天擎V6完整版本.0-强制合规(NAC)-快速配置文档_第1页
天擎V6完整版本.0-强制合规(NAC)-快速配置文档_第2页
天擎V6完整版本.0-强制合规(NAC)-快速配置文档_第3页
天擎V6完整版本.0-强制合规(NAC)-快速配置文档_第4页
天擎V6完整版本.0-强制合规(NAC)-快速配置文档_第5页
已阅读5页,还剩53页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

360企业安全集团文档版本号:V2.1.1■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。目录|Contents一、 产品简介 41.1 产品概述 41.2 入网流程 51.3 产品组成 5二、安装部署 62.1 NAC引擎设备初始化配置 62.1.1 登录设备 62.1.2 网络基础配置 102.1.3控制中心连接配置 112.1.4双机热备 122.1.5常用命令 132.2 控制台中心 142.2.1控制中心登录 142.2.2设备管理 152.2.3授权管理 172.3 客户端 182.3.1认证小助手 182.3.1客户端安装 21三. 认证方案快速配置 243.1应用准入方案 243.1.1配置保护区 253.1.2配置监听端口和客户端下载页面 253.1.3配置入网流程 263.1.4配置交换机镜像 263.1.5验证 283.2WebPortal认证方案 283.2.1配置保护区 283.2.2配置监听端口和客户端下载页面 293.2.3配置入网流程 293.2.4配置交换机镜像 303.2.5验证 313.2.6来宾注册 323.2.7认证/注册配置 323.2.8注册审批 333.3802.1X认证方案 343.3.1添加接入点交换机 343.3.2添加用户 353.3.3第三方认证源配置 363.3.4配置交换机命令 373.3.5客户端认证验证 383.3.6认证日志 403.4MABMac认证方案 403.4.1添加Mac白名单 403.4.2交换机MAB配置 413.4.3验证 42四. 合规检查配置 434.1 安检合规 434.1.1 安全检查项 434.1.2 策略配置 444.1.3 修复区配置 464.1.4 分组策略部署 464.1.5 安全检查客户端 47五. 设备集中管理 495.1 设备管理 495.2 授权管理 515.3 策略分组 52产品简介产品概述天擎V6.0强制合规(NAC)主要为企事业单位解决入网安全合规性要求,核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。用于防止企业网络资源由于非法终端接入所引起的威胁,在规范终端入网流程的同时,不仅有效的管理了用户和终端接入行为,同时也保障了终端入网的安全可信及企业内网的安全。强制合规(NAC)支持多种认证技术及方式,可适应复杂网络环境下的终端入网控制和合规性访问要求,产品具备集中管理方式,设备分组配置管理,提供多种灵活的手段支持大型组织架构下的业务部署需求,并在各业务风险点提供多种逃生方式,保障业务的稳定运行,产品支持联动多种第三方认证源无缝认证,确保入网实名制统一认证管理要求。从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。强制合规(NAC)设备采用旁路部署,也可通过网关监听来发现和评估哪些终端入网是否符合遵从条件,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行隔离和修复,达到合规入网的管理规范要求,这种方式的优点在于无需和交换机进行联动,避免交换机管理的复杂性和终端私拉乱接带来的绕过可能性。入网流程工作流程主要包含3个环节:认证、检查、授权终端设备是否可以接入企业网络需要进行身份认证,未授权天擎终端设备不能接入企业网络或不能访问核心资源,认证成功后才能接入或访问,并通过安全合规检查和隔离措施,杜绝安全状况不达标的计算机接入企业工作网络,如不符合安全规则进行隔离修复,并友好提示,提供向导式的安全修复指引,修复成功以后才能正常访问工作区。通过多层强制合规的防护措施确保企业内部核心业务和数据的安全稳定运行。产品组成组成:天擎控制中心、NAC引擎设备、客户端三部分组成NAC引擎设备NAC引擎是组成的核心,机架式软硬一体设备,系统采用Linux架构,硬件为全内置封闭结构,稳定性高,采用旁路部署,提供认证和策略执行服务、基于天擎控制中心集中式管理。控制中心控制中心采用B/S架构,NAC的控制中心基于天擎控制台同台管理,管理员可以随时随地的通过浏览器打开访问,对NAC引擎下发配置策略,进行操作和监测管理。主要有认证配置模块、用户管理模块、认证源配置、会话管理、入网安全检查策略管理、集中管理、设备分组配置管理、日志报表等。系统提供接入认证日志报表、安检日志报表、安全检查统计分析等多维度接入安全信息数据的查询审计,管理员可通过数据全方位的追溯和分析终端接入和安全状态,并通过报表分析,掌握入网和安全威胁状况。客户端客户端部署在需要入网认证或安全检查的终端上,可提供802.1x认证拨号,入网合规检查、隔离修复、认证客户端交互配置等,并与服务器通信,接收控制中心管理所需入网策略配置和上报入网日志数据等信息。如果是WEBPortal认证方式可无需安装客户端,可通过WEB方式进行核心保护区域的访问认证,也可采用天擎客户端联动方式的应用准入,哑终端可通过MABMAC方式加入白名单来控制接入管理。二、安装部署NAC引擎初始化配置登录设备管理员首先需要登录到设备上,然后对设备进行基础配置,并配置连接天擎控制台地址,即可在天擎控制台上对NAC设备进行业务配置操作,可支持集中管理部署方式。通过SSH方式登录设备管理员的PC与设备之间通过IP网络互联时,管理员可以通过SSH方式登录设备,保证数据传输的安全性。组网需求现有管理员希望在NAC引擎上登陆默认管理员guest,使其可以通过SSH方式登录进行配置。设备到货后,可通过服务器默认地址连接对NAC引擎设备进行初始化基础配置1、服务器初始默认登录为Eth0,默认ip地址为2、首次登录使用笔记本设置为和服务器相同网段地址通过网线与服务器默认口(Eth0)连接3、管理员可以通过SSH方式登录设备,保证数据传输的安全性(建议登录后不要更改默认ETH0中的管理地址,在其他端口上配置地址来进行管理通讯,以便网口异常情况可使用默认口登录配置)管理员guest使用STelnet客户端(以PuTTY0.60为例)访问,输入用户名guest和密码guest@360.cn,可以正常登录,登录后可以进行业务配置。打开Putty.exe程序,在“HostName(orIPaddress)”文本框中输入强制合规设备的IP地址单击SSH客户端配置界面左侧目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,在“Protocoloptions”区域中,选择“PreferredSSHprotocolversion”参数的值为2。单击“Open”,首次登录时可能会提示保存公钥,在弹出的提示框中单击“Yes”。然后根据提示输入用户名和密码。注意1)不执行保存配置动作,所有的临时配置变更将在设备重启后丢失。2)如果您确定要固定配置,请在决定保存配置时,执行<360NAC>sysconfsave。网络基础配置管理员登录设备后,首先要对设备进行网络基础配置,使设备快速接入网络,也可配置通过网关监听方式部署,如:应用准入,需要配置监听和抓包口。配置思路配置时钟。配置各业务接口的IP地址。IP地址需要在配置前进行统一规划。配置监听端口(eth0)配置发包端口(eth0)配置缺省路由(gw网关)启用网卡(默认ETH0口开启,其他端口关闭状态,使用需开启)操作步骤1、配置时钟<360NAC>systemtimesettime“2016-07-1314:42:00”{"ret":200,"data":"时间设置成功"}2、配置接口的IP地址<360NAC>networkinterfacedeveth0addip/24{"ret":200,"data":"网络设置成功"}配置监听端口<360NAC>nacmonitormonitor_portseteth0{"ret":200,"msg":"success!"}配置发包端口<360NAC>nacmonitorout_portseteth0{"ret":200,"msg":"success!"}配置缺省路由<360NAC>networkrouteaddnet/0gwdeveth0{"ret":200,"msg":"success!"}启用网卡(默认ETH0口开启,其他端口关闭状态,使用需开启)<360NAC>networkinterfacedeveth1up结果验证1、验证时间<360NAC>systemtimelist2016-07-1300:03:252、验证网络配置<360NAC>networkinterfacelist{"ret":200,"data":[{"name":"eth0","mac":"00:0c:29:1d:88:9e","cidrip":"/24","mtu":1500,"status":"up","link":"YES","type":0,"redict":1},{"name":"eth0","mac":"00:0c:29:1d:88:9e","cidrip":"64/32","mtu":1500,"status":"up","link":"YES","type":0,"redict":1},{"name":"docker0","mac":"02:42:1a:49:e1:ab","cidrip":"/16","mtu":1500,"status":"up","link":"NO","type":0,"redict":0}3、验证监听端口<360NAC>nacmonitormonitor_portlist{"ret":200,"data":["eth0"]}4、验证发包端口<360NAC>nacmonitorout_portlist{"ret":200,"data":"eth0"}5、验证路由配置<360NAC>networkroutelist{"ret":200,"data":[{"srcip":"/0","dstip":"/0","gateway":"","dev":"eth0"},{"srcip":"/0","dstip":"","gateway":"","dev":"eth0"},{"srcip":"/0","dstip":"/16","gateway":"-","dev":"docker0"},{"srcip":"/0","dstip":"/24","gateway":"-","dev":"eth0"}6、验证网卡开启<360NAC>networkinterfacelist2.1.3控制中心连接配置配置网络基础配置后,配置天擎控制中心IP,使强制合规设备接受管理和控制中心连接,以便可以通过天擎控制中心同台管理。配置思路确定控制中心IP()确定上报端口(report_port)(默认为80)确定心跳端口(heart_port)(默认为80)确定心跳间隔(heart_interval)(默认为30)操作步骤<360NAC>configmgraddserverreport_port80heart_port80heart_interval30{"data":"Success.","ret":200}结果验证<360NAC>configmgrlist{"data":{"heart_beat":{"heart_interval":30,"heart_port":80,"heart_url":"/api/heartbeat.json"},"http_server":"","report_data":{"report_url":"/api/update_client_info.json","report_port":80}},"ret":200}注意1)上报端口、心跳端口默认为80,心跳间隔默认为30秒,一般情况下无需更改,特殊情况下该部分地址如需调整,比如控制中心部署在NAT环境,该部分改动请咨询厂商售后2.1.4双机热备在网络中部署两台设备形成双机热备状态,可以有效提高网络可靠性,避免网络单点故障。如无双机热备可不配置。双机热备主要应用在802.1x认证方案的逃生方式部署上,应用准入和Portal无需部署,由于采用网关旁路监听技术,本身具有逃生措施,如果设备故障或网络中断,网络会自动形成通路bypass,即刻会自动放行。组网需求NAC引擎ANAC引擎ANAC引擎B配置思路确定设备业务虚IP地址(64/24)配置主备设备的双机热备说明没有特殊要求的情况下,设备与交换机只需要插一根网线即可完成所有业务以及热备的搭建双机热备主要应用在802.1x逃生部署方式,应用准入和Portal方式无需配置操作步骤SSH登录到NAC引擎命令行进行配置,登录请参考第二章节安装部署。配置主机<360NAC>sysconfhaenableinterfaceeth0rolemastervirtual_ip64/24mirror_porteth0preempt_delay10virtual_router_id88{"ret":200,"msg":"Success"}配置备机<360NAC>sysconfhaenableinterfaceeth0rolebackupvirtual_ip64/24mirror_porteth0preempt_delay10virtual_router_id88{"ret":200,"msg":"Success"}结果验证1、主机<360NAC>sysconfhalist{"data":{"preempt_delay":10,"preempt":"yes","virtual_ipaddress":"64/24","state":"MASTER","virtual_router_id":88,"interface":"eth0"},"ret":200}2、备机<360NAC>sysconfhalist{"data":{"preempt_delay":10,"preempt":"yes","virtual_ipaddress":"64/24","state":"BACKUP","virtual_router_id":88,"interface":"eth0"},"ret":200}说明Preempt_delay延时多少秒抢占业务虚地址virtual_router_id如果网卡地址子网内仅存在多组热备,该配置需要手动指定,每组一个ID,默认为882.1.5常用命令关机<360NAC>systemshutdown重启<360NAC>systemreboot查看版本<360NAC>systemversionlist用户密码变更<360NAC>systempasswdsetnameguest引擎PING外部地址<360NAC>networkpingtimes2ip2为包的个数查看时间<360NAC>systemtimelist设置时间<360NAC>systemtimesettime<time><time>格式2016-05-1300:00:00查看接口<360NAC>networkinterfacelist配置接口<360NAC>networkinterfacedev<dev>addip<ip><dev>为接口名,例如eth0<ip>为IP地址,例如:/24查看路由<360NAC>networkroutelist配置路由<360NAC>networkrouteaddnet<net>gw<gw>dev<dev><net>目的地址,例如:/24<gw>网关,例如:<dev>接口,例如:eth0查看热备<360NAC>sysconfhalist配置热备<360NAC>sysconfhaenableinterface<interface>role<role>virtual_ip<virtual_ip>mirror_port<mirror_port>preempt_delay<preempt_delay><interface>心跳接口与业务接口<role>初始角色,可选参数:master或backup(主机和备机)<virtual_ip>虚IP地址,例如:/24<mirror_port>镜像端口,一般与<interface>一致<preempt_delay>抢占延时,默认5秒<virtual_router_id>虚拟路由ID,默认88关闭热备<360NAC>sysconfhadisable保存配置<360NAC>sysconfsave控制台中心2.2.1控制中心登录NAC引擎支持集中管理,控制台界面和天擎控制台同台管理,打开浏览器登录天擎控制中心,输入http://x.x.x.x:8080。其中x.x.x.x是天擎控制中心服务器IP地址,8080是控制中心管理端口。输入账号、密码,点击登录,即可进入控制中心。系统默认的管理员口令:角色帐号初始密码超级管理员adminadmin为了保证系统的安全,首次登录系统时需要对admin的初始密码进行配置。如果在登录时,连续3次输出错误的登录信息,则会要求输入对应的验证码信息。打开天擎控制台确认是否有“强制合规”和“安检合规”模块,如没有请咨询申请授权!可参考首页中的授权信息,是否开启,“强制合规”和“强制安检”模块。2.2.2设备管理天擎强制合规(NAC)支持集中管理,多台设备的分组管理,分组下发策略,支持分组自定义配置,提供多种灵活的手段支持大型组织架构下的业务需要,并支持批量升级,分组升级,支持手动分组,高级调试面板等功能。登录后确定NAC引擎设备是否和控制中心连接正常,在强制合规-设备管理中可查看连接上线的NAC引擎,如果没有连接,请确定NAC引擎初始化配置是否正确,连接地址是否正确;针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理。如下图所示:设备管理中可对NAC设备进行、分组、删除、修改、调试、升级等操作删除:可对NAC引擎进行删除,删除后保存最后一次配置,当NAC引擎和控制中心有心跳时会重新连接上线修改:可修改描述NAC的描述信息,比如:地址位置、备注等。调试模式:高级调试功能,主要是当设备出现故障时,厂商技术工程师的调试模式,一般情况下无需使用,请不要随意操作,在厂商技术支持指导下使用。设备升级:进行设备的批量升级操作分组管理:针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理,下发不同配置。2.2.3授权管理天擎强制合规(NAC)支持设备和功能的授权管理,多台设备由多位管理员接管,并支持超级管理员授权的机制,提供大型组织机构的分区域管理能力,超级管理员可分配不同的功能和不同的设备组到下级管理员,下级管理员只能操作所属区域的NAC设备,并可对细分功能进行控制。一体化授权机制完美的解决不同管理员配置访问权限的问题客户端2.3.1认证小助手当采用802.1X认证方案时需配置认证小助手,在安装天擎客户端时需在终端定制中勾选强制合规,默认是关闭状态,WEBPortal认证方案和应用准入方案无需配置认证小助手,通过WEB方式认证或安装天擎客户端进行准入条件。控制台中“策略中心”—“分组策略”—“基本设置—“终端定制”中勾选“强制合规”模块勾选“强制合规”后,安装天擎客户端成功后会同时加载入网认证模块认证小助手,认证小助手可提供802.1认证拨号,用户名密码方式,主机快速方式,认证交互和配置等相关服务,客户端的下载可在天擎服务器客户端下载页面进行下载,安装方式和天擎客户端安装方式一致。设置中可对认证小助手进行认证方式、数据发送方式等进行设置,可根据应用场景进行初始化,一般情况保持默认即可。认证小助手提供每次802.1X认证的详细日志记录认证小助手配置控制台可对认证小助手进行自定义配置,可根据不同组织部门定义不同的配置策略,如:认证小助手界面是否可设置、数据发送方式、认证方式、显示状态、LOGO自定义等选项进行定义,用户可根据需求场景来进行设置,一般情况下默认值无需修改。2.3.2应用准入打点配置强制合规的另外一个应用场景,应用准入天擎客户端联动方案,检测是否安装天擎客户端的存在,达到入网访问核心服务器的权限,强制安装天擎客户端,提高客户端部署效率、防止天擎违规卸载,保障入网终端是安全可信。配置天擎客户端的打点心跳到强制合规(NAC)服务器,NAC来判断是否拦截未安装天擎客户端的终端。应用准入无需安装天擎认证小助手插件,认证小助手可提供802.1X认证和客户端的HTTP认证方式。2.3.1客户端安装天擎客户端在线安装可以直接在需要安装天擎客户端的终端上使用浏览器打开终端的部署链接,点击页面上的“在线安装”,即可开始对天擎客户端进行下载和安装。在线安装中下载下来的程序为天擎客户端初始安装程序,在初始程序运行过程中,客户端会自动判断所在终端的操作系统类型(个人版或服务器版),然后在线安装后台定制好的客户端功能。在线下载的360天擎客户端的名称为360skylarinst(x.x.x.x_80).exe,其中x.x.x.x是天擎控制中心服务器IP地址,双击该安装程序即可开始在线安装。图:360天擎客户端安装程序启动后,会直接开始客户端的安装,此时客户端会自动从天擎控制中心下载和安装客户端组件。图:360天擎客户端装过程安装完成后,会提示对应的完成向导。图:360客户端安装完成界面点击<完成>,完成并退出安装。天擎客户端离线安装当需要部署天擎客户端的电脑无法连接天擎控制中心服务器时,可以采用离线安装的方式对天擎客户端进行安装。管理员需要先通过离线包制作工具生成离线安装包,适应交换机已经开启802.1x口,网络无法连通的客户端安装,安装成功后即可使用认证小助手进行入网认证。具体的步骤如下:在定制完客户端的功能后,登录到天擎控制中心后点击“首页”—“终端部署”—点击“离线包制作工具”,即可对离线包安装工具进行下载,下载下来后直接运行,开始生成离线部署安装包:图:终端离线安装包生存工具图:离线安装包生存完成离线安装包生成完成后,点击“打开文件夹”,即可查看生成的天擎客户端离线安装包。生成出来的离线包程序名称为“offlineSetup(x.x.x.x_80).exe”,管理员可以将该离线安装包拷贝到对应的离线终端上进行安装即可。双击离线包开始安装:图:离线安装包勾选“已阅读并同意许可协议”,选择需要安装的盘符,默认为C盘,点击”立即安装”,即可一键完成360天擎客户端的离线安装。认证方案快速配置本章节主要介绍360天擎-强制合规(NAC)的几种认证方式的快速配置。1、应用准入方案(天擎联动方式)2、WebPortal认证方案3、802.1X认证方案4、MABMac认证方案3.1应用准入方案强制合规(NAC)设备采用网关旁路部署,监测终端入网访问是否安全、可信,是否安装天擎客户端,以达到入网遵从条件,快速部署客户端,提高客户端部署效率、防止天擎去化率过高,配置天擎客户端的打点心跳到强制合规(NAC)引擎服务器,NAC来判断是否拦截未安装天擎客户端的终端,达到入网安全性检测,并可配合安全检查来达到更加细粒度的合规入网要求。启用NAC联动开关,配置NAC设备的IP地址,配置天擎客户端的打点心跳间隔时间,时间建议不要太小,尽量在5—30分钟内,时间太小发送打点心跳过于频繁。3.1.1配置保护区需要保护的核心区域,当未安装天擎客户端的终端使用Web访问保护区的地址范围(目标地址),未安装天擎客户端访问保护区会强制重定向到天擎客户端安装页面。注意!!!如果保护区包含天擎服务器地址,需加入到保护区例外中,以免被拦截,导致下发策略不成功。3.1.2配置监听端口和客户端下载页面需要配置WEB访问监听端口,重定向天擎客户端的下载页面,可配置多个页面,可针对不同入网流程中的网段范围,配置相应的天擎客户端下载页面,减少单台服务器下载的压力。可设置哑终端协议例外,当哑终端和保护区服务器有通讯连接时,需把连接端口进行例外处理。监听http协议端口:采用Portal认证时监听http协议的端口号,默认80和8080已监听,当企业需要保护的核心服务器http访问是其他特殊端口时需要添加。如::5354,访问这样的URL地址端口的保护服务器时,需要添加监听5354端口。如果重定向页面包含URL域名,需要转化为IP地址加入到保护区例外中,以免出现循环重定向。3.1.3配置入网流程对添加的IP范围地址(源地址)访问保护区域,按照入网流程中定义进行。添加入网流程:请选择“安装天擎-入网”流程,配置天擎重定向页面地址。如果此网段有移动终端无需遵从入网规则,请选择自动例外移动终端,设备将自动把移动终端加入到白名单中。3.1.4配置交换机镜像交换机镜像配置视不同的交换机品牌和型号,具体配置可参考交换机配置手持,这里分别以华为何H3C为例。华为:配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的入方向业务流量到GigabitEthernet0/0/2上。system-view[Quidway]observe-port1interfacegigabitethernet0/0/2[Quidway]interfacegigabitethernet0/0/1[Quidway-GigabitEthernet0/0/1]port-mirroringtoobserve-port1inboundH3C:#在端口视图下配置Ethernet1/0/1为镜像源端口,并且对该端口的接收和发送的报文都进行镜像。<Sysname>system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]mirroring-portboth#在端口视图下配置Ethernet1/0/4为镜像目的端口[Sysname]interfaceEthernet1/0/4[Sysname-Ethernet1/0/4]monitor-port3.1.5验证当未安装天擎客户端的终端访问保护区时,会被重定向到天擎客户端的安装页面,下载安装成功后可正常访问,确保入网访问的安全性,NAC会实时跟踪监测天擎客户端的安装活动状态,并做相应的入网阻断和控制。3.2WebPortal认证方案 WebPortal认证方案是保护网络核心区域不受外部非法访问的认证方案,采用旁路部署,通过监听保护区域的网络数据流,并做连接跟踪,对企业内网数据流进行合法性检测并对非法连接进行阻断和控制,保护核心区域访问的安全。它基于用户核心业务保护概念,对非法访问用户核心资源进行访问限制,确认身份的合法后才能正常访问。WebPortal的认证方案和天擎联动打点方案配置类似,都是采用旁路监听技术,控制台的操作也类似。3.2.1配置保护区当访问保护区核心业务的终端使用Web访问保护区时(目标地址),会重定向到认证页面。3.2.2配置监听端口需要配置WEB访问监听端口监听http协议端口:采用Portal认证时监听http协议的端口号,默认80和8080已监听,当企业需要保护的核心服务器http访问是其他特殊端口时需要添加。如::5354,访问这样的URL地址端口的保护服务器时,需要添加监听5354端口。3.2.3配置入网流程对添加的IP范围地址(源地址)访问保护区域,按照入网流程中定义进行。添加入网流程:这里请选择“认证/注册-入网”流程,WEB认证也可支持手持设备的入网访问控制。如手持设备无需认证请选择例外,设备将自动将移动终端加入到白名单。3.2.4配置交换机镜像交换机镜像配置视不同的交换机品牌和型号,具体配置可参考交换机配置手持,这里分别以华为何H3C为例。华为:配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1上的入方向业务流量到GigabitEthernet0/0/2上。system-view[Quidway]observe-port1interfacegigabitethernet0/0/2[Quidway]interfacegigabitethernet0/0/1[Quidway-GigabitEthernet0/0/1]port-mirroringtoobserve-port1inboundH3C:#在端口视图下配置Ethernet1/0/1为镜像源端口,并且对该端口的接收和发送的报文都进行镜像。<Sysname>system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]mirroring-portboth#在端口视图下配置Ethernet1/0/4为镜像目的端口[Sysname]interfaceEthernet1/0/4[Sysname-Ethernet1/0/4]monitor-port3.2.5验证当终端WEB访问保护区业务时,会被重定向到认证页面,认证成功后即可访问,如来宾用户还没有账号时,可进行注册,等待管理员审批后才能进行访问。为了保证安全,避免长时间可访问连接,WEB认证可配置重定向周期,默认为72小时。72小时后需重新输入账号进行再次认证登录,强制合规-认证配置-认证源中进行配置。3.2.6来宾注册如来宾用户还没有账号时,可进行注册,等待管理员审批后才能进行访问。3.2.7认证/注册配置如果需对认证或注册页面进行配置,强制合规-认证配置-WEB认证-认证页面,在所有设备分组中进行配置。认证页面是对Web认证页面的个性化配置和对用户注册的流程定义,其中包括认证页面的LOGO配置、认证页面的管理员留言配置、用户注册页面配置,用户注册配置可定义是否提供用户注册,注册用户必填信息,注册用户名复杂性设置等操作。;3.2.8注册审批审批模式有两种,管理员审批和自动审批,强制合规-认证配置-WEB认证-认证页面,中进行审批和配置。管理员审批:管理员需对注册用户进行手动确认自动审批:系统根据自动审批规则对注册的用户进行自动审批3.3802.1X认证方案 强制合规(NAC)802.1x认证是通过标准802.1x协议,在网络接入层做准入控制、根据认证授权情况确定是否能访问网络,可联动入网合规检查,根据检查结果下发网络访问权限,802.1x认证可提供端口级的强准入控制方案,并支持认证授权、安全检查、隔离修复、访问控制“一站式”的全流程接入控制管理,从而使内部终端接入管理变得安全、可控、透明。3.3.1添加接入点交换机进入802.1x认证配置页面,添加需要开启802.1x的接入点交换机,如下图所示:点击添加接入交换机按钮添加交换机信息,交换机802.1x配置根据不同的型号有不同的配置命令,可参考不同交换机对应的文档。上图红圈中所示为必填项交换机名称:可自定义。IP地址:交换机管理地址。802.1xKey和重复Key:可自定义,如123456,注意此处填写的Key一定要与交换机中配置的KEY一致。说明1)其他属性如地理位置可自行填写,方便后期维护。2)SNMP设置:可根据交换机的SNMP协议配置填写对应的团体字。交换机配置了SNMP管理后,系统可获取到接入点交换机端口的使用情况和状态信息,如下图所示:3.3.2添加用户添加用户主要用来进行终端的802.1X或者WEBPORTAL认证使用,用户可以是本地用户也可支持第三方认证源无缝认证,可对用户进行认证后VLAN的划分,用户在线数量限制、账号有限期等添加用户:说明1)本页面可针对账号建立账号的组织。2)带星号的为必填项。3)允许用户同时在线数:为PORTAL方式使用,对于802.1X认证方式无效。4)认证成功后VLAN分配:针对802.1X认证方式使用,对PORTAL方式无效3.3.3第三方认证源配置强制合规(NAC)提供多种认证源联动认证方式,支持本地用户、AD认证、LDAP认证、Email认证、Http认证,适应用户不同网络环境,满足用户实名制统一认证管理的入网需求。主机认证方式:强制合规(NAC)支持主机身份认证方式,基于802.1X认证方案时,即安装了客户端自动入网,开机自动认证,认证过程后台执行,在不影响用户日常习惯体验上又达到了安全入网的目的,主机身份主要是根据终端的MID唯一标识符、作为产生主机身份算法的因子,安全强度大于传统的MAC方式认证,可避免用户更改mac地址来伪造其他主机身份绕过准入控制的缺陷。主机方式认证在确保安全性的同时又达到了快速接入网络的需求,此方案主要适用于没有统一认证源的大型企业用户。认证默认有效时间:当采用802.1X认证方案时,在默认认证有效时间后,客户端会在后台执行重新拨号,确保长时间认证有效性和安全性。Portal认证默认重定向周期,应用于Portal认证,避免账号长时间认证登陆导致访问安全。打点默认保活周期,主要在应用准入方案时使用,天擎联动监测客户端是否存在,当NAC设备默认次数内没收到打点心跳默认进行阻断。一般情况下默认设置即可。认证安全配置:一键全局认证放行:当用户网络或第三方认证源出问题时,导致认证无法通过,可紧急开启认证放行机制。当第三方认证源出现故障时:此阶段是保证用户自身认证源出故障时的自动逃生方案。第三方服务器认证缓存:也是一种逃生方式,当开启后,第三方认证源故障时,提供一定时间的逃生缓冲时间,便于紧急情况的修复而不影响正常网络使用。快速认证模式:首次认证需到LDAP上验证用户身份入网,以后认证无需再和LDAP进行身份校验,采用主机方式快速入网,同时终端和用户进行绑定,达到了入网即可确定身份的合法性也可提供入网认证速度,此方案需导入LDAP用户,不适用于所有场景,建议一般情况下不要开启。3.3.4配置交换机命令交换机802.1X配置根据不同品牌、不同型号配置命令有差别,可参考对应的厂商文档,这里分别就H3C和思科为例,IOS的版本不同配置也可能不同,请以交换机厂家配置文档为准。3.3.5客户端认证验证认证小助手安装成功后,可进行入网认证,输入正确的用户名和密码进行认证即可。3.3.6认证日志“日志报表”-“入网日志”中可查看802.1X认证记录详细。可查看认证时间、用户名、接入计算机名、IP、MAC、组织、接入交换机、端口、认证状态、用户类型、认证失败记录等认证日志详情。3.4MABMac认证方案企业用户网络中存在大量的哑终端设备,对于此类不能安装客户端的哑终端设备需要接入控制时用到此功能。适应企业大量分散哑终端设备的入网控制,VIP终端的放行等,如:网络打印机、网络电话等,防止非法设备接入企业网络。3.4.1添加Mac白名单其原理就是利用交换机的MABMAC认证功能,将哑终端的MAC地址通过交换机转发至准入服务器进行认证。提供MABMAC认证时例外的终端MAC是必填项,也可批量导入MAC列表。3.4.2交换机MAB配置MABMac认证是基于802.1x的扩展基础上,根据不同交换机型号或版本配置有所不同,请以交换机厂商配置文档为准,这里以H3C和思科为例,在端口下开启MAC认证模式。H3C交换机:mac-authentication开启mac认证全局命令mac-authenticationdomainmac认证引用认证的域,此域可以与802.1X认证的域通用interfaceGigabitEthernet1/0/18dot1xport-methodmacbasedmac-authentication端口开启mac认证dot1x开启802.1X认证思科交换机:interfaceFastEthernet0/8switchportmodeaccessauthenticationorderdot1xmabauthenticationprioritydot1xmabauthenticationport-controlautomabeapdot1xpaeauthenticatorspanning-treeportfast3.4.3验证在控制中心设置需要例外的终端mac2、MAC地址为3c:97:0e:62:7a:90的终端接入启用802.1x的交换机端口,直接通过MAC地址认证成功,在交换机中如下图:认证成功后直接可以访问网络,并可在控制台查看认证日志及认证会话 合规检查配置安检合规天擎安检合规模块监视终端安全状态,能快速定位发现入网计算机终端的安全合规状态,并利用其终端防火墙隔离方式立即将这个设备与网络上的其它设备隔离起来,只能够访问修复区,同时依照策略进行引导修复。对于已授权入网并安全的计算机终端或用户,如发现运行阶段不符合安全检查策略,可调用定时检查或周期检查引擎,对该终端的安全状态进行二次检查,并进行隔离,可采用一键修复或引导修复安全漏洞,提供安全检查结果详情和全网安全状态统计日志报表。安全检查项在天擎安全检查策略配置中心,管理者可轻松定义安全检查策略,天擎安全检查策略中心提供多种安全检查机制,并不断进行安检库的维护和更新,后期可提供更多的安全检查项目。现可支持的安全检查项如下:1、防火墙是否启用检查、2、系统空密码检查、3、U盘自启动是否启用检查、4、远程桌面是否开启检查、5、是否开启文件共享检查、6、Guest账号是否开启检查、7、是否设置IE代理检查8、IP获取方式检查、9、是否登录域检查、10、服务黑白名单检查、11、进程黑白名单检查、12、软件黑白名单检查、13、杀毒软件检查、14、外联能力检查、15、补丁检查、16、注册表检查、17、关键位置文件检查、18、操作系统版本检查策略配置在天擎安全检查策略配置中心,管理者可轻松定义安全检查策略,天擎安全检查策略中心提供多达18大项安全检查机制,并不断进行安检库的维护和更新,后期可提供更多的安全检查项目。可在“策略中心”—“安检合规—“安检模板”中配置安全检查策略模板,并在分组策略中进行策略的部署下发配置,配置比较简单,不一一列举,如下:以软件检查和操作系统检查为例。检查禁止安装的软件时,可配置引导卸载,用户可调用卸载程序。操作系统检查,操作入网系统是否符合指定OS版本修复提示:是指当检查失败后客户端会提示“详情信息”,引导用户进行修复。关键检查项:是指用户最关注的安全检查项,当此项设置为关键检查项时,如果安检违规并设置了违规处理策略时,将被隔离到修复区,不是关键检查项的策略提供安全检查日志和统计分析报表,管理员可通过数据全方位的追溯和分析终端接入和安全状态,给企业终端入网安全状态提供依据。说明1)策略配置中部分项目是只需开启开关后即可检查,部分项目是需要进行配置策略内容才能开启生效。2)关键检查项不通过隔离,需在分组策略中进行相应的开启和修复区配置。修复区配置修复区是指当配置了关键检查项检查失败后处理措施时,终端只能访问的区域,白名单区域,此区域只提供修复服务器访问供修复引导或有限的访问。分组策略部署策略发布:当策略配置好后进行策略模板的发布,发布后的模板才能在分组策略中进行部署生效,发布的模板不能进行编辑,只能引用。以防止用户轻易修改策略,出现策略误配置错误,导致风险。分组策略部署:当策略模板配置成功发布后,可在“策略中心”—“分组策略”中进行策略的下发,可针对不同的组织部门部署不同的安全检查策略。可设置“入网检查”、“周期检查”和“定时检查”机制。入网检查:是指当终端启动后接入企业内网(和服务器连通)立即进行检查,一旦关键检查项失败后立即隔离,并进行失败隔离提示,防止不安全的终端进行非法网络访问。周期检查:指定周期时间进行安全检查,当关键项被隔离时弹出隔离提示,默认情况下在后台进行检查,检查结果上报给服务器做统计分析,对用户不产生影响,只有违规隔离时进行弹出提示。定时检查:是指在规定的时间进行安全检查,安全检查会在后台进行,一旦有关键检查项出现违规立即隔离并提示,正常情况下程序默认在后台执行安全检查操作,检查结果上报给服务器做统计分析,对用户不产生影响,只有违规隔离时弹出提示。安全检查客户端如图所示:入网检查的安全检查流程,系统提供两种修复方式,可执行一键修复的安检项可立即修复,不可执行一键修复的安检项系统提供引导修复详细,可点击“查看详情”提示进行引导修复。安全检查通过:当没有关键检查项违规时,网络不隔离,只提示安全检查结果,可根据内容进行相应的修复,并提供安全检查日志报表,供入网合规分析。安全检查不通过:当有关键检查项违规并设置了隔离策略时,提示安全检查结果,同时立即隔离网络,进入修复区,必须修复成功后才能在次进入工作区网络,可根据内容进行相应的修复。关键检查项修复成功后,点击重新检查,检查通过后可立即进入工作区。设备集中管理设备管理天擎强制合规(NAC)支持多台设备的分组管理,分组下发策略,支持分组自定义配置,提供多种灵活的手段支持大型组织架构下的业务需要,并支持批量升级,分组升级,支持手动分组,高级调试面板等功能。登录后确定设备是否和控制中心连接正常,在强制合规-设备管理中可查看连接上线的NAC引擎,针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理。如下图所示:设备管理中可对NAC设备进行、分组、删除、修改、调试、升级等操作删除:可对NAC引擎进行删除,删除后保存最后一次配置,当NAC引擎和控制中心有心跳时会重新连接上线修改:可修改描述NAC的描述信息,比如:地址位置等。调试模式:高级调试功能,主要是当设备出现故障时,厂商技术工程师的调试模式,一般情况下无需使用,请不要随意操作,在厂商技术支持指导下使用。设备升级:进行设备的批量升级操作分组管理:针对大型用户有多台NAC引擎时,可对引擎进行

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论