3、Safe Access Lite NAC服务器的基本应用

　　（1）选择终端检测模式 Safe Access Lite提供三种终端测试 模式，它们分别是： ActiveX plug-in检测模式：使用此种模式不需要被检测的终端安装任何客户端，所有的 Windows系统客户端都支 持这种检测模式，但非Windows系统不支持。使用些种检测方式不能在系统中禁用 ActiveX脚本的使用，且IE安装 设置也必需允许ActiveX脚本的运行。如果需要与NAC服务器交互必需下载和安全 相应的控件。 NAC Agent检测模式：此种检测模式被所有的Windows系统所支持，一些基于Linux内核的系统也支 持此种检测方式 ，但需要在系统中安装相应的客户端。此种检测模式可以重复进行检测，并且可以自动更新，如 果需要与NAC服务 器交互必需下载和安全相应的控件。 Agentless检测模式：此种检测模式只支持Windows系统， 也不需要安装客户端。但是终端系统上必需启用了打印 机和文件共享功能，还有，如果计算机用户不在一个 Windows系统域中，就必需指定此终端的位置标识，同时，使 用此种功能，终端和服务器上都必需开放139和445 端口。设置终端检测模式时，我们可以在Safe Access Lite的WEB配置主界面，通过单击“System configuration ”—— “ Testing methods”，在出现的如图8所示的选择终端检测模式的界面中，选择需要使用的三种终端 检测方式 中的一种或全部，默认是三种方式全部使用，完全设置后单击“OK”按钮就可以完成终端检测方式的设置。

　　　
图8

　　（2）设置NAC 检测策略（NAC Policies）在Safe Access Lite的WEB配置主界面，单击“NAC Policies”选项就可以打开如图9所示的设置NAC 检测策略界 面。Safe Access Lite有三种级别的检测策略：low security、medium security和High security。 Safe Access Lite默认low security作为基本的安全检测级别，此时，一旦Safe Access Lite NAC服务器检测到 终端系统中存在安全漏洞或没有安装相应的系统补丁，那么就只允许它临时接入七天；如果检测到终端系统上存 在任何的病毒或木马，那么就会禁止其访问网络。当然，只有使用其商业版本才能进行具体的阻止动作，免费版 只能以一个横杠的红色图标来显示不安全终端的状态。

　　　　
图9

　　（3）配置Agentless测试模式 在Safe Access Lite的WEB管理主界面，单击“System configuration”——“Agentless credentials”打开代 理标识界面，在此界面中单击“Add Windows administrator credentials”，就会进入如图10所示的添加管理 标识（add administrator credentials）界面。在此界面中的“Windows domain name”文本框中输入Windows域 名或工作组名（如workgroup），在“Administrator user ID”文本框中输入登录此主机的管理员帐户，在 “Administrator password”文本框中输入管理员密码，在“Re-enter password”文本框中再输入一次密码，然后单击“OK”按钮完成添加。

　　

图10

　　（4）查看终端状态在Safe Access Lite的WEB管理主界面，单击“Endpoint activity”就可以打开如图11所示的终端状态界面。在 此界面 中，会将安全的终端以绿色的向上箭头表示，对隔离的不安全终端，会以红色的带有横杠的禁止通行图标 表示，对于不能检测的终端设备，将显示为unknown设备。我们可以在此界面中单击任何一台显示出来的终端设备 ，来了解它的详细信息，如图11、12所示。

　　

图11

　　
图12

　　到这里，这台由我们自己动手打造的Safe Access Lite NAC服务器就可以开始正常工作，唯一不足的是它不能对 安全的终端做出相应的阻止行为，如果用户需要，可以使用它的商业版本，也可以使用其它另外两个开源免费的 NAC软件。 PacketFence zen 软件的安装说明在51CTO网站上可以查阅到，就不再在此文再做详细说明。对于FreeNAC软件，由于它要求使用可 网管交换机，而我手上没有这要的实验条件，所以不能亲自对它进行安装和应用实验，所以也不在此做详细说明 。如果大家对它们有兴趣，而且英文比较好，可以去它们的网站查阅其具体的安装说明。其实，这些NAC软件的 安装都很简单，尤其是直接使用它们的VMware虚拟机文件时，所有的安装工作都差不多，因此，了解其中任何一种NAC软件的安装和配置，再加上它们的说明文档，就算我们对Linux系统没有半点了解，只要按照 本文所述的方 法准备硬件平台和考虑接入方式，所有的系统和网络管理员都可以轻松地完成它们安装和部署。从上面的安装和 配置来看，虽然使用开源的NAC软件来打造网络访问控制服务器能节省资金和时间，减化NAC设备 的部署，但是， 动手打造一台NAC服务器也并不像笔者前面介绍的动手打造路由防火墙这么轻松，使用者必需有一 定的系统和网 络知识，以及NAC部署知识。从这点来说，自己动手打造NAC服务器，适合于一些具有创新精神的系 统、网络或安全管理员来进行，这样不仅能帮助企业得到一个高性能的NAC服务器，而且能在打造过程中学习到许 多应用NAC的知识。