西安做網站建設哪家好搜索引擎優(yōu)化排名seo
奇安信終端安全準入系統(tǒng) ,下稱NAC
一、入網控制方式
1.IP流量控制
2.802.1X 準入
需要NAC、交換機、終端
以802.1X
3.DHCP 準入
將NAC作為DHCP服務器,為客戶端分配地址,并對分配地址的客戶端進行入網管控。
(*)可選
強制入網終端安裝NAC客戶端
(*)可選 固定分配IP
在【固定分配】下,配置 MAC 與 IP 對應關系。當指定 MAC 的設備接入時,為該設備分配設定的 IP 地址。這里配置的設備無需安全校驗可直接入網
(*)可選 停用設備
指定 MAC 的設備無法通過 DHCP 準入策略入網??砂葱璞A粢咽褂玫?IP,則該 MAC 已經使用過的 IP 地址,不會分配給其他入網的設備。
4.WebAuth 準入
一種Portal認證,由NAC作為web 認證服務器,
二、哪些控制方式不需要用戶名密碼登錄
1.IP流量控制準入(IP-mac綁定)
對管控區(qū)內的終端,進行匹配檢查,符合條件,可以入網
對管控區(qū)外的終端,策略不限制,可以直接入網
終端可以不裝準入客戶端,入網可以不用 用戶名密碼登錄
管理員通過配置入網場景來控制終端使用入網策略的匹配條件,入網場景支持設置終端屬性(包括類型、操作系統(tǒng))、設備行為模型(訪問流量 IP、目的端口,網絡協(xié)議)、標簽和安檢結果。
對于無法準確識別計算機身份的終端,可通過配置行為模型訪問 http 的 80 端口將其網絡訪問流量重定向至安裝客戶端頁面或 portal 認證頁面。
2.802.1X 準入(MAB)
終端可以不裝準入客戶端,入網可以不用 用戶名密碼登錄,一般針對啞終端使用,將需要管控的終端的MAC地址加入NAC MAB的mac表中,對表中有的mac,放行使其入網。
三、其他注意事項
1.NAC對終端流量進行管控
終端殺毒軟件關閉,終端斷網
若準入客戶端、天擎客戶端退出,NAC將監(jiān)測不到合規(guī)終端,將自動斷網
2.NAC準入客戶端
可以部署獨立的客戶端,也可以和天擎聯(lián)動使用天擎的準入模塊進行認證
3.NAC阻斷方式
旁路欺騙,通過RST打斷TCP三次握手,進行阻斷終端通信