3.IF-MAP协议的应用场景
假设如下的网络环境:
图3 IF-MAP协议应用环境
1) 用户john通过一台终端(device-x)登录到内部网络
John通过TNC客户端向PEP设备(一台802.1x的交换机)请求接入,并提交device-x的完整性信息(ip地址、mac地址、操作系统版本、防病毒软件版本等等);
PEP向PDP(一台RADIUS服务器)转发客户端信息,PDP通过了用户身份和平台完整性验证,并以finance manager的角色给john授权,通知PEP可以接入;
PDP通过IF-MAP协议向MAP服务器发布device-x的状态信息、用户信息和授权信息;
2) John需要访问内部的finance server
内部防火墙检测到device-x的访问请求,由于其可能是动态IP地址,因此没有静态的访问控制策略,此时防火墙通过IF-MAP协议向MAP服务器进行搜索;
通过搜索发现device-x设备当前的用户授权为finance manager,而且设备状态可信,于是防火墙通过添加动态策略允许该访问请求;
3) IDS设备发现device-x正在被木马控制
虽然device-x上的防病毒软件已经是最新版本,但其仍然被木马控制(这种情况常常发生),好在木马通讯数据流被IDS检测到;
IDS马上通过IF-MAP协议向MAP服务发布该安全事件;
MAP服务立刻通过IF-MAP协议通知PDP有安全事件发生,PDP通过判断立刻修改device-x的可信状态,通知PEP对device-x进行隔离处理,删除device-x的finance manager授权,并将新的状态和授权信息发布到MAP服务器;
由于授权信息发生改变,MAP服务器立刻通过IF-MAP协议通知防火墙更新device-x的授权,从而删除内部的动态策略;