Cisco Cisco Identity Services Engine 1.2 产品宣传页

 

 

 

Cisco Systems © 2016 

5페이지 

보안

 액세스 방법 가이드 

솔루션

 개요 

Cisco ISE 프로파일링 서비스는 네트워크에 연결된 엔드포인트의 동적 탐지 및 분류를 제공합니다. ISE는 
MAC 주소를 고유 식별자로 사용하여 각 네트워크 엔드포인트에서 내부 엔드포인트 데이터베이스를 
작성하기 위한 다양한 특성을 수집합니다. 분류 프로세스는 수집된 특성을 사전 구성된 조건 또는 사용자 정의 
조건과 일치시키며, 그러한 조건은 광범위한 프로파일 라이브러리와 상호 연결됩니다. 이러한 프로파일에는 
모바일 클라이언트(iPad, Android 태블릿, BlackBerry 휴대폰 등), 데스크톱 운영 체제(예: Windows 7, Mac OS X, 
Linux 및 기타)와 수많은 비사용자 시스템(예: 프린터, 전화기, 카메라 및 게임 콘솔)을 비롯한 광범위한 
디바이스 유형이 포함됩니다.  

일단 분류된 엔드포인트의 경우 네트워크에 대한 권한이 부여되고 해당 프로파일을 기초로 액세스 권한이 
부여됩니다. 예를 들어 IP 전화기 프로파일과 일치하는 엔드포인트는 인증 방법으로 MAB(MAC Authentication 
Bypass)를 사용하여 음성 VLAN에 배치될 수 있습니다. 또 다른 예는 사용되는 디바이스에 따라 사용자에 대해 
차별화된 네트워크 액세스를 제공하는 것입니다. 예를 들어 직원이 회사 워크스테이션에서 네트워크에 
액세스할 때는 전체 액세스 권한을 가질 수 있지만, 개인 iPhone에서 네트워크에 액세스할 때는 제한된 
네트워크 액세스 권한이 부여될 수 있습니다. 

정책

 아키텍처 및 구성 요소 

그림 3에서는 Cisco ISE 프로파일링 서비스에 대한 일반적인 정책 아키텍처 및 주요 구성 요소에 대해 
중점적으로 설명합니다. 컨피그레이션 프로세스에서는 먼저 정책 서비스 페르소나를 실행하는 ISE 
어플라이언스에서 특정 프로브를 활성화합니다. 서로 다른 종류의 엔드포인트 특성을 수집하는 여러 
프로브가 있습니다. 이러한 특성은 조건과 일치하는지 비교되고 그 조건은 다시 디바이스 유형 또는 프로파일 
라이브러리의 규칙과 일치하는지 비교될 수 있습니다. 일반 가중치 척도에 따라 각 일치 조건마다 서로 다른 
가중치 또는 확실성 요인(CF)이 할당될 수 있습니다. 가중치나 CF는 조건이 특정 프로파일에 대한 디바이스 
분류에 영향을 미치는 상대 값을 나타냅니다. 조건이 여러 프로파일에서 일치하더라도 엔드포인트의 누적 
CF가 가장 높은 프로파일이 엔드포인트에 할당됩니다.