奇安信_NAC终端安全准入系统(相关问题整理)

奇安信终端安全准入系统 ,下称NAC

一、入网控制方式

1.IP流量控制

2.802.1X 准入

需要NAC、交换机、终端

以802.1X

3.DHCP 准入

将NAC作为DHCP服务器,为客户端分配地址,并对分配地址的客户端进行入网管控。

(*)可选

强制入网终端安装NAC客户端

(*)可选 固定分配IP

在【固定分配】下,配置 MAC 与 IP 对应关系。当指定 MAC 的设备接入时,为该设备分配设定的 IP 地址。这里配置的设备无需安全校验可直接入网

(*)可选 停用设备

指定 MAC 的设备无法通过 DHCP 准入策略入网。可按需保留已使用的 IP,则该 MAC 已经使用过的 IP 地址,不会分配给其他入网的设备。

4.WebAuth 准入

一种Portal认证,由NAC作为web 认证服务器,

二、哪些控制方式不需要用户名密码登录

1.IP流量控制准入(IP-mac绑定)

对管控区内的终端,进行匹配检查,符合条件,可以入网

对管控区外的终端,策略不限制,可以直接入网

终端可以不装准入客户端,入网可以不用 用户名密码登录

管理员通过配置入网场景来控制终端使用入网策略的匹配条件,入网场景支持设置终端属性(包括类型、操作系统)、设备行为模型(访问流量 IP、目的端口,网络协议)、标签和安检结果。

对于无法准确识别计算机身份的终端,可通过配置行为模型访问 http 的 80 端口将其网络访问流量重定向至安装客户端页面或 portal 认证页面。

2.802.1X 准入(MAB)

终端可以不装准入客户端,入网可以不用 用户名密码登录,一般针对哑终端使用,将需要管控的终端的MAC地址加入NAC MAB的mac表中,对表中有的mac,放行使其入网。

三、其他注意事项

1.NAC对终端流量进行管控

终端杀毒软件关闭,终端断网

若准入客户端、天擎客户端退出,NAC将监测不到合规终端,将自动断网

2.NAC准入客户端

可以部署独立的客户端,也可以和天擎联动使用天擎的准入模块进行认证

3.NAC阻断方式

旁路欺骗,通过RST打断TCP三次握手,进行阻断终端通信

相关推荐
Hacker_Nightrain31 分钟前
网络安全CTF比赛规则
网络·安全·web安全
看山还是山,看水还是。1 小时前
Redis 配置
运维·数据库·redis·安全·缓存·测试覆盖率
学编程的小程1 小时前
【安全通信】告别信息泄露:搭建你的开源视频聊天系统briefing
安全·开源·音视频
网络安全指导员1 小时前
恶意PDF文档分析记录
网络·安全·web安全·pdf
渗透测试老鸟-九青2 小时前
通过投毒Bingbot索引挖掘必应中的存储型XSS
服务器·前端·javascript·安全·web安全·缓存·xss
vortex52 小时前
蓝队基础之网络七层杀伤链:从识别到防御的全方位策略
安全·网络安全·蓝队
白总Server2 小时前
JVM解说
网络·jvm·物联网·安全·web安全·架构·数据库架构
kali-Myon3 小时前
ctfshow-web入门-SSTI(web361-web368)上
前端·python·学习·安全·web安全·web
xxtzaaa3 小时前
抖音如何更安全的运营多个账号 打好运营基础
安全
Hacker_Oldv3 小时前
【网络工程】计算机硬件概述
前端·网络·安全·web安全