Cisco Cisco Identity Services Engine 1.2 Prospecto
安全访问操作指南
•
根据节点的完全限定域名 (FQDN),每个 ISE 节点都需要一个单独的证书。
•
在贵组织内获取数字证书的流程是怎样的?
•
建议生产部署不要采用自签名证书。如果您无法使用公共或企业 CA 签名的证书,贵组织是否完
全了解长期可用性、技术支持、迁移和扩展问题?
目录服务
•
您是否会使用用户名和密码或证书来识别用户和设备?
•
您是否会集成 Microsoft Active Directory 之类的现有身份库?轻量级目录访问协议 (LDAP)?RSA
SecurID 令牌?
•
您是否有多个身份域或林要进行身份验证?有多少?
•
您现有的身份库集群是否会扩展至支持来自网络身份验证的负载?
网络接入设备
(NAD)
•
您想要使用 ISE 对您的网络的哪些边缘进行身份验证?有线?无线?VPN?
•
相关 NAD 是否具备适用于 TrustSec 解决方案的推荐软件?有关最新推荐网络设备及相应软件版本
的信息,请参阅
•
您的现有硬件是否支持推荐的软件版本和所需的 TrustSec 功能?
托管终端
•
您是否知道您的网络上目前存在多少托管网络终端?
•
您是否已在使用思科或 Microsoft 提供的 802.1X 请求方?是有线或无线,还是二者都用?
•
所需的 802.1X 请求方是否要求购买软件、升级或操作系统服务包?
•
需要或首选哪些身份验证类型?
•
要使终端兼容,需要什么额外的安全软件?
•
对于所有需要的终端,您是否有足够的安全软件许可证(AV、HIPS 等)?
无代理终端
•
您是否有办法在您的网络上自动识别无代理终端并为其授权?
•
您是否已确定您的网络上无代理设备的总数及设备类型?
1. 无 802.1X 请求方(其操作系统不支持或已固化,例如电话或打印机)
2. 预执行环境 (PXE) 网络引导和重新映像
3. 其他非托管/不可控的设备(访客、实验室等等)
•
您用什么方法来确定无代理终端、对其分类并为其授权?
1. 在硬件和/或操作系统中升级至 802.1X 功能
2. 使用 MAC 身份验证绕行 (MAB) 在 ISE 中制作白名单
•
手动 MAB 或终端注册系统的预期运行成本是多少?
© 2015 思科系统公司
第
4 页