奇安信_NAC终端安全准入系统(相关问题整理)

奇安信终端安全准入系统 ,下称NAC

一、入网控制方式

1.IP流量控制

2.802.1X 准入

需要NAC、交换机、终端

以802.1X

3.DHCP 准入

将NAC作为DHCP服务器,为客户端分配地址,并对分配地址的客户端进行入网管控。

(*)可选

强制入网终端安装NAC客户端

(*)可选 固定分配IP

在【固定分配】下,配置 MAC 与 IP 对应关系。当指定 MAC 的设备接入时,为该设备分配设定的 IP 地址。这里配置的设备无需安全校验可直接入网

(*)可选 停用设备

指定 MAC 的设备无法通过 DHCP 准入策略入网。可按需保留已使用的 IP,则该 MAC 已经使用过的 IP 地址,不会分配给其他入网的设备。

4.WebAuth 准入

一种Portal认证,由NAC作为web 认证服务器,

二、哪些控制方式不需要用户名密码登录

1.IP流量控制准入(IP-mac绑定)

对管控区内的终端,进行匹配检查,符合条件,可以入网

对管控区外的终端,策略不限制,可以直接入网

终端可以不装准入客户端,入网可以不用 用户名密码登录

管理员通过配置入网场景来控制终端使用入网策略的匹配条件,入网场景支持设置终端属性(包括类型、操作系统)、设备行为模型(访问流量 IP、目的端口,网络协议)、标签和安检结果。

对于无法准确识别计算机身份的终端,可通过配置行为模型访问 http 的 80 端口将其网络访问流量重定向至安装客户端页面或 portal 认证页面。

2.802.1X 准入(MAB)

终端可以不装准入客户端,入网可以不用 用户名密码登录,一般针对哑终端使用,将需要管控的终端的MAC地址加入NAC MAB的mac表中,对表中有的mac,放行使其入网。

三、其他注意事项

1.NAC对终端流量进行管控

终端杀毒软件关闭,终端断网

若准入客户端、天擎客户端退出,NAC将监测不到合规终端,将自动断网

2.NAC准入客户端

可以部署独立的客户端,也可以和天擎联动使用天擎的准入模块进行认证

3.NAC阻断方式

旁路欺骗,通过RST打断TCP三次握手,进行阻断终端通信

相关推荐
西京刀客5 分钟前
密码学之柯克霍夫原则(Kerckhoff原则)
安全·密码学
Gworg13 分钟前
创建HTTPS网站
安全·https·ssl
Smartdaili China1 小时前
如何在 Microsoft Edge 中设置代理: 快速而简单的方法
前端·爬虫·安全·microsoft·edge·社交·动态住宅代理
儒道易行2 小时前
【DVWA】RCE远程命令执行实战
网络·安全·网络安全
Hacker_LaoYi3 小时前
网络安全与加密
安全·web安全
Koi慢热3 小时前
路由基础(全)
linux·网络·网络协议·安全
hzyyyyyyyu5 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院5 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
Daniel 大东6 小时前
BugJson因为json格式问题OOM怎么办
java·安全
EasyNVR11 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控