Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

26 页

安全访问操作指南

转至低影响模式

在此阶段：所有思科

ISE 策略均创建为允许所有通过身份验证的设备完全访问网络。已配置 Web 身份验证、

已发起访客访问且访客帐户创建已运行。但是，交换机上的默认端口

ACL 依然允许所有流量。

若要完整交付低影响模式阶段，我们必须将默认端口

ACL 更改为可以限制访问权限的 ACL。限制程度完全取

决于部署计划。我们将检查现场一些一直使用的默认

ACL，并讨论您的部署中存在哪些并发问题以及如何对

默认

ACL 进行相应的调整。

以下是两个建议的默认

ACL。我们在 HowTo-10-Universal_Switch_Configuration 操作指南中配置了第一个 ACL。

ACL-DEFAULT（推荐的安全默认 ACL）：

ip access-list extended ACL-DEFAULT

remark DHCP

permit udp any eq bootpc any eq bootps

remark DNS

permit udp any any eq domain

ping <

permit icmp any any

remark PXE / TFTP

permit udp any any eq tftp

remark Drop all the rest

deny ip any any log

第二个建议的默认端口

ACL 可打开多个 Microsoft 端口，允许设备在登录前与 Active Directory 进行通信，以

缩短登录时间。打开

Microsoft 特定端口还可以通过我们在“为域计算机创建授权配置文件”过程中完成的计

算机身份验证完成。

ACL-DFLT-LESS-RESTRICT：

ip access-list extended ACL-DFLT-LESS-RESTRICT

remark DHCP, DNS, ICMP

permit udp any eq bootpc any eq bootps !DHCP

permit udp any any eq domain !DNS

permit icmp any any !ICMP Ping

remark Allow Microsoft Ports (used for better login performance)

permit tcp any host 10.1.100.10 eq 88 !Kerberos

permit udp any host 10.1.100.10 eq 88 !Kerberos

permit udp any host 10.1.100.10 eq 123 !NTP

permit tcp any host 10.1.100.10 eq 135 !RPC

permit udp any host 10.1.100.10 eq 137 !NetBIOS-Nameservice

permit tcp any host 10.1.100.10 eq 139 !NetBIOS-SSN

permit tcp any host 10.1.100.10 eq 389 !LDAP

permit udp any host 10.1.100.10 eq 389 !LDAP

permit tcp any host 10.1.100.10 eq 445 !MS-DC/SMB

permit tcp any host 10.1.100.10 eq 636 !LDAP w/ SSL

permit udp any host 10.1.100.10 eq 636 !LDAP w/ SSL

permit tcp any host 10.1.100.10 eq 1025 !non-standard RPC

permit tcp any host 10.1.100.10 eq 1026 !non-standard RPC

remark PXE / TFTP

permit udp any any eq tftp

remark Drop all the rest

deny ip any any log