，那如果我们做的是802.1X，那好，只要你输对账号了，你就可接入公司网络，这个叫802.1X认证。但是准入的概念是：你账号输对了还不行，因为你的PC机或者你的智能终端还是有可能带有病毒或者木马，所以如果没有准入的话，你接入公司网络时就很有可能把木马和病毒带到公司网络里面来。

准入条件：是否合法的操作系统，是不是win10,不是win10不能接入网络。是不是打了安全补丁，是不是开了防火墙，你的病毒库有没有更新。

所以设置准入条件并不能帮你杀病毒，但是可以要求你必须装杀毒软件，必须定期更新杀毒软件的病毒库，而且必须要安装安全补丁，开启主机防火墙等等。只有你满足要求了，你才可能接入到网络，不然就会把你隔离再进行修复。

当然我们还可以通过ISE实现，手机一个策略，iPad一个策略，笔记本电脑一个策略等等。

（1）MAB认证：

       MAC认证旁路，也叫做静态MAC认证，使用MAC地址作为用户名和密码，只要ISE数据库有相应的账号就可以认证通过。

使用场景：MAB是一种最基本形式的认证，因为很多设备并不支持802.1x

--这些限制让基于MAC地址的认证相对于其他形式的认证，在安全性上比较薄弱，但却是设备认证很多的第一步。

--dot1x很强大，密文的，证书的等等，但是MAC地址可能存在被盗用。

设备不支持802.1X,只能退而求其次使用MAC地址认证。

认证方式（MAC地址作为用户名）：

       MAB使用PAP/ASCII或者可选的EAP-MD5来hash密码，Radius包是明文的，并且用户名也是MAC地址。

适用对象：没有办法做dot1x的设备（如电话--高端电话可以、摄像机、打印机），如想要认证，只能做MAB

场景一（无人值守终端）：不是所有接入到网络的设备都可以认证的。个人笔记本、智能终端都是可以认证的。但是在我们的网络中可能会有打印机，有电话，摄像头，打卡机这类设备。这些都是无人值守的，如何对这些设备做认证，给它推送相应的策略？这就依赖于ISE的设备识别功能，通过设备设备（探测机制：流量分析、主动扫描、客户端信息传递，如HTTP, RADIUS, DHCP及 DNS探测、CDP、LLDP等多种方式），可发现网络中的各类接入设备。

（2）PEAP准入：

通过联动AD域账号进行认证，授权。