圖1
2、 在線工作方式時(shí)的接入方式
在線工作方式是指NAC服務(wù)器將直接連接到網(wǎng)絡(luò)的數(shù)據(jù)鏈路當(dāng)中���,如圖1.2 所示�����,此時(shí)的NAC服務(wù)器最少需要二塊 100/1000Mbps以太網(wǎng)網(wǎng)卡��。在線工作方式的NAC服務(wù)器不僅承擔(dān)對(duì)整個(gè)內(nèi)部局域網(wǎng)中所有終端進(jìn)行監(jiān)控的任務(wù)��,還 得控制它們對(duì)連接在它后面的網(wǎng)絡(luò)服務(wù)器的訪問����。
此時(shí)��,如果硬件及網(wǎng)絡(luò)條件滿足NAC服務(wù)器的要求���,那么它將會(huì) 提供其完整的NAC功能����。但是,在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性���,而且還存在單點(diǎn)失敗 的問題�����。因此����,我們必需通過提高PC硬件性能來提高NAC服務(wù)器的處理速度��,通過同時(shí)運(yùn)行兩臺(tái)相同的NAC虛擬機(jī) 來提供冗余����,還可以為PC提供雙CPU,雙電源�����,以及RAID功能來保證NAC服務(wù)器的穩(wěn)定性和業(yè)務(wù)的可持續(xù)性��。但此時(shí)不能再 使用免費(fèi)的VMware軟件來運(yùn)行這些NAC虛擬機(jī)了�����,因?yàn)槊赓M(fèi)的VMware Player軟件并不提供冗余功能�����。另外�,這種方式會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的調(diào)整,如果不是有此必要��,可以優(yōu)先考慮使用被動(dòng)接入方式���,畢竟改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)所要承擔(dān)的風(fēng)險(xiǎn)和造成的業(yè)務(wù)影響要比被動(dòng)接入方式大得多�����。這也是我們使用軟件NAC來打造 網(wǎng)絡(luò)訪問控制服務(wù)器的初衷����。
圖2
二��、 軟件的安裝與配置
接下來的任務(wù)就完成所選擇的NAC軟件的安裝與配置��,這樣�����,我們自己動(dòng)手技術(shù)先進(jìn)的NAC服務(wù)器才具有真正的意 義。如 果我們選擇使用虛擬機(jī)文件來運(yùn)行這些NAC軟件���,那么�,安裝NAC軟件的過程將只是如何通過VMware虛擬機(jī)軟件 來 運(yùn)行它們的事情�����。在本文中��,我將以安裝和配置Safe Access Lite為例來說明NAC軟件的安裝和配置方法���,其它 兩個(gè)文件的安裝與配置與此軟件大致相同�,除了會(huì)在安裝配置Safe Access Lite軟件后會(huì)說明FreeNAC軟件在安裝 過程中的注意點(diǎn)外�,其它的就不再此做詳細(xì)的說明。為了能運(yùn)行這些NAC的VMware虛擬機(jī)文件���,我們除了可使用VMware相關(guān)商業(yè)軟件來運(yùn)行外���,也可以到 www.VMwareware.com/products/player下載免費(fèi)的VMware Player.exe 來運(yùn)行這些VMware虛擬機(jī)文件,它只提供對(duì) vmx為擴(kuò)展名的VMware虛擬機(jī)的運(yùn)行����,而不提供制作虛擬機(jī)等其它功 能���。下載回來后���,應(yīng)當(dāng)安裝到運(yùn)行NAC軟件的 系統(tǒng)中�����,以便下面能夠正常使用�����。1�����、Safe Access Lite軟件的基 本安裝與配置完成這些工作后����,就可以開始安裝Safe Access Lite�。說是安裝,其實(shí)并不如安裝其它軟件那樣進(jìn)行�����,由于我們 使用的是一個(gè)Safe Access Lite的VMware虛擬機(jī)文件,其中已經(jīng)包括了運(yùn)行它所必需的所有環(huán)境����,我們現(xiàn)在要做 的,就是通過解壓縮軟件將下載回來的Safe Access Lite的VMware虛擬機(jī)文件壓縮包解壓到一個(gè)文 件夾中��,例如 E:Safelite����,然后啟動(dòng)VMware Player軟件,單擊其主界面中的“Open”按鈕���,在打開的選擇文件 對(duì)話框中選擇 E:Safelite文件夾下的“Safe Access Lite.vmx”虛擬機(jī)文件���,確定選擇后就會(huì)啟動(dòng)Safe Access Lite虛擬機(jī)。當(dāng)出現(xiàn)如圖3.1所示的Safe Access Lite虛擬機(jī)字符終端登錄界面時(shí)�����,在“login”提示符下輸入 “root”�����,回車后就會(huì)出現(xiàn)提示輸入密碼的提示符,此時(shí)在“password”提示符下輸入Safe Access Lite 默認(rèn)的根密碼 “safeaccess”�����,按回車鍵后就可以登錄到Safe Access Lite虛擬機(jī)的字符終端����。
圖3
接下來�,我們就要通過下列所示的命令來完成與交換機(jī)相連的以太網(wǎng)網(wǎng)卡的網(wǎng)絡(luò)設(shè)置,以便接下來可以通過 WEB圖 形化界面更加直觀地完成安裝設(shè)置和管理它��。在本文中��,我通過輸入以下命令來設(shè)置NAC服務(wù)器網(wǎng)卡的IP地 址為 192.168.1.10�、子網(wǎng)掩碼為255.255.255.0及缺省網(wǎng)關(guān)為192.168.1.1: # network-settings.py 192.168.1.10 255.255.255.0 192.168.1.1 輸入以上命令并按回車鍵后,不一會(huì)兒就會(huì)完成網(wǎng)卡的基本設(shè)置��,并 回到根用戶提示符下?����,F(xiàn)在����,重新啟動(dòng)一次 Safe Access Lite虛擬機(jī)��,以便我們能夠使用剛才設(shè)置的IP地址���,通 過WEB方式繼續(xù)完成它的安裝設(shè)置。
2��、 通過WEB方式繼續(xù)完成Safe Access Lite的安裝設(shè)置現(xiàn)在�����,我們還必需使用WEB方式來進(jìn)一步設(shè)置Safe Access Lite��,才能完成它的整個(gè)安裝過程��。在與Safe Access Lite打造的NAC服務(wù)器相連的局域網(wǎng)內(nèi)任意選擇一 臺(tái)計(jì)算機(jī)����,運(yùn)行安裝在此主機(jī)系統(tǒng)上的WEB瀏覽器,在瀏覽器的 地址欄中輸入“https:// Safe Access Lite虛擬 機(jī)的IP地址”�����,在本文中�����,我輸入的是192.168.1.10,按回車鍵 后��,就會(huì)出現(xiàn)一個(gè)SSL連接的安全警告對(duì)話框��, 單擊此對(duì)話框中的“是”按鈕���,就會(huì)出現(xiàn)一個(gè)讓我們接受授權(quán)聲明 的界面����,在此界面中選擇“I Accept this license agreement”單項(xiàng)選擇按鈕�,然后單擊“Next”按鈕就可以進(jìn) 入下一個(gè)WEB設(shè)置界面�。接下來就會(huì)出現(xiàn)一 個(gè)如圖3.2所示的服務(wù)器管理設(shè)置界面。在此界面中的“Root password”文本框中輸入新設(shè)置 的根密碼��,以替換 系統(tǒng)默認(rèn)的根密碼�,然后在“Re-enter Root password”文本框中再輸入一次新設(shè)置的密碼。 在“data and time”區(qū)域中的“region”下拉框中選擇“asia”區(qū)域����,再在“time zone”下拉框中選擇 “shanghai”時(shí)區(qū)。 然后在“network settings”區(qū)域中的“host name”文本框中輸入NAC服務(wù)器主機(jī)名�����,例如 mynac,然后在其下 的“DNS IP address ”文本框中輸入主DNS服務(wù)器的IP地址��。如果我們不通過代理服務(wù)器方式 連接因特網(wǎng)����,那么 完成這些設(shè)置后,直接單擊此界面中的“Next”按鈕���,就會(huì)出現(xiàn)如圖3.3所示的輸入授權(quán)碼的界面�。
圖4
圖5
此時(shí)��,將在下載Safe Access Lite虛擬機(jī)文件時(shí)得到的授權(quán)碼復(fù)制后�,粘貼到此界面中的“License key”文本框 中,然后單擊此界面中的 “Next”按鈕就會(huì)進(jìn)入如圖6所示的創(chuàng)建管理員帳戶界面��。
圖6
在創(chuàng)建管理員帳戶界面中的 “user name”文本框中輸入要?jiǎng)?chuàng)建的管理員帳戶名稱����,在“password”文本框中 輸入密碼,在“re-enter password”文本框中重新輸入一次新建立的管理員密碼����。完成這些設(shè)置后,單擊此界面 中的“Finish”按鈕,就 可以完成Safe Access Lite所有的安裝設(shè)置���,然后就會(huì)進(jìn)入如圖7所示的Safe Access Lite WEB管理主界面���。
圖7
在Safe Access Lite WEB管理主界面的左邊,是進(jìn)行相應(yīng)設(shè)置的各個(gè)功能選項(xiàng)���,當(dāng)我們選擇某個(gè)選項(xiàng)后��,就可 以 出現(xiàn)相應(yīng)的管理設(shè)置界面��。其中“Endpoint activity”選項(xiàng)用來查看網(wǎng)絡(luò)中當(dāng)前存活終端的狀態(tài);“NAC Policies”選項(xiàng)中的內(nèi)容用來設(shè)置檢測(cè)終端的NAC安全策略;“System Configuration”選項(xiàng)中的內(nèi)容用來設(shè)置終 端檢測(cè)模式及其它內(nèi)容;“System Monitor”選項(xiàng)用來顯示NAC服務(wù)器的系統(tǒng)資源使用狀況;“Reports”選項(xiàng)用 來查看NAC服務(wù)器產(chǎn)生的各種報(bào)告�。
3�����、 Safe Access Lite NAC服務(wù)器的基本應(yīng)用
(1)���、選擇終端檢測(cè)模式 Safe Access Lite提供三種終端測(cè)試 模式,它們分別是: ActiveX plug-in檢測(cè)模式:使用此種模式不需要被檢測(cè)的終端安裝任何客戶端�����,所有的 Windows系統(tǒng)客戶端都支 持這種檢測(cè)模式,但非Windows系統(tǒng)不支持���。使用些種檢測(cè)方式不能在系統(tǒng)中禁用 ActiveX腳本的使用�,且IE安裝 設(shè)置也必需允許ActiveX腳本的運(yùn)行�����。如果需要與NAC服務(wù)器交互必需下載和安全 相應(yīng)的控件��。 NAC Agent檢測(cè)模式:此種檢測(cè)模式被所有的Windows系統(tǒng)所支持��,一些基于Linux內(nèi)核的系統(tǒng)也支 持此種檢測(cè)方式 �����,但需要在系統(tǒng)中安裝相應(yīng)的客戶端��。此種檢測(cè)模式可以重復(fù)進(jìn)行檢測(cè)����,并且可以自動(dòng)更新,如 果需要與NAC服務(wù) 器交互必需下載和安全相應(yīng)的控件���。 Agentless檢測(cè)模式:此種檢測(cè)模式只支持Windows系統(tǒng)���, 也不需要安裝客戶端��。但是終端系統(tǒng)上必需啟用了打印 機(jī)和文件共享功能�,還有��,如果計(jì)算機(jī)用戶不在一個(gè) Windows系統(tǒng)域中���,就必需指定此終端的位置標(biāo)識(shí)�����,同時(shí)����,使 用此種功能�,終端和服務(wù)器上都必需開放139和445 端口。設(shè)置終端檢測(cè)模式時(shí)�,我們可以在Safe Access Lite的WEB配置主界面,通過單擊“System configuration ”—— “ Testing methods”��,在出現(xiàn)的如圖8所示的選擇終端檢測(cè)模式的界面中�,選擇需要使用的三種終端 檢測(cè)方式 中的一種或全部�,默認(rèn)是三種方式全部使用���,完全設(shè)置后單擊“OK”按鈕就可以完成終端檢測(cè)方式的設(shè)置。
圖8
(2)����、設(shè)置NAC 檢測(cè)策略(NAC Policies)在Safe Access Lite的WEB配置主界面,單擊“NAC Policies”選項(xiàng)就可以打開如圖9所示的設(shè)置NAC 檢測(cè)策略界 面����。Safe Access Lite有三種級(jí)別的檢測(cè)策略:low security、medium security和High security���。 Safe Access Lite默認(rèn)low security作為基本的安全檢測(cè)級(jí)別�,此時(shí)�,一旦Safe Access Lite NAC服務(wù)器檢測(cè)到 終端系統(tǒng)中存在安全漏洞或沒有安裝相應(yīng)的系統(tǒng)補(bǔ)丁,那么就只允許它臨時(shí)接入七天;如果檢測(cè)到終端系統(tǒng)上存 在任何的病毒或木馬�,那么就會(huì)禁止其訪問網(wǎng)絡(luò)。當(dāng)然�,只有使用其商業(yè)版本才能進(jìn)行具體的阻止動(dòng)作,免費(fèi)版 只能以一個(gè)橫杠的紅色圖標(biāo)來顯示不安全終端的狀態(tài)�。
圖9
(3)、配置Agentless測(cè)試模式 在Safe Access Lite的WEB管理主界面���,單擊“System configuration”——“Agentless credentials”打開代 理標(biāo)識(shí)界面����,在此界面中單擊“Add Windows administrator credentials”,就會(huì)進(jìn)入如圖10所示的添加管理 標(biāo)識(shí)(add administrator credentials)界面�����。在此界面中的“Windows domain name”文本框中輸入Windows域 名或工作組名(如workgroup)�,在“Administrator user ID”文本框中輸入登錄此主機(jī)的管理員帳戶,在 “Administrator password”文本框中輸入管理員密碼���,在“Re-enter password”文本框中再輸入一次密碼�����,然后單擊“OK”按鈕完成添加��。
圖10
(4)��、查看終端狀態(tài)在Safe Access Lite的WEB管理主界面�,單擊“Endpoint activity”就可以打開如圖11所示的終端狀態(tài)界面����。在 此界面 中,會(huì)將安全的終端以綠色的向上箭頭表示��,對(duì)隔離的不安全終端�,會(huì)以紅色的帶有橫杠的禁止通行圖標(biāo) 表示,對(duì)于不能檢測(cè)的終端設(shè)備����,將顯示為unknown設(shè)備。我們可以在此界面中單擊任何一臺(tái)顯示出來的終端設(shè)備 ����,來了解它的詳細(xì)信息,如圖11���、12所示�����。
圖11
圖12
到這里�,這臺(tái)由我們自己動(dòng)手打造的Safe Access Lite NAC服務(wù)器就可以開始正常工作�,唯一不足的是它不能對(duì) 安全的終端做出相應(yīng)的阻止行為,如果用戶需要���,可以使用它的商業(yè)版本���,也可以使用其它另外兩個(gè)開源免費(fèi)的 NAC軟件����。 PacketFence zen 軟件的安裝說明在51CTO網(wǎng)站上可以查閱到�����,就不再在此文再做詳細(xì)說明���。對(duì)于FreeNAC軟件����,由于它要求使用可 網(wǎng)管交換機(jī)�,而我手上沒有這要的實(shí)驗(yàn)條件,所以不能親自對(duì)它進(jìn)行安裝和應(yīng)用實(shí)驗(yàn)�,所以也不在此做詳細(xì)說明 。如果大家對(duì)它們有興趣�����,而且英文比較好��,可以去它們的網(wǎng)站查閱其具體的安裝說明��。其實(shí),這些NAC軟件的 安裝都很簡單���,尤其是直接使用它們的VMware虛擬機(jī)文件時(shí)�,所有的安裝工作都差不多���,因此,了解其中任何一種NAC軟件的安裝和配置��,再加上它們的說明文檔���,就算我們對(duì)Linux系統(tǒng)沒有半點(diǎn)了解��,只要按照 本文所述的方 法準(zhǔn)備硬件平臺(tái)和考慮接入方式�����,所有的系統(tǒng)和網(wǎng)絡(luò)管理員都可以輕松地完成它們安裝和部署�����。從上面的安裝和 配置來看��,雖然使用開源的NAC軟件來打造網(wǎng)絡(luò)訪問控制服務(wù)器能節(jié)省資金和時(shí)間�����,減化NAC設(shè)備 的部署�,但是, 動(dòng)手打造一臺(tái)NAC服務(wù)器也并不像筆者前面介紹的動(dòng)手打造路由防火墻這么輕松����,使用者必需有一 定的系統(tǒng)和網(wǎng) 絡(luò)知識(shí),以及NAC部署知識(shí)�。從這點(diǎn)來說,自己動(dòng)手打造NAC服務(wù)器�����,適合于一些具有創(chuàng)新精神的系 統(tǒng)����、網(wǎng)絡(luò)或安全管理員來進(jìn)行,這樣不僅能幫助企業(yè)得到一個(gè)高性能的NAC服務(wù)器����,而且能在打造過程中學(xué)習(xí)到許 多應(yīng)用NAC的知識(shí)。
