圖1
2、 在線工作方式時(shí)的接入方式
在線工作方式是指NAC服務(wù)器將直接連接到網(wǎng)絡(luò)的數(shù)據(jù)鏈路當(dāng)中�,如圖1.2 所示����,此時(shí)的NAC服務(wù)器最少需要二塊 100/1000Mbps以太網(wǎng)網(wǎng)卡����。在線工作方式的NAC服務(wù)器不僅承擔(dān)對(duì)整個(gè)內(nèi)部局域網(wǎng)中所有終端進(jìn)行監(jiān)控的任務(wù)��,還 得控制它們對(duì)連接在它后面的網(wǎng)絡(luò)服務(wù)器的訪問����。
此時(shí)����,如果硬件及網(wǎng)絡(luò)條件滿足NAC服務(wù)器的要求�����,那么它將會(huì) 提供其完整的NAC功能�。但是,在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性��,而且還存在單點(diǎn)失敗 的問題��。因此�,我們必需通過提高PC硬件性能來提高NAC服務(wù)器的處理速度,通過同時(shí)運(yùn)行兩臺(tái)相同的NAC虛擬機(jī) 來提供冗余�,還可以為PC提供雙CPU,雙電源���,以及RAID功能來保證NAC服務(wù)器的穩(wěn)定性和業(yè)務(wù)的可持續(xù)性����。但此時(shí)不能再 使用免費(fèi)的VMware軟件來運(yùn)行這些NAC虛擬機(jī)了�,因?yàn)槊赓M(fèi)的VMware Player軟件并不提供冗余功能。另外��,這種方式會(huì)對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)做出相應(yīng)的調(diào)整,如果不是有此必要��,可以優(yōu)先考慮使用被動(dòng)接入方式�,畢竟改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)所要承擔(dān)的風(fēng)險(xiǎn)和造成的業(yè)務(wù)影響要比被動(dòng)接入方式大得多。這也是我們使用軟件NAC來打造 網(wǎng)絡(luò)訪問控制服務(wù)器的初衷����。
圖2
二、 軟件的安裝與配置
接下來的任務(wù)就完成所選擇的NAC軟件的安裝與配置���,這樣����,我們自己動(dòng)手技術(shù)先進(jìn)的NAC服務(wù)器才具有真正的意 義���。如 果我們選擇使用虛擬機(jī)文件來運(yùn)行這些NAC軟件,那么���,安裝NAC軟件的過程將只是如何通過VMware虛擬機(jī)軟件 來 運(yùn)行它們的事情���。在本文中,我將以安裝和配置Safe Access Lite為例來說明NAC軟件的安裝和配置方法��,其它 兩個(gè)文件的安裝與配置與此軟件大致相同,除了會(huì)在安裝配置Safe Access Lite軟件后會(huì)說明FreeNAC軟件在安裝 過程中的注意點(diǎn)外�,其它的就不再此做詳細(xì)的說明。為了能運(yùn)行這些NAC的VMware虛擬機(jī)文件�����,我們除了可使用VMware相關(guān)商業(yè)軟件來運(yùn)行外�����,也可以到 www.VMwareware.com/products/player下載免費(fèi)的VMware Player.exe 來運(yùn)行這些VMware虛擬機(jī)文件�����,它只提供對(duì) vmx為擴(kuò)展名的VMware虛擬機(jī)的運(yùn)行����,而不提供制作虛擬機(jī)等其它功 能。下載回來后����,應(yīng)當(dāng)安裝到運(yùn)行NAC軟件的 系統(tǒng)中,以便下面能夠正常使用��。1、Safe Access Lite軟件的基 本安裝與配置完成這些工作后���,就可以開始安裝Safe Access Lite�����。說是安裝�����,其實(shí)并不如安裝其它軟件那樣進(jìn)行����,由于我們 使用的是一個(gè)Safe Access Lite的VMware虛擬機(jī)文件���,其中已經(jīng)包括了運(yùn)行它所必需的所有環(huán)境�,我們現(xiàn)在要做 的�����,就是通過解壓縮軟件將下載回來的Safe Access Lite的VMware虛擬機(jī)文件壓縮包解壓到一個(gè)文 件夾中���,例如 E:Safelite,然后啟動(dòng)VMware Player軟件,單擊其主界面中的“Open”按鈕�����,在打開的選擇文件 對(duì)話框中選擇 E:Safelite文件夾下的“Safe Access Lite.vmx”虛擬機(jī)文件��,確定選擇后就會(huì)啟動(dòng)Safe Access Lite虛擬機(jī)��。當(dāng)出現(xiàn)如圖3.1所示的Safe Access Lite虛擬機(jī)字符終端登錄界面時(shí)��,在“login”提示符下輸入 “root”����,回車后就會(huì)出現(xiàn)提示輸入密碼的提示符,此時(shí)在“password”提示符下輸入Safe Access Lite 默認(rèn)的根密碼 “safeaccess”��,按回車鍵后就可以登錄到Safe Access Lite虛擬機(jī)的字符終端����。
圖3
接下來,我們就要通過下列所示的命令來完成與交換機(jī)相連的以太網(wǎng)網(wǎng)卡的網(wǎng)絡(luò)設(shè)置�����,以便接下來可以通過 WEB圖 形化界面更加直觀地完成安裝設(shè)置和管理它�����。在本文中,我通過輸入以下命令來設(shè)置NAC服務(wù)器網(wǎng)卡的IP地 址為 192.168.1.10�����、子網(wǎng)掩碼為255.255.255.0及缺省網(wǎng)關(guān)為192.168.1.1: # network-settings.py 192.168.1.10 255.255.255.0 192.168.1.1 輸入以上命令并按回車鍵后����,不一會(huì)兒就會(huì)完成網(wǎng)卡的基本設(shè)置,并 回到根用戶提示符下?��,F(xiàn)在�����,重新啟動(dòng)一次 Safe Access Lite虛擬機(jī)�����,以便我們能夠使用剛才設(shè)置的IP地址��,通 過WEB方式繼續(xù)完成它的安裝設(shè)置���。
2、 通過WEB方式繼續(xù)完成Safe Access Lite的安裝設(shè)置現(xiàn)在����,我們還必需使用WEB方式來進(jìn)一步設(shè)置Safe Access Lite,才能完成它的整個(gè)安裝過程���。在與Safe Access Lite打造的NAC服務(wù)器相連的局域網(wǎng)內(nèi)任意選擇一 臺(tái)計(jì)算機(jī)�,運(yùn)行安裝在此主機(jī)系統(tǒng)上的WEB瀏覽器���,在瀏覽器的 地址欄中輸入“https:// Safe Access Lite虛擬 機(jī)的IP地址”��,在本文中�����,我輸入的是192.168.1.10�,按回車鍵 后��,就會(huì)出現(xiàn)一個(gè)SSL連接的安全警告對(duì)話框�����, 單擊此對(duì)話框中的“是”按鈕�,就會(huì)出現(xiàn)一個(gè)讓我們接受授權(quán)聲明 的界面�����,在此界面中選擇“I Accept this license agreement”單項(xiàng)選擇按鈕����,然后單擊“Next”按鈕就可以進(jìn) 入下一個(gè)WEB設(shè)置界面���。接下來就會(huì)出現(xiàn)一 個(gè)如圖3.2所示的服務(wù)器管理設(shè)置界面��。在此界面中的“Root password”文本框中輸入新設(shè)置 的根密碼�,以替換 系統(tǒng)默認(rèn)的根密碼�,然后在“Re-enter Root password”文本框中再輸入一次新設(shè)置的密碼。 在“data and time”區(qū)域中的“region”下拉框中選擇“asia”區(qū)域����,再在“time zone”下拉框中選擇 “shanghai”時(shí)區(qū)。 然后在“network settings”區(qū)域中的“host name”文本框中輸入NAC服務(wù)器主機(jī)名�,例如 mynac,然后在其下 的“DNS IP address ”文本框中輸入主DNS服務(wù)器的IP地址����。如果我們不通過代理服務(wù)器方式 連接因特網(wǎng),那么 完成這些設(shè)置后����,直接單擊此界面中的“Next”按鈕�����,就會(huì)出現(xiàn)如圖3.3所示的輸入授權(quán)碼的界面。
圖4
圖5
此時(shí)����,將在下載Safe Access Lite虛擬機(jī)文件時(shí)得到的授權(quán)碼復(fù)制后,粘貼到此界面中的“License key”文本框 中����,然后單擊此界面中的 “Next”按鈕就會(huì)進(jìn)入如圖6所示的創(chuàng)建管理員帳戶界面。
圖6
在創(chuàng)建管理員帳戶界面中的 “user name”文本框中輸入要?jiǎng)?chuàng)建的管理員帳戶名稱����,在“password”文本框中 輸入密碼,在“re-enter password”文本框中重新輸入一次新建立的管理員密碼��。完成這些設(shè)置后�����,單擊此界面 中的“Finish”按鈕�,就 可以完成Safe Access Lite所有的安裝設(shè)置����,然后就會(huì)進(jìn)入如圖7所示的Safe Access Lite WEB管理主界面�����。
圖7
在Safe Access Lite WEB管理主界面的左邊���,是進(jìn)行相應(yīng)設(shè)置的各個(gè)功能選項(xiàng)����,當(dāng)我們選擇某個(gè)選項(xiàng)后��,就可 以 出現(xiàn)相應(yīng)的管理設(shè)置界面�。其中“Endpoint activity”選項(xiàng)用來查看網(wǎng)絡(luò)中當(dāng)前存活終端的狀態(tài);“NAC Policies”選項(xiàng)中的內(nèi)容用來設(shè)置檢測(cè)終端的NAC安全策略;“System Configuration”選項(xiàng)中的內(nèi)容用來設(shè)置終 端檢測(cè)模式及其它內(nèi)容;“System Monitor”選項(xiàng)用來顯示NAC服務(wù)器的系統(tǒng)資源使用狀況;“Reports”選項(xiàng)用 來查看NAC服務(wù)器產(chǎn)生的各種報(bào)告。
3�、 Safe Access Lite NAC服務(wù)器的基本應(yīng)用
(1)、選擇終端檢測(cè)模式 Safe Access Lite提供三種終端測(cè)試 模式��,它們分別是: ActiveX plug-in檢測(cè)模式:使用此種模式不需要被檢測(cè)的終端安裝任何客戶端��,所有的 Windows系統(tǒng)客戶端都支 持這種檢測(cè)模式����,但非Windows系統(tǒng)不支持����。使用些種檢測(cè)方式不能在系統(tǒng)中禁用 ActiveX腳本的使用����,且IE安裝 設(shè)置也必需允許ActiveX腳本的運(yùn)行。如果需要與NAC服務(wù)器交互必需下載和安全 相應(yīng)的控件�。 NAC Agent檢測(cè)模式:此種檢測(cè)模式被所有的Windows系統(tǒng)所支持�,一些基于Linux內(nèi)核的系統(tǒng)也支 持此種檢測(cè)方式 ,但需要在系統(tǒng)中安裝相應(yīng)的客戶端����。此種檢測(cè)模式可以重復(fù)進(jìn)行檢測(cè),并且可以自動(dòng)更新�,如 果需要與NAC服務(wù) 器交互必需下載和安全相應(yīng)的控件。 Agentless檢測(cè)模式:此種檢測(cè)模式只支持Windows系統(tǒng)���, 也不需要安裝客戶端���。但是終端系統(tǒng)上必需啟用了打印 機(jī)和文件共享功能,還有�����,如果計(jì)算機(jī)用戶不在一個(gè) Windows系統(tǒng)域中,就必需指定此終端的位置標(biāo)識(shí)��,同時(shí)��,使 用此種功能��,終端和服務(wù)器上都必需開放139和445 端口�。設(shè)置終端檢測(cè)模式時(shí),我們可以在Safe Access Lite的WEB配置主界面���,通過單擊“System configuration ”—— “ Testing methods”���,在出現(xiàn)的如圖8所示的選擇終端檢測(cè)模式的界面中,選擇需要使用的三種終端 檢測(cè)方式 中的一種或全部����,默認(rèn)是三種方式全部使用,完全設(shè)置后單擊“OK”按鈕就可以完成終端檢測(cè)方式的設(shè)置�。
圖8
(2)、設(shè)置NAC 檢測(cè)策略(NAC Policies)在Safe Access Lite的WEB配置主界面���,單擊“NAC Policies”選項(xiàng)就可以打開如圖9所示的設(shè)置NAC 檢測(cè)策略界 面�。Safe Access Lite有三種級(jí)別的檢測(cè)策略:low security、medium security和High security���。 Safe Access Lite默認(rèn)low security作為基本的安全檢測(cè)級(jí)別����,此時(shí)����,一旦Safe Access Lite NAC服務(wù)器檢測(cè)到 終端系統(tǒng)中存在安全漏洞或沒有安裝相應(yīng)的系統(tǒng)補(bǔ)丁,那么就只允許它臨時(shí)接入七天;如果檢測(cè)到終端系統(tǒng)上存 在任何的病毒或木馬����,那么就會(huì)禁止其訪問網(wǎng)絡(luò)�。當(dāng)然,只有使用其商業(yè)版本才能進(jìn)行具體的阻止動(dòng)作�,免費(fèi)版 只能以一個(gè)橫杠的紅色圖標(biāo)來顯示不安全終端的狀態(tài)。
圖9
(3)�、配置Agentless測(cè)試模式 在Safe Access Lite的WEB管理主界面,單擊“System configuration”——“Agentless credentials”打開代 理標(biāo)識(shí)界面��,在此界面中單擊“Add Windows administrator credentials”���,就會(huì)進(jìn)入如圖10所示的添加管理 標(biāo)識(shí)(add administrator credentials)界面���。在此界面中的“Windows domain name”文本框中輸入Windows域 名或工作組名(如workgroup)���,在“Administrator user ID”文本框中輸入登錄此主機(jī)的管理員帳戶,在 “Administrator password”文本框中輸入管理員密碼�����,在“Re-enter password”文本框中再輸入一次密碼����,然后單擊“OK”按鈕完成添加。
圖10
(4)��、查看終端狀態(tài)在Safe Access Lite的WEB管理主界面���,單擊“Endpoint activity”就可以打開如圖11所示的終端狀態(tài)界面����。在 此界面 中���,會(huì)將安全的終端以綠色的向上箭頭表示��,對(duì)隔離的不安全終端���,會(huì)以紅色的帶有橫杠的禁止通行圖標(biāo) 表示��,對(duì)于不能檢測(cè)的終端設(shè)備�,將顯示為unknown設(shè)備�。我們可以在此界面中單擊任何一臺(tái)顯示出來的終端設(shè)備 ,來了解它的詳細(xì)信息�,如圖11、12所示�。
圖11
圖12
到這里,這臺(tái)由我們自己動(dòng)手打造的Safe Access Lite NAC服務(wù)器就可以開始正常工作�,唯一不足的是它不能對(duì) 安全的終端做出相應(yīng)的阻止行為,如果用戶需要����,可以使用它的商業(yè)版本,也可以使用其它另外兩個(gè)開源免費(fèi)的 NAC軟件����。 PacketFence zen 軟件的安裝說明在51CTO網(wǎng)站上可以查閱到���,就不再在此文再做詳細(xì)說明�����。對(duì)于FreeNAC軟件��,由于它要求使用可 網(wǎng)管交換機(jī)�,而我手上沒有這要的實(shí)驗(yàn)條件,所以不能親自對(duì)它進(jìn)行安裝和應(yīng)用實(shí)驗(yàn)�,所以也不在此做詳細(xì)說明 。如果大家對(duì)它們有興趣���,而且英文比較好�����,可以去它們的網(wǎng)站查閱其具體的安裝說明���。其實(shí),這些NAC軟件的 安裝都很簡(jiǎn)單��,尤其是直接使用它們的VMware虛擬機(jī)文件時(shí)��,所有的安裝工作都差不多����,因此,了解其中任何一種NAC軟件的安裝和配置�����,再加上它們的說明文檔,就算我們對(duì)Linux系統(tǒng)沒有半點(diǎn)了解����,只要按照 本文所述的方 法準(zhǔn)備硬件平臺(tái)和考慮接入方式,所有的系統(tǒng)和網(wǎng)絡(luò)管理員都可以輕松地完成它們安裝和部署���。從上面的安裝和 配置來看���,雖然使用開源的NAC軟件來打造網(wǎng)絡(luò)訪問控制服務(wù)器能節(jié)省資金和時(shí)間,減化NAC設(shè)備 的部署����,但是, 動(dòng)手打造一臺(tái)NAC服務(wù)器也并不像筆者前面介紹的動(dòng)手打造路由防火墻這么輕松�����,使用者必需有一 定的系統(tǒng)和網(wǎng) 絡(luò)知識(shí)�����,以及NAC部署知識(shí)�����。從這點(diǎn)來說�,自己動(dòng)手打造NAC服務(wù)器,適合于一些具有創(chuàng)新精神的系 統(tǒng)����、網(wǎng)絡(luò)或安全管理員來進(jìn)行,這樣不僅能幫助企業(yè)得到一個(gè)高性能的NAC服務(wù)器����,而且能在打造過程中學(xué)習(xí)到許 多應(yīng)用NAC的知識(shí)。
