圖1
2���、 在線工作方式時的接入方式
在線工作方式是指NAC服務器將直接連接到網絡的數(shù)據(jù)鏈路當中�����,如圖1.2 所示����,此時的NAC服務器最少需要二塊 100/1000Mbps以太網網卡����。在線工作方式的NAC服務器不僅承擔對整個內部局域網中所有終端進行監(jiān)控的任務,還 得控制它們對連接在它后面的網絡服務器的訪問��。
此時��,如果硬件及網絡條件滿足NAC服務器的要求��,那么它將會 提供其完整的NAC功能���。但是����,在線工作方式的NAC需要更高的數(shù)據(jù)處理性能和硬件穩(wěn)定性,而且還存在單點失敗 的問題����。因此�,我們必需通過提高PC硬件性能來提高NAC服務器的處理速度,通過同時運行兩臺相同的NAC虛擬機 來提供冗余����,還可以為PC提供雙CPU,雙電源�,以及RAID功能來保證NAC服務器的穩(wěn)定性和業(yè)務的可持續(xù)性。但此時不能再 使用免費的VMware軟件來運行這些NAC虛擬機了�����,因為免費的VMware Player軟件并不提供冗余功能。另外���,這種方式會對現(xiàn)有的網絡結構做出相應的調整����,如果不是有此必要�,可以優(yōu)先考慮使用被動接入方式�����,畢竟改變現(xiàn)有網絡結構所要承擔的風險和造成的業(yè)務影響要比被動接入方式大得多����。這也是我們使用軟件NAC來打造 網絡訪問控制服務器的初衷���。
圖2
二、 軟件的安裝與配置
接下來的任務就完成所選擇的NAC軟件的安裝與配置����,這樣,我們自己動手技術先進的NAC服務器才具有真正的意 義�。如 果我們選擇使用虛擬機文件來運行這些NAC軟件����,那么���,安裝NAC軟件的過程將只是如何通過VMware虛擬機軟件 來 運行它們的事情。在本文中����,我將以安裝和配置Safe Access Lite為例來說明NAC軟件的安裝和配置方法,其它 兩個文件的安裝與配置與此軟件大致相同�,除了會在安裝配置Safe Access Lite軟件后會說明FreeNAC軟件在安裝 過程中的注意點外,其它的就不再此做詳細的說明���。為了能運行這些NAC的VMware虛擬機文件�����,我們除了可使用VMware相關商業(yè)軟件來運行外����,也可以到 www.VMwareware.com/products/player下載免費的VMware Player.exe 來運行這些VMware虛擬機文件�,它只提供對 vmx為擴展名的VMware虛擬機的運行,而不提供制作虛擬機等其它功 能�����。下載回來后,應當安裝到運行NAC軟件的 系統(tǒng)中�,以便下面能夠正常使用。1�、Safe Access Lite軟件的基 本安裝與配置完成這些工作后,就可以開始安裝Safe Access Lite����。說是安裝�,其實并不如安裝其它軟件那樣進行,由于我們 使用的是一個Safe Access Lite的VMware虛擬機文件���,其中已經包括了運行它所必需的所有環(huán)境�,我們現(xiàn)在要做 的����,就是通過解壓縮軟件將下載回來的Safe Access Lite的VMware虛擬機文件壓縮包解壓到一個文 件夾中,例如 E:Safelite����,然后啟動VMware Player軟件,單擊其主界面中的“Open”按鈕��,在打開的選擇文件 對話框中選擇 E:Safelite文件夾下的“Safe Access Lite.vmx”虛擬機文件,確定選擇后就會啟動Safe Access Lite虛擬機�。當出現(xiàn)如圖3.1所示的Safe Access Lite虛擬機字符終端登錄界面時,在“login”提示符下輸入 “root”����,回車后就會出現(xiàn)提示輸入密碼的提示符,此時在“password”提示符下輸入Safe Access Lite 默認的根密碼 “safeaccess”���,按回車鍵后就可以登錄到Safe Access Lite虛擬機的字符終端���。
圖3
接下來,我們就要通過下列所示的命令來完成與交換機相連的以太網網卡的網絡設置����,以便接下來可以通過 WEB圖 形化界面更加直觀地完成安裝設置和管理它。在本文中����,我通過輸入以下命令來設置NAC服務器網卡的IP地 址為 192.168.1.10、子網掩碼為255.255.255.0及缺省網關為192.168.1.1: # network-settings.py 192.168.1.10 255.255.255.0 192.168.1.1 輸入以上命令并按回車鍵后��,不一會兒就會完成網卡的基本設置�,并 回到根用戶提示符下。現(xiàn)在����,重新啟動一次 Safe Access Lite虛擬機�����,以便我們能夠使用剛才設置的IP地址�,通 過WEB方式繼續(xù)完成它的安裝設置���。
2��、 通過WEB方式繼續(xù)完成Safe Access Lite的安裝設置現(xiàn)在�,我們還必需使用WEB方式來進一步設置Safe Access Lite�����,才能完成它的整個安裝過程����。在與Safe Access Lite打造的NAC服務器相連的局域網內任意選擇一 臺計算機��,運行安裝在此主機系統(tǒng)上的WEB瀏覽器�,在瀏覽器的 地址欄中輸入“https:// Safe Access Lite虛擬 機的IP地址”,在本文中���,我輸入的是192.168.1.10�,按回車鍵 后,就會出現(xiàn)一個SSL連接的安全警告對話框���, 單擊此對話框中的“是”按鈕��,就會出現(xiàn)一個讓我們接受授權聲明 的界面��,在此界面中選擇“I Accept this license agreement”單項選擇按鈕�,然后單擊“Next”按鈕就可以進 入下一個WEB設置界面�����。接下來就會出現(xiàn)一 個如圖3.2所示的服務器管理設置界面����。在此界面中的“Root password”文本框中輸入新設置 的根密碼,以替換 系統(tǒng)默認的根密碼�,然后在“Re-enter Root password”文本框中再輸入一次新設置的密碼。 在“data and time”區(qū)域中的“region”下拉框中選擇“asia”區(qū)域����,再在“time zone”下拉框中選擇 “shanghai”時區(qū)。 然后在“network settings”區(qū)域中的“host name”文本框中輸入NAC服務器主機名,例如 mynac�,然后在其下 的“DNS IP address ”文本框中輸入主DNS服務器的IP地址。如果我們不通過代理服務器方式 連接因特網����,那么 完成這些設置后,直接單擊此界面中的“Next”按鈕��,就會出現(xiàn)如圖3.3所示的輸入授權碼的界面�。
圖4
圖5
此時,將在下載Safe Access Lite虛擬機文件時得到的授權碼復制后���,粘貼到此界面中的“License key”文本框 中��,然后單擊此界面中的 “Next”按鈕就會進入如圖6所示的創(chuàng)建管理員帳戶界面��。
圖6
在創(chuàng)建管理員帳戶界面中的 “user name”文本框中輸入要創(chuàng)建的管理員帳戶名稱����,在“password”文本框中 輸入密碼���,在“re-enter password”文本框中重新輸入一次新建立的管理員密碼。完成這些設置后��,單擊此界面 中的“Finish”按鈕,就 可以完成Safe Access Lite所有的安裝設置��,然后就會進入如圖7所示的Safe Access Lite WEB管理主界面�����。
圖7
在Safe Access Lite WEB管理主界面的左邊���,是進行相應設置的各個功能選項�����,當我們選擇某個選項后�����,就可 以 出現(xiàn)相應的管理設置界面���。其中“Endpoint activity”選項用來查看網絡中當前存活終端的狀態(tài);“NAC Policies”選項中的內容用來設置檢測終端的NAC安全策略;“System Configuration”選項中的內容用來設置終 端檢測模式及其它內容;“System Monitor”選項用來顯示NAC服務器的系統(tǒng)資源使用狀況;“Reports”選項用 來查看NAC服務器產生的各種報告。
3��、 Safe Access Lite NAC服務器的基本應用
(1)���、選擇終端檢測模式 Safe Access Lite提供三種終端測試 模式��,它們分別是: ActiveX plug-in檢測模式:使用此種模式不需要被檢測的終端安裝任何客戶端��,所有的 Windows系統(tǒng)客戶端都支 持這種檢測模式��,但非Windows系統(tǒng)不支持��。使用些種檢測方式不能在系統(tǒng)中禁用 ActiveX腳本的使用�����,且IE安裝 設置也必需允許ActiveX腳本的運行�����。如果需要與NAC服務器交互必需下載和安全 相應的控件�。 NAC Agent檢測模式:此種檢測模式被所有的Windows系統(tǒng)所支持,一些基于Linux內核的系統(tǒng)也支 持此種檢測方式 ��,但需要在系統(tǒng)中安裝相應的客戶端����。此種檢測模式可以重復進行檢測,并且可以自動更新���,如 果需要與NAC服務 器交互必需下載和安全相應的控件。 Agentless檢測模式:此種檢測模式只支持Windows系統(tǒng), 也不需要安裝客戶端���。但是終端系統(tǒng)上必需啟用了打印 機和文件共享功能���,還有,如果計算機用戶不在一個 Windows系統(tǒng)域中��,就必需指定此終端的位置標識�,同時,使 用此種功能��,終端和服務器上都必需開放139和445 端口����。設置終端檢測模式時,我們可以在Safe Access Lite的WEB配置主界面���,通過單擊“System configuration ”—— “ Testing methods”��,在出現(xiàn)的如圖8所示的選擇終端檢測模式的界面中�����,選擇需要使用的三種終端 檢測方式 中的一種或全部����,默認是三種方式全部使用,完全設置后單擊“OK”按鈕就可以完成終端檢測方式的設置�����。
圖8
(2)���、設置NAC 檢測策略(NAC Policies)在Safe Access Lite的WEB配置主界面��,單擊“NAC Policies”選項就可以打開如圖9所示的設置NAC 檢測策略界 面��。Safe Access Lite有三種級別的檢測策略:low security����、medium security和High security����。 Safe Access Lite默認low security作為基本的安全檢測級別,此時�,一旦Safe Access Lite NAC服務器檢測到 終端系統(tǒng)中存在安全漏洞或沒有安裝相應的系統(tǒng)補丁,那么就只允許它臨時接入七天;如果檢測到終端系統(tǒng)上存 在任何的病毒或木馬����,那么就會禁止其訪問網絡���。當然�����,只有使用其商業(yè)版本才能進行具體的阻止動作�����,免費版 只能以一個橫杠的紅色圖標來顯示不安全終端的狀態(tài)�����。
圖9
(3)�����、配置Agentless測試模式 在Safe Access Lite的WEB管理主界面�,單擊“System configuration”——“Agentless credentials”打開代 理標識界面,在此界面中單擊“Add Windows administrator credentials”�����,就會進入如圖10所示的添加管理 標識(add administrator credentials)界面��。在此界面中的“Windows domain name”文本框中輸入Windows域 名或工作組名(如workgroup),在“Administrator user ID”文本框中輸入登錄此主機的管理員帳戶�����,在 “Administrator password”文本框中輸入管理員密碼����,在“Re-enter password”文本框中再輸入一次密碼,然后單擊“OK”按鈕完成添加���。
圖10
(4)��、查看終端狀態(tài)在Safe Access Lite的WEB管理主界面����,單擊“Endpoint activity”就可以打開如圖11所示的終端狀態(tài)界面�。在 此界面 中,會將安全的終端以綠色的向上箭頭表示�,對隔離的不安全終端,會以紅色的帶有橫杠的禁止通行圖標 表示��,對于不能檢測的終端設備����,將顯示為unknown設備����。我們可以在此界面中單擊任何一臺顯示出來的終端設備 ����,來了解它的詳細信息���,如圖11����、12所示��。
圖11
圖12
到這里���,這臺由我們自己動手打造的Safe Access Lite NAC服務器就可以開始正常工作���,唯一不足的是它不能對 安全的終端做出相應的阻止行為,如果用戶需要���,可以使用它的商業(yè)版本�,也可以使用其它另外兩個開源免費的 NAC軟件�����。 PacketFence zen 軟件的安裝說明在51CTO網站上可以查閱到,就不再在此文再做詳細說明�����。對于FreeNAC軟件����,由于它要求使用可 網管交換機,而我手上沒有這要的實驗條件��,所以不能親自對它進行安裝和應用實驗�,所以也不在此做詳細說明 。如果大家對它們有興趣����,而且英文比較好,可以去它們的網站查閱其具體的安裝說明���。其實�,這些NAC軟件的 安裝都很簡單�����,尤其是直接使用它們的VMware虛擬機文件時,所有的安裝工作都差不多�����,因此��,了解其中任何一種NAC軟件的安裝和配置�,再加上它們的說明文檔,就算我們對Linux系統(tǒng)沒有半點了解�����,只要按照 本文所述的方 法準備硬件平臺和考慮接入方式����,所有的系統(tǒng)和網絡管理員都可以輕松地完成它們安裝和部署��。從上面的安裝和 配置來看���,雖然使用開源的NAC軟件來打造網絡訪問控制服務器能節(jié)省資金和時間����,減化NAC設備 的部署,但是��, 動手打造一臺NAC服務器也并不像筆者前面介紹的動手打造路由防火墻這么輕松�,使用者必需有一 定的系統(tǒng)和網 絡知識,以及NAC部署知識����。從這點來說,自己動手打造NAC服務器����,適合于一些具有創(chuàng)新精神的系 統(tǒng)、網絡或安全管理員來進行����,這樣不僅能幫助企業(yè)得到一個高性能的NAC服務器,而且能在打造過程中學習到許 多應用NAC的知識��。
