ZDNet Solution系列之：思科NAC架构不简单

Cisco NAC Framework的组件都是什么?

知道了架构的大致工作方式，我们接下来逐一了解NAC框架的组件。以下就是组件和他们的功能介绍:

1.属性集Posture:这是试图接入网络的电脑所拥有的一系列凭证和属性的集合。包含了用户电脑的状态或健康程度，以及电脑上安装的程序信息。

2.思科可信代理Cisco Trusted Agent: Cisco Trusted Agent (CTA) 是Cisco NAC Framework的一个内部组件。CTA也被称作posture代理。 Cisco Trusted Agent其实是一个软件客户端，主要作用就是收集来自终端设备（NAD）上所安装的安全软件发来的状态信息。另外，它还会将接收到的“posture”（或者其它接收到的信息）传送给Cisco ACS Policy Server。
 
这里需要提一下，Cisco Trusted Agent只能与那些Cisco合作伙伴出品的NAC设备进行通信。目前市场上大概有50个厂商支持NAC。包括一线的补丁管理厂商，客户端安全产品厂商以及反病毒软件厂商。

3.网络接入设备Network Access Devices (NAD): NAD简单来讲就是PC机所连接的交换机。当然，它也有可能是路由器，VPN集线器，或者其它类似的网络接入设备。大部分厂商的交换机都支持Cisco NAC Framework。
 
4.AAA Policy Server: AAA策略服务器就是安全接入控制服务器Cisco Secure Access Control Server (ACS)。ACS服务器的主要功能是作为NAC部署的策略决策点。除此以外，Cisco Secure Access Control Server还评估用户的可信性以及网络终端的安全状态。
 
一般来说，Cisco Secure ACS Server会给Cisco接入设备发送每个用户的审核，包括可下载的访问控制列表。如果你没有使用Cisco的接入设备也不用担心，因为Cisco Secure Access Control Server还是会正常工作。

Cisco ACS Server是Cisco的一套应用程序，可以运行在Windows或Linux Server上。ACS servers的管理范围相当大，就算没有NAC，Cisco ACS系统也还是可以作为RADIUS中心或TACACS+服务器。一般情况下，Cisco Secure Access Control Server管理验证，审核以及对访问网络控制信息的用户进行验证。

Cisco Secure Access Control Server的最大优势是它给管理员提供了控制用户访问网络的权利。另外还可以针对不同的用户控制使用不同的网络服务。如果想记录所有网络用户的所有行为， Cisco Secure Access Control Server也可以轻松实现。

5.目录服务器Directory Servers: Directory Servers提供用户ID，审核特权以及将成员信息分组。

6.属性认证服务器Posture Validation Server:正如我们刚才提到的，Cisco Secure Access Control Server可以将试图接入的系统的状态数据传送给程序指定的状态确认服务器，这一般是第三方厂商提供的。Posture Validation Server会判断终端设备的相关状态是否达标。根据Posture Validation Server的评估，Cisco Secure Access Control Server会对用户访问网络的请求做出允许或者拒绝的处理。

7.补丁修复服务器Remediation Servers: 补丁修复服务器的作用是保持设备符合一致性要求。它的最大好处是可以像Web服务器一样支持软件直接下载。另外，补丁修复服务器还可以自动评估设备以及提供软件升级补丁。
 
总结
Cisco的NAC Framework是设计用来如何让多种硬件和软件组件协同工作，共同保护用户网络免受不良客户端侵害的一种架构。虽然整个框架使用起来不如Cisco NAC Appliance简单，但是却提供了包括很多第三方安全公司所提供的多种功能。因此，我们应该熟悉Cisco NAC Framework中的组件，包括可信代理 (Cisco Trust Agent), 安全接入控制服务器 (Cisco ACS Server), 网络接入设备(NAD)即Cisco交换机，以及补丁修复服务器（用户在这里获取防火墙，操作系统或者杀毒软件所需的升级补丁）。