奇安信終端安全準入系統(tǒng) ,下稱NAC

一、入網控制方式

1.IP流量控制

2.802.1X 準入

需要NAC、交換機、終端
以802.1X

3.DHCP 準入

將NAC作為DHCP服務器，為客戶端分配地址，并對分配地址的客戶端進行入網管控。

（*）可選
強制入網終端安裝NAC客戶端

（*）可選 固定分配IP
在【固定分配】下，配置 MAC 與 IP 對應關系。當指定 MAC 的設備接入時，為該設備分配設定的 IP 地址。這里配置的設備無需安全校驗可直接入網

（*）可選 停用設備
指定 MAC 的設備無法通過 DHCP 準入策略入網?？砂葱璞Ａ粢咽褂玫?IP，則該 MAC 已經使用過的 IP 地址，不會分配給其他入網的設備。

4.WebAuth 準入

一種Portal認證，由NAC作為web 認證服務器，

二、哪些控制方式不需要用戶名密碼登錄

1.IP流量控制準入（IP-mac綁定）

對管控區(qū)內的終端，進行匹配檢查，符合條件，可以入網
對管控區(qū)外的終端，策略不限制，可以直接入網

終端可以不裝準入客戶端，入網可以不用 用戶名密碼登錄

管理員通過配置入網場景來控制終端使用入網策略的匹配條件，入網場景支持設置終端屬性（包括類型、操作系統(tǒng)）、設備行為模型（訪問流量 IP、目的端口，網絡協(xié)議）、標簽和安檢結果。

對于無法準確識別計算機身份的終端，可通過配置行為模型訪問 http 的 80 端口將其網絡訪問流量重定向至安裝客戶端頁面或 portal 認證頁面。

2.802.1X 準入（MAB）

終端可以不裝準入客戶端，入網可以不用 用戶名密碼登錄，一般針對啞終端使用，將需要管控的終端的MAC地址加入NAC MAB的mac表中，對表中有的mac，放行使其入網。

三、其他注意事項

1.NAC對終端流量進行管控

終端殺毒軟件關閉，終端斷網
若準入客戶端、天擎客戶端退出，NAC將監(jiān)測不到合規(guī)終端，將自動斷網

2.NAC準入客戶端

可以部署獨立的客戶端，也可以和天擎聯(lián)動使用天擎的準入模塊進行認證

3.NAC阻斷方式

旁路欺騙，通過RST打斷TCP三次握手，進行阻斷終端通信