Cisco Cisco Identity Services Engine 1.3 产品宣传页
© 2015 思科系统公司
第
26 页
安全访问操作指南
转至低影响模式
在此阶段:所有思科
ISE 策略均创建为允许所有通过身份验证的设备完全访问网络。已配置 Web 身份验证、
已发起访客访问且访客帐户创建已运行。但是,交换机上的默认端口
ACL 依然允许所有流量。
若要完整交付低影响模式阶段,我们必须将默认端口
ACL 更改为可以限制访问权限的 ACL。限制程度完全取
决于部署计划。我们将检查现场一些一直使用的默认
ACL,并讨论您的部署中存在哪些并发问题以及如何对
默认
ACL 进行相应的调整。
以下是两个建议的默认
ACL。我们在 HowTo-10-Universal_Switch_Configuration 操作指南中配置了第一个 ACL。
ACL-DEFAULT(推荐的安全默认 ACL):
ip access-list extended ACL-DEFAULT
remark DHCP
permit udp any eq bootpc any eq bootps
remark DNS
permit udp any any eq domain
ping <
permit icmp any any
remark PXE / TFTP
permit udp any any eq tftp
remark Drop all the rest
deny ip any any log
第二个建议的默认端口
ACL 可打开多个 Microsoft 端口,允许设备在登录前与 Active Directory 进行通信,以
缩短登录时间。打开
Microsoft 特定端口还可以通过我们在“为域计算机创建授权配置文件”过程中完成的计
算机身份验证完成。
ACL-DFLT-LESS-RESTRICT:
ip access-list extended ACL-DFLT-LESS-RESTRICT
remark DHCP, DNS, ICMP
permit udp any eq bootpc any eq bootps !DHCP
permit udp any any eq domain !DNS
permit icmp any any !ICMP Ping
remark Allow Microsoft Ports (used for better login performance)
permit tcp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 123 !NTP
permit tcp any host 10.1.100.10 eq 135 !RPC
permit udp any host 10.1.100.10 eq 137 !NetBIOS-Nameservice
permit tcp any host 10.1.100.10 eq 139 !NetBIOS-SSN
permit tcp any host 10.1.100.10 eq 389 !LDAP
permit udp any host 10.1.100.10 eq 389 !LDAP
permit tcp any host 10.1.100.10 eq 445 !MS-DC/SMB
permit tcp any host 10.1.100.10 eq 636 !LDAP w/ SSL
permit udp any host 10.1.100.10 eq 636 !LDAP w/ SSL
permit tcp any host 10.1.100.10 eq 1025 !non-standard RPC
permit tcp any host 10.1.100.10 eq 1026 !non-standard RPC
remark PXE / TFTP
permit udp any any eq tftp
remark Drop all the rest
deny ip any any log