Cisco身份服务引擎(ISE)是Cisco安全产品组合的一个组成部分,是一个基于身份的网络访问控制和策略实施系统。以下是对Cisco ISE的详细介绍:
¶ 一、产品概述
Cisco ISE作为一个通用策略引擎,让企业能够控制终端访问和管理网络设备。它可以确保合规、增强基础设施安全性并简化服务操作。Cisco ISE管理员可以收集网络的实时情景数据,包括用户和用户组、设备类型、访问时间、访问位置、访问类型(有线、无线或VPN)以及网络威胁和漏洞,并使用此信息制定网络监管决策。
¶ 二、主要功能和优势
- 用户和设备可视性:Cisco ISE提供出色的用户和设备可视性,能够准确识别每一位用户和每一台设备。它使用探测器和设备传感器来侦听设备连接到网络的方式,并通过庞大的配置文件数据库对设备进行分类。
- 策略管理:Cisco ISE提供集中的情景感知型策略管理来控制用户访问,覆盖任何人、任何时间以及任何设备。管理员可以根据用户或设备的情景身份向网络进入点发送高度安全的访问规则,确保策略实施的一致性。
- 访客管理:Cisco ISE提供自助式访客管理和自注册功能,管理员可以使用动态的可视化工具在几分钟内自定义访客门户。访客可以通过基于Web的门户和移动门户加入公司的网络和内部资源,并获得不同类型的访问权限。
- 自带设备管理(BYOD):Cisco ISE支持自带设备管理功能,允许员工和访客在企业网络上安全地使用他们的个人设备。用户可以使用所配置的路径添加其设备,并调配预定义的身份验证和网络访问级别。
- 安全有线和无线访问:Cisco ISE使用各种身份验证协议为网络设备和终端提供安全的有线和无线网络访问。这些协议包括但不限于802.1X、RADIUS、MAB、基于Web、EasyConnect和启用外部代理的身份验证方法。
- 网络分段:Cisco ISE使用有关网络设备和终端的情景数据来促进网络分段。它可以通过安全组标记、访问控制列表、网络访问协议以及用来定义授权、访问和身份验证的策略集来实现安全网络分段。
- 威胁遏制:如果Cisco ISE检测到来自终端的威胁或漏洞属性,它会发送自适应网络控制策略以动态更改其终端访问级别。在评估并解决威胁或漏洞后,终端将获得其原始访问策略。
- 与其他Cisco产品的集成:Cisco ISE可以与其他Cisco安全和网络产品无缝集成,提供分段和受控访问。此外,它还提供开箱即用的访客管理和自注册功能,十分方便。
¶ 三、技术合作伙伴生态系统
Cisco ISE拥有广泛的技术合作伙伴生态系统,可以与多个合作伙伴平台集成,为用户提供各种有用的功能。这些集成包括企业移动性管理和移动设备管理(EMM/MDM)、安全信息和事件管理及威胁防御(SIEM/TD)、身份访问管理和单点登录(IAM/SSO)、漏洞评估、网络和安全调查分析以及云访问安全代理(CASB)等。
通过与这些合作伙伴的集成,Cisco ISE可以收集并整合来自多个系统和供应商的情景数据,以便更快地查明网络威胁并在安全事件尚未造成损害之前将其解决掉。
¶ 四、应用场景
Cisco ISE适用于各种企业网络场景,特别是那些需要高度安全的访问控制和精细访问控制的场景。它可以帮助企业应对移动性挑战,确保员工和访客能够安全地访问企业资源。同时,它还可以提供强大的设备分类和广泛的策略实施功能,以满足企业不断变化的业务要求。
综上所述,Cisco ISE是一个功能强大且灵活的安全策略管理平台,它可以帮助企业实现高度安全的访问控制并简化网络管理。
¶ 常用操作
重制底层密码
qytise/admin(config)# username admin password hash Cisc0123 role admin
忘记底层密码:
使用光盘引导 选择3重置底层密码
重制UI密码
qytise/admin# application reset-passwd admin Cisc0123
查看ISE状态
show application status ise
