奇安信_NAC终端安全准入系统(相关问题整理)

奇安信终端安全准入系统 ,下称NAC

一、入网控制方式

1.IP流量控制

2.802.1X 准入

需要NAC、交换机、终端

以802.1X

3.DHCP 准入

将NAC作为DHCP服务器,为客户端分配地址,并对分配地址的客户端进行入网管控。

(*)可选

强制入网终端安装NAC客户端

(*)可选 固定分配IP

在【固定分配】下,配置 MAC 与 IP 对应关系。当指定 MAC 的设备接入时,为该设备分配设定的 IP 地址。这里配置的设备无需安全校验可直接入网

(*)可选 停用设备

指定 MAC 的设备无法通过 DHCP 准入策略入网。可按需保留已使用的 IP,则该 MAC 已经使用过的 IP 地址,不会分配给其他入网的设备。

4.WebAuth 准入

一种Portal认证,由NAC作为web 认证服务器,

二、哪些控制方式不需要用户名密码登录

1.IP流量控制准入(IP-mac绑定)

对管控区内的终端,进行匹配检查,符合条件,可以入网

对管控区外的终端,策略不限制,可以直接入网

终端可以不装准入客户端,入网可以不用 用户名密码登录

管理员通过配置入网场景来控制终端使用入网策略的匹配条件,入网场景支持设置终端属性(包括类型、操作系统)、设备行为模型(访问流量 IP、目的端口,网络协议)、标签和安检结果。

对于无法准确识别计算机身份的终端,可通过配置行为模型访问 http 的 80 端口将其网络访问流量重定向至安装客户端页面或 portal 认证页面。

2.802.1X 准入(MAB)

终端可以不装准入客户端,入网可以不用 用户名密码登录,一般针对哑终端使用,将需要管控的终端的MAC地址加入NAC MAB的mac表中,对表中有的mac,放行使其入网。

三、其他注意事项

1.NAC对终端流量进行管控

终端杀毒软件关闭,终端断网

若准入客户端、天擎客户端退出,NAC将监测不到合规终端,将自动断网

2.NAC准入客户端

可以部署独立的客户端,也可以和天擎联动使用天擎的准入模块进行认证

3.NAC阻断方式

旁路欺骗,通过RST打断TCP三次握手,进行阻断终端通信

相关推荐
群联云防护小杜35 分钟前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai35 分钟前
HTTP协议及安全防范
网络协议·安全·http
黑客Jack2 小时前
防御 XSS 的七条原则
安全·web安全·xss
云云3212 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
神一样的老师3 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
云云3214 小时前
云手机方案全解析
大数据·服务器·安全·智能手机·矩阵
云云3215 小时前
云手机能用来干什么?云手机在跨境电商领域的用途
服务器·线性代数·安全·智能手机·矩阵
云云3215 小时前
云手机方案总结
服务器·线性代数·安全·智能手机·矩阵
m0_748237056 小时前
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
前端·安全·web安全
网络安全(华哥)6 小时前
X-Forwarded-For注入漏洞
windows·安全·web安全