适用于第三方插件的思科 ISE 配置
策略实施器的思科 ISE 连接器使用思科 ISE API 与思科身份服务引擎服务器通信。作为威胁修复的一部分,策略实施器的连接器使用强制配置文件。本节提供有关配置思科 ISE 的信息,以便策略实施器可以调用相应的实施配置文件。
作为配置的一部分,您将在思科 ISE 上创建两个实施配置文件,一个用于隔离,一个用于终止。然后,您将在思科 ISE 实施策略中使用它们。配置思科 ISE 后,您将在策略实施器上配置思科 ISE 连接器。
在思科 ISE 上,您将配置以下内容:
更改策略模式
创建 API 客户端
配置网络配置文件
添加自定义属性
配置授权配置文件
设置授权策略
在思科 ISE 上,默认情况下选择简单模式策略模型。要创建 API 客户端,应启用策略集。
导航到 “管理 ”> “系统 > 设置 ”>“策略 集 ”和 “启用策略集 ”模式。
更改模式后,系统会提示您再次登录。
图 1:思科 ISE:启用策略集模式
创建 API 客户端:
- 创建管理员用户并将其分配给以下管理员组: ERS 管理员、 MnT 管理员。
记下用户名和密码。稍后在策略实施器中配置连接器部分时,将需要它们。
图 2:思科 ISE:创建管理员用户并分配给管理员组
为管理节点启用外部 RESTful 服务 API (ERS):
导航到 管理 > 系统 > 设置 >ERS 设置 ,然后选择 启用 ERS 进行读/写。
单击 保存。
图 3:思科 ISE:启用 ERS
配置网络配置文件:
由ISE管理的设备必须支持RADIUS CoA,并分配了适当的网络配置文件来处理ISE服务器发送的CoA命令:
导航到“网络资源管理”>“>”网络设备配置文件“,然后验证现有的网络设备配置文件列表。
如果要创建新的配置文件,请继续执行下一步以获取信息。
图 4:思科 ISE:网络设备配置文件列表
如果要配置新的配置文件,则必须至少设置以下内容:
启用 RADIUS 并在支持的协议列表中添加相应的字典。
图 5:思科 ISE:网络设备配置文件,启用 RADIUS
根据下图启用和配置授权更改 (CoA)。
图 6:思科 ISE:配置授权更改 (CoA)
使用正确的 RADIUS 属性和供应商特定的 VSA 配置断开连接并重新验证操作,以处理标准的断开连接和重新验证操作。下面是瞻博网络 EX 设备的示例配置。
图 7:瞻博网络 EX
配置示例
配置自定义属性。
导航到“端点自定义属性”>“管理”>“身份管理”>“设置”,并使用字符串类型添加属性 sdsnEpStatus。
图 8:思科 ISE:添加属性 sdsnEpStatus
验证“策略>策略元素”>“字典”>“系统>终结点”下的属性。
图 9:思科 ISE:验证属性
导航到 策略 >策略 元素 > 条件 > 授权 > 简单条件。使用您创建的 sdsnEpStatus 属性在此处添加授权简单条件。
在下面的屏幕中,使用 sdsnEpStatus 属性创建了三个条件。条件名称不需要与此处屏幕中的相同,但表达式必须匹配。这些条件将在策略集中用于处理托管端点的威胁修正,如后面的策略集设置部分所述。那里只会使用 sdsnEpStatus-block 和 sdsnEpStatus-quarantine 条件。sdsnEpStatus-healthy 是为履行目的而创建的,现在可以忽略。
图 10:思科 ISE:配置简单条件,匹配表达式
图 11:思科 ISE:配置简单条件,匹配表达式
配置权限/授权配置文件。
您可以根据需要创建与“阻止”和“隔离”操作相对应的授权配置文件。在此处提供的示例配置中,阻止操作将导致完全拒绝对网络的访问,并且隔离配置文件会将端点移动到另一个指定的 VLAN。
导航到“从策略”>“策略元素”>“结果”>“授权”>“授权配置文件”。
有关示例配置,请参阅下图。
图 12:思科 ISE:配置授权配置文件
图 13:思科 ISE:配置授权配置文件
注意:要阻止主机,将使用默认的“拒绝访问”配置文件。
设置授权策略:
创建两个规则作为本地例外,应用我们在上一步中创建的条件和授权/权限配置文件。名称可能不同,但这两个规则必须位于“例外”列表的顶部。
有关示例配置,请参阅下图。
图 14:思科 ISE:本地例外规则,示例
注意:在“策略>策略集>授权策略”下找到此信息。
继续 为第三方交换机创建策略实施器连接器 ,以完成使用策略实施器的配置。