奇安信终端安全准入体系 ,下称NAC
一、入网控制方式
1.IP流量控制
2.802.1X 准入
需要NAC、交换机、终端
以802.1X
3.DHCP 准入
将NAC作为DHCP服务器,为客户端分配地点,并对分配地点的客户端举行入网管控。
(*)可选
强制入网终端安装NAC客户端
(*)可选 固定分配IP
在【固定分配】下,设置 MAC 与 IP 对应关系。当指定 MAC 的设备接入时,为该设备分配设定的 IP 地点。这里设置的设备无需安全校验可直接入网
(*)可选 停用设备
指定 MAC 的设备无法通过 DHCP 准入策略入网。可按需保存已使用的 IP,则该 MAC 已经使用过的 IP 地点,不会分配给其他入网的设备。
4.WebAuth 准入
一种Portal认证,由NAC作为web 认证服务器,
二、哪些控制方式不需要用户名密码登录
1.IP流量控制准入(IP-mac绑定)
对管控区内的终端,举行匹配检查,符合条件,可以入网
对管控区外的终端,策略不限制,可以直接入网
终端可以不装准入客户端,入网可以不用 用户名密码登录
管理员通过设置入网场景来控制终端使用入网策略的匹配条件,入网场景支持设置终端属性(包括范例、操纵体系)、设备行为模子(访问流量 IP、目标端口,网络协议)、标签和安检结果。
对于无法正确识别计算机身份的终端,可通过设置行为模子访问 http 的 80 端口将其网络访问流量重定向至安装客户端页面或 portal 认证页面。
2.802.1X 准入(MAB)
终端可以不装准入客户端,入网可以不用 用户名密码登录,一般针对哑终端使用,将需要管控的终端的MAC地点加入NAC MAB的mac表中,对表中有的mac,放行使其入网。
三、其他注意事项
1.NAC对终端流量举行管控
终端杀毒软件关闭,终端断网
若准入客户端、天擎客户端退出,NAC将监测不到合规终端,将自动断网
2.NAC准入客户端
可以部署独立的客户端,也可以和天擎联动使用天擎的准入模块举行认证
3.NAC阻断方式
旁路诱骗,通过RST打断TCP三次握手,举行阻断终端通讯
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
