一. 产品简介
1.1 产品概述
天擎强制合规(NAC)组件主要为企事业单位解决入网安全合规性要求,核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。用于防止企业网络资源不受非法终端接入所引起的各种威胁,在有效管理用户和终端接入行为的同时,也保障了终端入网的安全可信,同时达到了规范化地管理计算机终端的目的。
NAC组件基于天擎“一体化”平台集中管理与统一监测,实现数据共享和业务联动能力,分区、分权的管理模式,符合超大规模用户统一管理、统一认证的管理需求,并满足大型网络架构下的准入部署难题,真正实现分布式部署、集中化管理的要求。
产品具备多种准入控制方式,可实现核心区域的访问控制,终端层面的访问控制,接入层边界的访问控制,满足不同网络环境下轻、中、高强度的准入控制需求,支持AD、LDAP、Email、Http等多种第三方认证源无缝认证,确保实名制认证、统一管理要求,各阶段具备多种逃生方案,保障业务的稳定运行,从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
1.2 入网流程
工作流程主要包含3个环节:认证授权、合规检查、访问控制
终端设备是否可以接入企业网络需要进行身份认证,未授权天擎终端设备不能接入企业网络或不能访问核心资源,认证成功后才能接入或访问,并通过安全合规检查和隔离措施,杜绝安全状况不达标的计算机接入企业工作网络,如不符合安全规则进行隔离修复,并友好提示,提供向导式的安全修复指引,修复成功以后才能正常访问工作区。通过多层强制合规的防护措施确保企业内部核心业务和数据的安全稳定运行。
1.3 产品组成
组成:天擎控制中心、NAC引擎设备、客户端三部分组成
NAC引擎设备
NAC引擎是组成的核心,机架式软硬一体设备,系统采用Linux架构,硬件为全内置封闭结构,采用旁路部署,提供认证和策略执行服务、基于天擎控制中心集中式管理。
控制中心
控制中心采用B/S架构,NAC的控制中心基于天擎控制台同台管理,管理员可以随时随地的通过浏览器打开访问,对NAC引擎下发配置策略,进行操作和监测管理。主要有认证配置模块、用户管理模块、认证源配置、会话管理、入网安全检查策略管理、集中管理、设备分组配置管理、日志报表等。
系统提供接入认证日志报表、安检日志报表、安全检查统计分析等多维度接入安全信息数据的查询审计,管理员可通过数据全方位的追溯和分析终端接入和安全状态,并通过报表分析,掌握入网和安全威胁状况。
客户端
客户端部署在需要入网认证或安全检查的终端上,可提供802.1x认证拨号,入网合规检查、隔离修复、认证客户端交互配置等,并与服务器通信,接收控制中心管理所需入网策略配置和上报入网日志数据等信息。
如果是WEB Portal认证方式可无需安装客户端,可通过WEB方式进行核心保护区域的访问认证,也可采用天擎客户端联动方式的应用准入,哑终端可通过MAB MAC方式加入白名单来控制接入管理。
二. 安装部署
2.1 NAC引擎初始化配置
2.1.1 登录设备
管理员首先需要登录到设备上,然后对设备进行网络基础配置,并配置连接天擎控制台地址,即可在天擎控制台上对NAC设备进行业务配置操作,可支持集中管理部署方式。
通过SSH方式登录设备
管理员的PC与设备之间通过IP网络互联时,管理员可以通过SSH方式登录设备,保证数据传输的安全性。
组网需求
现有管理员希望在NAC引擎上登陆默认管理员guest,使其可以通过SSH方式登录进行配置。
设备到货后,可通过服务器默认地址连接对NAC引擎设备进行初始化基础配置
1、服务器初始默认登录为Eth0,默认ip地址为192.168.0.1,建议不要修改。
2、首次登录使用笔记本设置为和服务器相同网段地址 通过网线与服务器默认口(Eth0)连接
3、管理员可以通过SSH方式登录设备,保证数据传输的安全性
(建议登录后不要更改默认ETH0中的管理地址,在其他端口上配置地址来进行管理通讯,以便网口异常情况可使用默认口登录配置)
管理员guest使用STelnet客户端或SSH登录软件,(以PuTTY0.60为例)访问192.168.0.1,输入用户名guest和密码guest@360.cn,可以正常登录,登录后可以进行业务配置。
- 打开Putty.exe程序,在“Host Name(or IP address)”文本框中输入强制合规设备的IP地址192.168.0.1
- 单击SSH客户端配置界面左侧目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,在“Protocol options”区域中,选择“Preferred SSH protocol version”参数的值为2。
- 单击“Open”,首次登录时可能会提示保存公钥,在弹出的提示框中单击“Yes”。然后根据提示输入用户名和密码。
注意
|
1)不执行保存配置动作,所有的临时配置变更将在设备重启后丢失。 2)如果您确定要固定配置,请在决定保存配置时,执行<360NAC>sysconf save。 |
2.1.2 网络基础配置
管理员登录设备后,首先要对设备进行网络基础配置,使设备快速接入网络,也可配置通过网关监听方式部署,如:应用准入,需要配置监听和抓包口。
常用配置思路
- 配置各业务接口的IP地址,IP地址需要在配置前进行统一规划。
- 配置缺省路由 (gw网关)
- 配置监听端口
- 配置发包端口
- 打开旁路监听开关
- 启用网卡(默认ETH0口开启,其他端口关闭状态,ETH0为默认初始管理接口,建议不要使用,开启其他端口使用)
注意:设备中的eth0为默认初始化管理端口,建议不要使用,请使用其他未被占用端口进行配置,使用前请参考命令6先开启端口,然后进行相关配置。
操作步骤
1、 配置接口的IP地址
<360NAC>network interface dev eth1 add ip 172.2.2.2/24
2、 配置缺省路由
<360NAC>network route add net 0.0.0.0/0 gw 172.27.131.2 dev eth1
3、 配置监听端口
<360NAC> nacmonitor monitor_port set eth2
4、 配置发包端口
<360NAC>nacmonitor out_port set eth1
5、 打开旁路监听开关
<360NAC>nacmonitor status set 1
6、 启用网卡(默认ETH0口开启,其他端口关闭状态,使用需开启)
<360NAC>network interface dev eth1 up
结果验证
1、 验证网络配置
<360NAC>network interface list
2、 验证路由配置
<360NAC>network route list
3、 验证监听端口
<360NAC>nacmonitor monitor_port list
4、 验证发包端口
<360NAC>nacmonitor out_port list
5、 验证旁路监听开关
<360NAC>nacmonitor status list
6、 验证网卡开启
<360NAC>network interface list
2.1.3控制中心连接配置
配置网络基础配置后,配置天擎控制中心IP,使强制合规设备接受管理和控制中心连接,以便可以通过天擎控制中心同台管理。
配置思路
- 确定控制中心IP(172.27.131.1)
- 确定上报端口(report_port)(默认为80)
- 确定心跳端口(heart_port)(默认为80)
- 确定管理端口(man_port)(默认为8080)
- 确定心跳间隔(heart_interval)(默认为30)
操作步骤
<360NAC>configmgr add server 172.27.131.1 report_port 80 heart_port 80 man_port 8080 heart_interval 30
{"data": "Success.", "ret": 200}
结果验证
<360NAC>configmgr list
{"data": {"heart_beat": {"heart_interval": 30, "heart_port": 80, "heart_url": "/api/heartbeat.json"}, "http_server": "172.27.131.1", "report_data": {"report_url": "/api/update_client_info.json", "report_port": 80}}, "ret": 200}
注意
|
1)上报端口、心跳端口默认为80,心跳间隔默认为30秒,一般情况下无需更改,特殊情况下该部分地址如需调整,比如控制中心部署在NAT环境,该部分改动请咨询厂商售后 |
2.1.4双机热备
在网络中部署两台设备形成双机热备状态,可以有效提高网络可靠性,避免网络单点故障。如无双机热备可不配置。双机热备主要应用在802.1x认证方案的逃生方式部署上,天擎联动应用准入和Portal无需部署,由于采用网关旁路监听技术,本身具有逃生措施,如果设备故障或网络中断,网络会自动形成通路bypass,即刻会自动放行。
组网需求
配置思路
- 确定设备业务虚IP地址(浮游地址)如:172.27.131.164/24
- 配置主机和备机的双机热备
说明
|
1) 没有特殊要求的情况下,设备与交换机只需要插一根网线即可完成所有业务以及热备的搭建 2) 双机热备主要应用在802.1x逃生部署方式,应用准入和Portal方式无需配置 |
操作步骤
- SSH登录到NAC引擎命令行进行配置,登录请参考第二章节安装部署。
- 配置主机
<360NAC>sysconf ha enable interface eth1 role master virtual_ip 172.27.131.164/24 mirror_port eth0 preempt_delay 10 virtual_router_id 88
{"ret":200, "msg":"Success"}
3 配置备机
<360NAC>sysconf ha enable interface eth1 role backup virtual_ip 172.27.131.164/24 mirror_port eth0 preempt_delay 10 virtual_router_id 88
{"ret":200, "msg":"Success"}
结果验证
1、主机
<360NAC>sysconf ha list
{"data": {"preempt_delay":10, "preempt": "yes", "virtual_ipaddress": "172.27.131.164/24", "state": "MASTER", "virtual_router_id": 88, "interface": "eth0"}, "ret": 200}
2、备机
<360NAC>sysconf ha list
{"data": {"preempt_delay":10, "preempt": "yes", "virtual_ipaddress": "172.27.131.164/24", "state": "BACKUP", "virtual_router_id": 88, "interface": "eth0"}, "ret": 200}
说明
|
1) Preempt_delay延时多少秒抢占业务虚地址virtual_router_id如果网卡地址子网内仅存在多组热备,该配置需要手动指定,每组一个ID,默认为88 |
2.1.5常用命令
关机
<360NAC>system shutdown
重启
<360NAC>system reboot
查看版本
<360NAC>system version list
用户密码变更
<360NAC>system passwd set name guest
引擎PING外部地址
<360NAC>network ping times 2 ip 192.168.0.1
2为包的个数
查看时间
<360NAC>system time list
设置时间
<360NAC>system time set time <time>
<time> 格式 2016-05-13 00:00:00
查看接口
<360NAC>network interface list
配置接口
<360NAC>network interface dev <dev> add ip <ip>
<dev> 为接口名,例如eth0
<ip> 为IP地址,例如:1.1.1.1/24
查看路由
<360NAC>network route list
配置路由
<360NAC>network route add net <net> gw <gw> dev <dev>
<net> 目的地址,例如:192.168.1.0/24
<gw> 网关,例如:192.168.1.1
<dev> 接口,例如:eth0
查看热备
<360NAC>sysconf ha list
配置热备
<360NAC>sysconf ha enable interface <interface> role <role> virtual_ip <virtual_ip> mirror_port <mirror_port> preempt_delay <preempt_delay>
<interface> 心跳接口与业务接口
<role> 初始角色,可选参数:master 或 backup(主机和备机)
<virtual_ip> 虚IP地址,例如:192.168.22.1/24
<mirror_port> 镜像端口,一般与 <interface> 一致
<preempt_delay> 抢占延时,默认5秒
<virtual_router_id> 虚拟路由ID,默认88
关闭热备
<360NAC>sysconf ha disable
保存配置
<360NAC>sysconf save
2.1.6 控制台仪表盘
当配置好NAC引擎和控制台成功连接后,在天擎控制台-设备管理-强制合规设备管理中可查看设备的连接情况,在控制台界面仪表盘中可对NAC引擎进行相关操作配置和查看NAC引擎情况,并支持接口设置、双机热备、全局设置、调试工具、运行日志、网络抓包等
2.1.6.1仪表盘
仪表盘支持查看NAC引擎资源使用情况、端口流量、监听数据包、流量排名等可视化数据,为监测和运维提供依据。
2.1.6.2接口设置
当控制台和NAC引擎通过命令行配置连接成功后,可通过控制台接口设置,配置NAC引擎其他端口的网络基础属性,启用状态等,使用应用准入时,可配置监听和发布端口。
注意:这里请不要更改NAC引擎和控制台的连接地址,以免连接中断。
2.1.6.3 双机热备
当使用802.1x认证时,为保证系统的稳定连续运行,需要配置HA双机热备,在控制台就可进行HA的配置,配置HA的接口,选择HA的虚拟地址/浮游地址,这个地址做为接入点交换机认证的Radius服务器地址。
注意:虚拟路由ID和切换延时如无特殊要求请按照默认值配置。
2.1.6.4 全局设置
当天擎控制台中心服务器地址需要变化,变化后NAC引擎将和控制中心失去连接,如需要修改控制中心地址,先在这把引擎连接的控制中心改成新地址,然后再修改天擎控制中心地址,修改成功后,NAC引擎会自动连接新控制中心。
可配置NAC引擎外联的DNS服务器地址
手动BYPASS:当需要紧急逃生时,可勾选,所有认证用户将全局放行。
设备与控制中心失联时,启用BYPASS:当设备与控制中心失联时,NAC设备将正常工作,只是无法更新策略和配置,此时如果要避免风险,也可启用BYPASS,所有认证用户将全局放行。
启用SNMP配置时,NAC引擎可和接受第三方网管设备的监测和管理。
数据同步服务器IP地址:应用准入打点时,当用户网络环境有多出口流量交叉,可将一台NAC引擎上的打点数据同步到另外一台或多台引擎,满足终端流量交叉时的使用场景。
2.1.6.5 调试工具
调试工具可检测NAC引擎服务的运行状况,并可手动开启,并支持客户端会话、PING、Traceroute等测试工具,用与诊断NAC的运行情况和接收的客户端打点或认证会话。
2.1.6.6 运行日志
运行日志是NAC引擎在运行过程中的相关日志,运维排查使用,当NAC引擎出现问题时,可下载对应问题日志提供给研发内部进行分析,可方便快速定位到问题的源头。
2.1.6.7 网络抓包
网络抓包是当采用应用准入方式部署时,要判断端口监听是否配置成功或终端数据包的拦截情况,可进行网络抓包分析,提供抓包大小和时长配置,可下载日志,提供运维时的排查工具。
2.2 控制台中心
2.2.1控制中心登录
NAC引擎支持集中管理,控制台界面和天擎控制台同台管理,打开浏览器登录天擎控制中心,输入http://x.x.x.x:8080。其中x.x.x.x是天擎控制中心服务器IP地址,8080是控制中心管理端口。
输入账号、密码,点击登录,即可进入控制中心。
系统默认的管理员口令:
|
角色 |
帐号 |
初始密码 |
|
超级管理员 |
admin |
Admin123 |
为了保证系统的安全,首次登录系统时需要对admin的初始密码进行配置。如果在登录时,连续3次输出错误的登录信息,则会要求输入对应的验证码信息。
打开天擎控制台确认是否有“强制合规”和“安检合规”模块,如没有请咨询申请授权!
可参考首页中的授权信息,是否开启,“强制合规”和“强制安检”模块。
2.2.2设备管理
天擎强制合规(NAC)支持集中管理,多台设备的分组管理,分组下发策略,支持分组自定义配置,提供多种灵活的手段支持大型组织架构下的业务需要,并支持批量升级,分组升级,支持手动分组,高级调试面板等功能。
登录后确定NAC引擎设备是否和控制中心连接正常,在强制合规设备-设备管理中可查看连接上线的NAC引擎,如果没有连接,请确定NAC引擎初始化配置是否正确,连接地址是否正确;针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理。如下图所示:
设备管理中可对NAC设备进行、分组、删除、修改、调试、升级等操作
删除:可对NAC引擎进行删除,删除后保存最后一次配置,当NAC引擎和控制中心有心跳时会重新连接上线
修改:可修改描述NAC的描述信息,比如:地址位置、备注等。
调试模式:高级调试功能,主要是当设备出现故障时,厂商技术工程师的调试模式,一般情况下无需使用,请不要随意操作,在厂商技术支持指导下使用。
设备升级:进行设备的批量升级操作
分组管理:针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理,下发不同配置。
2.2.3授权管理
天擎强制合规(NAC)支持设备和功能的授权管理,多台设备由多位管理员接管,并支持超级管理员授权的机制,提供大型组织机构的分区域管理能力,超级管理员可分配不同的功能和不同的设备组到下级管理员,下级管理员只能操作所属区域的NAC设备,并可对细分功能进行控制, 一体化授权解决不同管理员配置访问权限的问题
2.3 认证客户端
2.3.1认证小助手
当采用802.1X认证方案时需配置认证小助手,在安装天擎客户端时需在终端定制中勾选强制合规,默认是关闭状态,WEB Portal认证方案和应用准入方案无需配置认证小助手,通过WEB方式认证或安装天擎客户端进行准入条件。
注意:当802.1x认证已经开启,终端定制中不能去掉勾选,去掉勾选后认证小助手不加载,认证服务停止,会导致无法认证断网。
控制台中“策略中心”—“设备策略”—“基本设置—“终端定制”中勾选“强制合规”加载终端认证小助手模块。
勾选“强制合规”后,安装天擎客户端成功后会同时加载入网认证模块认证小助手,认证小助手可提供802.1认证拨号,用户名密码方式,主机方式,认证交互和配置等相关服务,客户端的下载可在天擎服务器客户端下载页面进行下载,安装方式和天擎客户端安装方式一致。
设置中可对认证小助手进行认证方式、数据发送方式等进行设置,可根据应用场景进行初始化,一般情况保持默认即可,当需要由账号认证方式切换到主机方式,可在设置中进行配置,前提保证控制台中认证源已经开启“主机认证方式”
认证小助手提供每次802.1X认证的详细日志记录
2.3.1.1认证小助手配置
控制台可对认证小助手进行自定义配置,可根据不同组织部门定义不同的终端配置策略,如:认证小助手界面是否可设置、数据发送方式、认证方式、显示状态、LOGO自定义等选项进行定义,用户可根据需求场景来进行设置,一般情况下默认值无需修改。
2.3.2天擎NAC联动配置
强制合规的另外一个应用场景,应用准入天擎客户端联动方案,检测是否安装天擎客户端的存在,达到入网访问核心服务器的权限,强制安装天擎客户端,提高客户端部署效率、防止天擎违规卸载,保障入网终端是安全可信。配置天擎客户端的打点心跳到强制合规(NAC)服务器,NAC来判断是否拦截未安装天擎客户端的终端。
应用准入可无需安装天擎认证小助手插件,也可在控制中心配置托盘隐藏,认证小助手主要提供802.1X拨号认证和客户端的HTTP认证方式,应用准入和portal可无需加载插件。
注意:当802.1x认证已经开启,在由802.1x方式切换到应用准入方式,终端定制中不能直接去掉勾选,去掉勾选后认证小助手不加载,认证服务停止,会导致无法认证断网。
2.3.1客户端安装
2.3.1.1天擎客户端在线安装
可以直接在需要安装天擎客户端的终端上使用浏览器打开终端的部署链接,点击页面上的“在线安装”,即可开始对天擎客户端进行下载和安装。在线安装中下载下来的程序为天擎客户端初始安装程序,在初始程序运行过程中,客户端会自动判断所在终端的操作系统类型(个人版或服务器版),然后在线安装后台定制好的客户端功能。
在线下载的360天擎客户端的名称为360skylarinst(x.x.x.x_80).exe,其中x.x.x.x是天擎控制中心服务器IP地址,双击该安装程序即可开始在线安装。
图:360天擎客户端
安装程序启动后,会直接开始客户端的安装,此时客户端会自动从天擎控制中心下载和安装客户端组件。
图:360天擎客户端装过程
安装完成后,会提示对应的完成向导。
图:360天擎客户端安装完成界面
点击<完成>,完成并退出安装。
2.3.1.2天擎客户端离线安装
当需要部署天擎客户端的电脑无法连接天擎控制中心服务器时,可以采用离线安装的方式对天擎客户端进行安装。管理员需要先通过离线包制作工具生成离线安装包,适应交换机已经开启802.1x口,网络无法连通的客户端安装,安装成功后即可使用认证小助手进行入网认证。具体的步骤如下:
在定制完客户端的功能后,登录到天擎控制中心后点击“首页”—“终端部署”—点击“离线包制作工具”,即可对离线包安装工具进行下载,下载下来后直接运行,开始生成离线部署安装包:
图:终端离线安装包生存工具
图:离线安装包生存完成
离线安装包生成完成后,点击“打开文件夹”,即可查看生成的天擎客户端离线安装包。生成出来的离线包程序名称为“offlineSetup(x.x.x.x_80).exe”,管理员可以将该离线安装包拷贝到对应的离线终端上进行安装即可。双击离线包开始安装:
图:离线安装包
勾选“已阅读并同意许可协议”,选择需要安装的盘符,默认为C盘,点击”立即安装”,即可一键完成360天擎客户端的离线安装。
三. 准入认证快速配置
本章节主要介绍360天擎-强制合规(NAC)的几种主要认证方式的快速配置。
1、应用准入方案(天擎联动方式)
2、Web Portal认证方案
3、802.1x认证方案
4、MAB Mac认证方案
3.1应用准入方案
应用准入是一种网关准入防护技术,目的是防止非法终端访问企业核心区域资源,规范终端入网流程,保障入网终端的安全可信,结合终端的合规检查,可满足企业入网的合规性管理要求。
强制合规(NAC)设备引擎采用旁路部署,通过流监听来发现和评估哪些终端入网是否符合遵从条件,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行隔离和修复,达到合规入网的管理规范要求,这种方式的优点在于无需和交换机进行联动,避免交换机管理和配置的复杂性,终端私拉乱接带来的绕过可能性。此轻量级的准入方案,部署简单,上线快,对环境依赖较小,风险和故障点相对较小。
终端的安全防护的一切要素在于安全监测客户端的存在,如果没有安全客户端等于脱离管理,存在重大的安全隐患,终端变成裸奔状态,非可信状态。强制合规(NAC)另一方案,是和天擎终端协同联动,检测入网访问的终端是否安装终端防护点,达到入网遵从条件,可提高客户端的部署效率,防止天擎的卸载和去化率过高,保障入网终端是在安全可控范围内,防止无保护,存在安全隐患的终端访问企业的核心资源,配置合规检查策略也可实现更加细粒度的入网合规要求。
3.1.1启用联动
启用NAC联动开关,配置NAC设备的IP地址,配置天擎客户端的打点心跳间隔时间,时间建议不要太小,尽量在5—30分钟内,时间太小发送打点心跳过于频繁。
当网络环境为多ISP出口,单一终端同时受多NAC同时管控的场景下,可配置联动附加地址,支持最多配置5个联动地址,中间使用半角逗号分隔。客户端将同时向联动地址和附加地址打点,确保合规终端同时被多个NAC放行。
3.1.2配置保护区
保护区是指需要保护的核心区域,当未安装天擎客户端的终端使用Web访问保护区的地址范围(目标地址),未安装天擎客户端访问保护区会强制重定向到天擎客户端安装页面。
注意!!!如果保护区包含天擎服务器地址,需加入到保护区例外中,以免被拦截,导致下发策略不成功。
3.1.3配置监听端口和客户端下载页面
需要配置WEB访问监听端口,重定向天擎客户端的下载页面,可配置多个页面,可针对不同入网流程中的网段范围,配置相应的天擎客户端下载页面,减少单台服务器下载的压力。
可设置哑终端协议例外,当哑终端和保护区服务器有通讯连接时,需把连接端口进行例外处理。
监听http协议端口:采用Portal认证时监听http协议的端口号,默认80和8080已监听,当企业需要保护的核心服务器http访问是其他特殊端口时需要添加。
如:http://www.360.cn:5354, 访问这样的URL地址端口的保护服务器时,需要添加监听5354端口。
3.1.4配置入网流程
对添加的IP范围地址(源地址)访问保护区域,按照入网流程中定义进行。
添加入网流程:
请选择“安装天擎-入网”流程,配置天擎重定向页面地址。
如此网段有移动终端无需遵从入网规则, 请选择自动例外移动终端,设备将自动把移动终端加入到白名单中。
3.1.5 漫游配置
漫游配置主要实现应用准入功能下同一控制台不同NAC管控区域之间的准入漫游,通过漫游特性,可以方便的在多个NAC之间迁移,不妨碍终端的入网特性;同时通过漫游日志,可以查看终端+用户的漫游情况。
配置操作步骤:
- 登录控制台,设备管理-强制合规设备-规则配置,添加漫游规则,如下图所示:
- 强制合规设备-设备管理处,添加两个设备组,分别为北京、上海,将设备172.27.131.201
转移到北京组,将设备172.27.131.150转移到上海组。
- 策略中心-终端策略-数据采集,配置NAC联动信息。此处配置的NAC地址为未匹配到漫游策略时默认的NAC打点地址。
- 终端将ip地址设置为172.27.131.6,匹配规则一,该终端使用设备172.27.131.201,即
打点、认证都将使用该设备。
- 终端修改ip地址为172.27.131.158,匹配规则二,这时终端会根据漫游规则,重新使用
新的设备172.27.131.150。
- 在控制台入网日志-终端漫游里,会查看到详细的漫游日志,如截图所示:
同时在首页也会展示出漫游动态:
说明:以下场景终端需要重新获取新的漫游地址:无NAT区域《----》有NAT区域;无NAT区域《----》无NAT区域(不同区域);有NAT区域《----》有NAT区域(不同区域)
3.1.6 NAT管理与精度控制
NAT环境下,NAC无需下沉到NAT中部署,解决小NAT众多环境下应用准入的部署难题,同时解决NAT网中天擎客户端的安装监测,提高NAT下天擎的安装覆盖率。
配置步骤:
1.设置保护区(172.27.131.225)
2.设置入网流程(要测试的终端的nat地址需添加在入网流程中,nat地址以172.27.131.152为例)
3.设置nat管理,添加nat地址:172.27.131.152,编辑操作为精度控制
可通过如下命令:policy nat list limit **在nac盒子中查看,设置的策略是否成功,其中action:1,2,3分别对应放行,阻止,精度控制。
4.控制台上-策略中心-数据采集:nac联动配置如下,如需配置NAT管理,需勾选“启用终端水印”。
5.终端处于nat(172.27.131.152)环境下,访问保护区,被拦截重定向安装部署客户端界面
6.终端点击安装部署客户端
7.终端安装部署客户端后,网络驱动安装需要1-2分钟时间,收到终端水印策略后正常打网络水印,可以访问保护区;如果没有打网络水印的话,终端无法访问保护区。
注意:如果终端没有打水印,即使安装了天擎客户端,同样不能访问保护区,还是重定向到安装天擎页面;同一nat网络内未安装天擎客户端的终端访问保护区,被重定向到安装天擎页面;如果终端本身性能就不好,安装天擎客户端时很卡,那么水印驱动安装相应地时间也要长一些(7-8分钟)。
水印支持的操作系统:win xp、win7 x86、win7 x64、win10 x86、win10 x64
NAT管理配置说明:
1.可以在nat管理下添加nat例外,同时可以设置操作:放行、阻止、精度控制
2.NAT发现:nat设备下有终端打点,就能发现nat网络
3.放行操作:nat下所有设备放行
4.阻止操作:nat下所有设备不可访问保护区
5.精度控制:以流程2为例,nat下有水印的设备放行,无水印的设备阻止
6.当发现的nat环境和添加的nat相冲突的时候,前者覆盖后者,对于发现的nat环境同样可以编辑操作
3.1.7配置交换机镜像
交换机镜像配置视不同的交换机品牌和型号而不同,具体配置可参考同型号交换机配置手册,这里分别以华为和H3C为例,仅做参考。
华为:
配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1端口上的业务流量到GigabitEthernet0/0/2端口,GigabitEthernet0/0/2端口为NAC的监听端口。
system-view
[Quidway] observe-port 1 interface gigabitethernet 0/0/2
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
H3C:
# 在端口视图下配置Ethernet 1/0/1为镜像源端口,并且对该端口的接收和发送的报文都进行镜像。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mirroring-port both
# 在端口视图下配置Ethernet 1/0/4为镜像目的端口
[Sysname] interface Ethernet 1/0/4
[Sysname-Ethernet1/0/4] monitor-port
3.1.8验证
当未安装天擎客户端的终端访问保护区时,会被重定向到天擎客户端的安装页面,下载安装成功后可正常访问,确保入网访问的安全性,NAC会跟踪监测天擎客户端的安装活动状态,如果一旦卸载客户端,NAC在一个打点联动周期内,会重新阻断和控制。
3.2 Web Portal认证方案
Web Portal认证方案是保护网络核心区域不受外部非法访问的认证方案,采用旁路部署,通过监听保护区域的网络数据流,并做连接跟踪,对非法连接进行阻断和控制,保护核心区域访问的安全。它基于用户核心业务保护概念,对非法访问用户核心资源进行访问限制,确认身份的合法后才能正常访问。配置安全检查策略后,可做到细粒度的访问控制,当必须符合的安全检查项不合规时,进行隔离修复。
Web Portal的认证方案和天擎联动打点方案配置类似,都是采用旁路技术,控制台的操作也类似。
3.2.1配置保护区
当访问保护区核心业务的终端使用Web访问保护区时(目标地址),会重定向到认证页面。
3.2.2配置监听http端口
需要配置WEB访问监听端口
监听http协议端口:采用Portal认证时监听http协议的端口号,默认80和8080已监听,当企业需要保护的核心服务器http访问是其他特殊端口时需要添加。
如:http://www.360.cn:5354, 访问这样的URL地址端口的保护服务器时,需要添加监听5354端口。
3.2.3配置入网流程
对添加的IP范围地址(源地址)访问保护区域,按照入网流程中定义进行。
添加入网流程:
这里请选择“认证/注册-入网”流程,WEB认证也可支持手持设备的入网访问控制。如手持设备无需认证请勾选“自动例外移动终端”移动终端将加入到白名单。
3.2.4配置交换机镜像
交换机镜像配置视不同的交换机品牌和型号而不同,具体配置可参考同型号交换机配置手册,这里分别以华为和H3C为例,仅做参考。
华为:
配置GigabitEthernet0/0/1为镜像接口,GigabitEthernet0/0/2为观察接口,观察接口索引号为1。镜像GigabitEthernet0/0/1端口上的业务流量到GigabitEthernet0/0/2端口上。GigabitEthernet0/0/2端口为NAC的监听端口。
system-view
[Quidway] observe-port 1 interface gigabitethernet 0/0/2
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 inbound
H3C:
# 在端口视图下配置Ethernet 1/0/1为镜像源端口,并且对该端口的接收和发送的报文都进行镜像。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] mirroring-port both
# 在端口视图下配置Ethernet 1/0/4为镜像目的端口
[Sysname] interface Ethernet 1/0/4
[Sysname-Ethernet1/0/4] monitor-port
3.2.5验证
当终端WEB访问保护区业务时,会被重定向到认证页面,认证成功后即可访问,如来宾用户还没有账号时,可进行注册,等待管理员审批后才能进行访问。为了保证安全,避免长时间可访问连接,WEB认证可配置重定向周期,默认为72小时,72小时后需重新认证登录,已确保核心服务器区的访问安全,一般默认时间即可。
默认重定向周期配置,可在强制合规设备-认证配置-认证源中进行参数修改。
3.2.6注册账号
如访客人员或来宾需要临时进入网络访问,可注册申请账号,并注明入网原因,等待管理员审批后才能进行访问或系统自动审批,管理员可配置访问时长,注册申请输入内容等限制条件。
3.2.7认证/注册配置
如果需对认证或注册页面进行配置,用户管理-注册管理-注册与认证中进行配置。认证页面是对Web认证页面的个性化配置和对用户注册的流程定义,其中包括认证页面的LOGO配置、认证页面的管理员留言配置、用户注册页面配置,用户注册配置可定义是否提供用户注册,注册用户必填信息,注册用户名复杂性、修改密码设置等操作。
3.2.8注册审批
审批模式有两种,管理员审批和自动审批,强制合规-认证配置-WEB认证-认证页面,中进行审批和配置。
管理员审批:管理员需对注册用户进行手动确认
自动审批:系统根据自动审批规则对注册的用户进行自动审批
3.2.9注销及修改密码
1、功能特性介绍
如果终端用户需要进行注销和修改密码动作,设备管理-强制合规设备-注册管理-注册与认证页面中可以进行设置。
2、功能操作详细步骤及截图
在设备管理-强制合规设备-注册管理-注册与认证页面中,勾选页面配置页面的“显示修改密码”和“显示注销会话框”复选框即可。
3、功能验证效果及截图
开启显示修改密码:
配置页面勾选开启显示修改密码。
使用入网流程中的终端进行web认证,在认证页面会出现修改密码链接。
点击修改密码按钮,会要求输入用户名密码先进行认证,认证完成后才会出现新密码输入框及确认框,点击保存按钮后,密码修改即完成。密码修改后,等待一次心跳时间即可生效。
开启显示注销会话框:
配置页面勾选开启显示注销会话框。
使用入网流程中的终端进行web认证,在输入用户名密码点击认证按钮认证成功后会出现一个确认框,提示如下图:
点击【确定】按钮,浏览器打开一个新的tab,跳转到保护区页面。原页面显示当前会话情况。
点击【注销当前会话】按钮,即可对当前会话进行注销。注销后,页面跳转至认证页面。
认证会话-web认证会话中test账户的认证会话被删除。
3.2.10访问权限控制
1、功能特性介绍
针对保护区进行权限控制,不同的角色可以访问不通的保护区。为了实现这一需求,天擎NAC引入了角色的概念。通过角色,进一步控制认证用户对于保护区的访问权限。
2、功能操作详细步骤及截图
设备管理-强制合规设备-认证用户页面,点击右上角的角色管理链接。
输入角色信息,选择保护区,点击【保存】按钮
编辑认证用户,选择角色
3、 功能验证效果及截图
加入对应角色前认证通过后提示无访问权限
加入角色后认证通过直接访问保护区。
注意:无角色可访问任何保护区。
3.2.11 防火墙联动
1、功能特性介绍
内网保护区访问限制+外网应用(服务)访问限制,天擎NAC与天堤的结合,进一步的加强了对内网控制的力度。通过NAC与天堤的联动,可以进行基于账户权限进行不同级别的网络访问控制。
2、功能操作详细步骤及截图
开启防火墙联动
设备管理-强制合规设备-设备管理页面,点击nac设备,选择防火墙联动tab页,开启防火墙联动。
拉取服务/应用对象
设备管理-强制合规设备-设备管理页面,点击nac设备,选择防火墙联动tab页,点击【立即同步】按钮,同步成功后,会显示最后一次同步成功时间。
配置目的地址对象
设备管理-强制合规设备-规则配置-防火墙规则页面,点击地址配置页面,点击【添加】按钮,配置地址对象,支持主机、子网、ip范围、域名。
配置服务对象
设备管理-强制合规设备-规则配置-防火墙规则页面,点击服务配置页面,点击【添加】按钮,配置服务对象,单个服务对象最多只能配置32个预置服务。
配置应用对象
设备管理-强制合规设备-规则配置-防火墙规则页面,点击应用配置页面,点击【添加】按钮,配置应用对象,单个应用对象最多只能配置100个预置应用。
配置访问策略
设备管理-强制合规设备-规则配置-防火墙规则页面,点击策略规则页面,点击【添加】按钮,配置策略规则,单个应用对象最多只能配置100个预置应用。
配置防火墙角色
设备管理-强制合规设备-规则配置-防火墙规则页面,点击角色配置页面,点击【添加】按钮,配置角色。一个角色可以配置多条策略。
入网流程引用防火墙角色
设备管理-强制合规设备-认证配置-web认证页面,在入网流程中,选择防火墙角色test。
4、 功能验证效果及截图
在角色创建好之后,nac就会将天擎访问控制策略发送到防火墙上。
在web认证通过或者打点完成时,可以看到防火墙角色上线。
3.2.12短信认证
系统支持访客使用手机号和短信验证码进行认证入网。将专用的短信猫接入网络,在设备管理控制面板中的短信猫设置中开启短信猫服务,修改相关配置并保存后,发送测试短信到测试手机号,收到测试短信后,短信猫即配置完成。
短信猫配置完成后,在注册管理页面开启“显示短信认证”功能,在portal入网页面即开启短信认证功能。
在重定向的认证页面,访客可使用短信认证功能,输入入网原因,姓名和手机号,点击获取验证码,经管理员审核通过后,系统即会向访客发送验证码,在有效期内,访客可以使用验证码认证并入网。在一次审批有效期内,访客多次获取验证码,系统将自动发送验证码,无需管理员反复审批。
系统支持访客注册后的管理员手动审批和自动审批,相关的审批设置在注册管理的手机审批页面进行设置。
3.3 802.1x认证方案
强制合规(NAC)802.1接入认证是通过标准802.1x协议,在网络接入层做准入认证、根据认证授权情况确定是否能访问网络,支持动态VLAN的下发,可绑定多种认证因素实现强认证管理,结合入网合规性检查策略,根据合规性下发网络访问权限,802.1x认证可提供端口级的强准入认证方案,并支持认证授权、合规检查、隔离修复、访问控制 “一站式”的全流程接入管理。
3.3.1添加接入点交换机
进入802.1x认证配置页面,添加需要开启802.1x的接入点交换机,如下图所示:
点击添加接入交换机按钮添加交换机信息,交换机802.1x配置根据不同的品牌和型号有不同的配置命令,可参考不同交换机对应的配置文档。
上图红圈中所示为必填项
交换机名称:可自定义。
IP地址:交换机管理地址。
802.1x Key和重复Key:可自定义,如123456,注意此处填写的Key一定要与交换机中配置的Key一致。
说明
|
1)其他属性如地理位置可自行填写,方便后期维护。 2)SNMP设置:可根据交换机的SNMP协议配置填写对应的团体字。 |
如交换机开启SNMP,控制台配置了SNMP管理后,系统可获取到接入点交换机端口的使用情况和状态信息列表,是否未多MAC端口,判断疑似HUB的接入行为,如下图所示:
3.3.2添加用户
添加用户主要用来进行终端的802.1x或者Web Portal认证使用,用户可以是本地用户也可支持第三方认证源联动认证,可对用户进行认证后Vlan的切换,用户在线数量限制、账号有限期等配置
添加用户:
说明
|
1)本页面可针对账号建立账号的组织。 2)带星号的为必填项。 3)允许用户同时在线数:为Portal方式使用,对于802.1x认证方式无效。 4)认证成功后Vlan分配:针对802.1x认证方式使用,对Portal方式无效 |
3.3.3认证源配置
强制合规(NAC)提供多种认证源联动认证方式,支持本地用户、AD认证、LDAP认证、Email认证、Http认证,可支持第三方认证源的备份,适应用户不同网络环境,满足用户实名制统一认证管理的入网需求。
主机认证方式:强制合规(NAC)支持主机身份认证方式,基于802.1x认证方案时,即安装了客户端自动入网,开机自动认证,认证过程后台执行,在不影响用户日常习惯体验上又达到了安全入网的目的,主机身份主要是根据终端的MID唯一标识符、作为产生主机身份算法的因子,安全强度大于传统的MAC方式认证,可避免用户更改mac地址来伪造其他主机身份绕过准入控制的缺陷。主机方式认证在确保安全性的同时又达到了快速接入网络的需求,此方案主要适用于没有统一认证源的大型企业用户。
认证默认有效时间
802.1x默认有效时间:当采用802.1x认证方案时:在默认认证有效时间后,客户端会在后台执行重新拨号,确保长时间认证有效性和安全性。
Portal认证默认重定向周期:应用于Portal认证,避免账号长时间认证访问导致安全隐患。
打点默认保活周期:主要在应用准入方案时使用,天擎联动监测客户端是否存在,当NAC设备默认周期时间未收到打点心跳默认重新进行阻断,一般情况下默认设置即可,用以监测客户端是否被卸载。
移动终端例外默认有效时间:移动终端在应用准入流程中如果被例外,后台会有自动有效时间算法,避免IP被长时间例外占有。
认证安全配置
第三方认证源异常时,自动放行:当第三方认证源出现故障,无法响应,此阶段是保证用户自身认证源出故障时的自动逃生方案。
第三方服务器认证缓存:也是一种逃生方式,当开启后,第三方认证源故障时,提供一定时间的逃生缓冲时间,便于紧急情况修复认证源服务器,而不影响正常网络使用。
快速认证模式:首次认证需到LDAP上验证用户身份入网,以后认证无需再和LDAP进行身份校验,采用主机方式快速入网,同时终端和用户进行绑定,达到了入网安全和快速认证入网。
注意:此方案需导入LDAP用户对应关系,不适用于一些用户场景,建议一般情况下不要开启。
3.3.4配置交换机命令
交换机802.1x配置根据不同品牌、不同型号配置命令有差别,可参考对应的交换机厂商文档,这里分别就H3C和思科为例,IOS的版本不同配置也可能不同,请以交换机厂家配置文档为准,这里仅做参考。
3.3.5客户端认证验证
认证小助手安装成功后,可进行入网认证,输入正确的用户名和密码进行认证即可。
3.3.6客户端无线认证
认证小助手支持无线AP的802.1x认证,使用时选择无线网卡,选择需要连接AP的ssid,输入用户名、密码进行认证即可。
通过配置认证方式中的无线安全类型,终端支持市场主流类型的无线认证。
3.3.7客户端主机认证
控制台认证源配置处开启主机认证后,终端可进行基于主机的1x认证。无需输入用户名密码,在合法终端上点击认证按钮即可认证成功。
3.3.8主机认证放行
控制台认证源配置处开启主机认证方式放行开关,进行主机认证时便不再校验客户端是否在控制台注册。
3.3.9双机热备配置
控制台支持通过nac设备控制面板配置nac双机热备的功能。在设备管理处点击nac设备ip,打开控制面板,在双机热备界面配置nac工作模式及相关配置。
主备机配置完成后,可在设备管理页面查看设备的HA工作状态。
3.3.10认证日志
“日志报表”-“入网日志”中可查看802.1x认证记录详细,可查看认证时间、 用户名、 接入计算机名、 IP、 MAC、 组织、 接入交换机、 端口、 认证状态、 用户类型、 认证失败记录等认证日志详情。
3.4 MAB Mac认证方案
企业用户网络中存在大量的哑终端设备,对于此类不能安装客户端的哑终端设备需要接入控制时用到此功能。适应企业大量分散哑终端设备的入网控制,VIP终端的放行等,如:网络打印机、网络电话等,防止非法设备接入企业网络。
3.4.1添加Mac白名单
其原理就是利用交换机的MAB MAC认证功能,将哑终端的MAC地址通过交换机转发至准入服务器进行认证。
提供MAB MAC认证时例外的终端MAC是必填项,也可批量导入MAC列表。
3.4.2交换机MAB配置
MAB Mac认证是基于802.1x的扩展基础上,根据不同交换机型号或版本配置有所不同,请以交换机厂商配置文档为准,这里以H3C和思科为例,在端口下开启MAC认证模式。
H3C交换机:
- mac-authentication
- 开启mac认证全局命令
- mac-authentication domain test.commac
- 认证引用认证的域,此域可以与802.1x认证的域通用
- interface GigabitEthernet1/0/18
- dot1x port-method macbased
- mac-authentication
- 端口开启mac认证
- dot1x
- 开启802.1X认证
思科交换机:
- interface FastEthernet0/8
- switchport mode access
- authentication order dot1x mab
- authentication priority dot1x mab
- authentication port-control auto
- mab eap
- dot1x pae authenticator
- spanning-tree portfast
3.4.3验证
1、 在控制中心设置需要例外的终端mac
2、MAC地址为3c:97:0e:62:7a:90的终端接入启用802.1x的交换机端口,直接通过MAC地址认证成功,在交换机中如下图:
5、 认证成功后可以连接网络,并可在控制台查看认证日志及认证会话,用户名为当前设备的MAC地址。
四. 第三方认证源配置
4.1 功能特性介绍
当用户拥有自己的认证服务器,并且要求天擎使用该认证服务器进行认证时,天擎需要提供第三方认证的接口。目前支持三种方式的第三方认证源:邮箱服务器认证、http服务器认证、ldap服务器认证。
4.2 每个认证源配置操作案例及截图
三种第三方认证服务器的配置均在设备管理-强制合规设备-认证配置-认证源页面
邮件服务器认证配置:
HTTP认证
LDAP认证
注:
三种认证方式只能同时开启一种,可与本地认证同时开启
三种认证方式均可开启备机配置,备机只需要填写地址即可,其他参数与主机参数相同。
认证失败重试三次均无法连接时会切到备机上。
五. 入网合规检查
5.1 安检合规
天擎合规检查策略会检测终端入网安全状态,能快速定位发现入网计算机终端的安全合规情况,并利用其终端ACL防火墙隔离机制立即将这个设备与网络上的其它设备隔离起来,只能够访问自定义的隔离修复区或修复服务器,同时依照策略进行引导式修复或一键修复。对于已确认合规终端,也可调用周期监测或定时监测引擎,对该终端的安全状态进行多次评估,如发现运行阶段又不符合安全检查策略,进行再次隔离或提示,这种具有安全隐患的终端禁止其访问企业核心资源,保证入网终端的安全基线是标准的、可控制的,可修复的,并提供一系列入网安全状况统计和终端合规性详情等报告。
入网合规策略支持多种灵活的处置方式,可只提示不隔离,提示并隔离,手动隔离等多种违规处置手段,适应不同入网强度需求。
5.1.1 安全检查项
在天擎安全检查策略配置中心,管理者可轻松定义安全检查策略,确保入网访问的终端是安全可信的,天擎安全检查策略中心提供多种安全检查机制,并不断进行安检库的维护和更新。
现可支持的安全检查项如下:
1、防火墙是否启用检查、2、系统空密码检查、3、U盘自启动是否启用检查、4、远程桌面是否开启检查、5、是否开启文件共享检查、6、Guest账号是否开启检查、7、是否设置IE代理检查8、IP获取方式检查、9、是否登录域检查、10、服务黑白名单检查、11、进程黑白名单检查、12、软件黑白名单检查、13、杀毒软件检查、14、外联能力检查、15、补丁检查、16、注册表检查、17、关键位置文件检查、18、操作系统版本检查 19、是否加入域检查20、账号活跃检查 21、共享文件夹权限检查
服务检查、进程检查、软件检查支持通配符与“或”关系检查。
n 支持使用通配符“*”(半角),支持“360*”或“360*exe”格式。
n 软件名称支持填写多个,中间以“,”(半角)分隔,多个软件中安装任意一款即满足规范。
n 逐次添加的软件依旧需同时安装,该逻辑未变
n 禁止安装的软件支持通配符“*”(半角),不支持同时填写多个。
n 服务检查与进程检查的修改部分同软件检查一致。
系统账号检查项增加当前账号检查、冗余账号检查。
n 支持检查系统当前登陆账号是否为“Administrator”或拥有管理员权限账号。
n 支持检查除当前登录账号外是否存在其他本地账号。
n 支持检查除当前登录账号外是否存在其他不活跃账号。
n 对检查不通过的账号,基于账号安全性考虑,暂不支持自动禁用。仅作提示。
支持屏保设置检查,终端设置的屏保策略不满足合规性要求时检查不通过,支持屏保开启检查、恢复时密码验证检查及屏保等待时间检查。对屏保设置不合规的终端支持一键修复。
支持系统开放端口检查项,通过配置“禁止开放端口列表”,管理员可强制用户关闭高风险端口,例如“443、3389等端口”。基于系统稳定性考虑,暂不支持自动修复禁用端口,仅作提示。
5.1.2 策略配置
在天擎安全检查策略配置中心,管理者可轻松定义入网安全检查策略,天擎入网安全检查策略中心提供多达20几大项安全检查策略,用户可根据具体入网合规需求来进行配置。
在“策略中心”—“安检合规—“安检模板”中配置安全检查策略模板,并在分组策略中进行策略的部署下发,配置比较简单,不一一列举,如下:以软件检查和操作系统检查为例。
可设置必须安装软件检查和禁止安装软件检查,必须安装软件检查可输入引导修复路径,用户可自行下载进行安装修复。
检查禁止安装的软件时,可配置引导卸载,修复时用户可调用卸载程序,进行一键卸载。
操作系统检查,检查入网终端操作系统是否合规,系统是否符合指定OS版本
修复提示:指当检查失败后客户端会提示“详情信息”,引导用户进行修复的提示信息。
关键检查项:指用户最关注的安全检查项,当此项设置为关键项时,如果此项不合规并设置了违规隔离策略和修复区时,将被隔离到修复区;不是关键检查项不通过时,提供引导修复提示,但不隔离网络。控制台可查询安全检查日志和统计分析报表,管理员可通过数据全方位的追溯和分析终端接入和安全状态,给企业安全管理提供依据。
说明
|
1) 策略配置中部分项目是只需开启开关后即可检查,部分项目是需要进行配置策略内容才能开启生效。 2)关键检查项不通过隔离,需在分组策略中进行相应的开启和修复区配置,才会进行隔离。 |
5.1.3 修复区配置
修复区是指当配置了关键检查项检查失败后只能访问的隔离区域范围,终端只能访问的区域,这里是访问白名单,此区域可包含修复服务器地址,提供修复引导或有限的访问。
5.1.4 分组策略部署
策略发布:当策略配置好后进行策略模板的发布,发布后的模板才能在设备策略中进行部署生效,发布的模板不能进行编辑,只能引用。以防止用户轻易修改策略,出现策略误配置错误,导致风险。
设备策略部署:当策略模板配置成功发布后,可在“策略中心”—“设备策略”中进行策略的下发,可针对不同的组织部门部署不同的安全检查策略。
可设置“入网检查”、“周期检查”和“定时检查”机制。
入网检查:是指当终端启动后接入企业内网(和服务器连通)立即进行检查,一旦关键检查项失败后立即隔离,并进行失败隔离提示,防止不安全的终端进行非法网络访问。
周期检查:指定周期时间进行安全检查,当关键项被隔离时弹出隔离提示,默认情况下在后台进行检查,检查结果上报给服务器做统计分析,对用户不产生影响,只有违规隔离时进行弹出提示。
定时检查:是指在规定的时间进行安全检查,安全检查会在后台进行,一旦有关键检查项出现违规立即隔离并提示,正常情况下程序默认在后台执行安全检查操作,检查结果上报给服务器做统计分析,对用户不产生影响,只有违规隔离时弹出提示。
一键修复:当勾选后,客户端在一键修复后会自动执行一次安全检查,并根据安全检查结果自动释放隔离策略或继续隔离。
5.1.5 NAC联动网络隔离
安全检查新增与NAC联动功能,对于安全检查关键项不通过的终端,支持通过NAC重定向的方式将不合规终端的网络流量重定向至内置的提示页面或客户指定的web网页。
配置时首先开启数据采集—NAC联动中的“允许终端向360准入系统发送安检合规结果,用于安检不通过时进行网络隔离”,开启后天擎客户端将随每一次打点通知NAC终端的最近一次安检结果,当最近一次安检中存在关键项不合规时,NAC将终端访问的web页面重定向至告警页面。
管理员可在终端策略—安全检查中,配置该安检策略不通过时客户端的重定向地址,默认页面为NAC设备提供的安检告警页面,当用户需要引导不合规终端访问其他页面进行修复时,可选择“自定义提示页面”,输入需重定向的网页地址。
需要注意的是,当同时开启修复区设置和网络隔离配置时,终端仅能在访问修复区时进行重定向,非修复区流量将被直接阻断。同时,配置时需将网络隔离的提示地址与NAC地址加入修复区。
5.1.6 合规检查客户端
如图所示:终端执行策略配置的安全检查流程,检查结束后,提示合规结果和引导修复建议,系统提供两种修复方式,可执行一键修复的安检项可立即修复,不可执行一键修复的安检项系统提供引导修复详细,可点击“查看详情”提示进行引导修复。
安全检查通过:当没有关键检查项违规时,网络不隔离,只提示安全检查结果,可根据内容进行相应的修复,并提供安全检查日志报表,供入网合规分析。
安全检查不通过:当有关键检查项违规并设置了隔离策略时,提示安全检查结果,同时立即隔离网络,进入修复区,必须修复成功后再次检查才能进入工作区网络,可根据内容进行相应的修复。
关键检查项修复成功后,点击重新检查,检查通过后可立即进入工作区。
六. 设备管理
6.1 设备管理
强制合规(NAC)组件基于天擎“一体化”平台集中管理与统一监测,实现数据共享和业务联动能力,分区、分权的管理模式,符合超大规模用户统一管理、统一认证的管理需求,并满足大型网络架构下的准入部署难题,真正实现分布式部署、集中化管理的要求。
在天擎集中管理平台可支持多台NAC引擎设备的分组管理,分组下发策略,支持分组自定义配置、设备的在线离线状态,引擎的固件升级、识别仪表盘等操作,这种集中管理模式满足大型网络架构下的统一管理,集中检测的业务需求。
登录后确定设备是否和控制中心连接正常,在强制合规设备-设备管理中可查看连接上线的NAC引擎,针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理。如下图所示:
设备管理中可对NAC设备进行、分组、删除、修改、调试、升级等操作
删除:可对NAC引擎进行删除,删除后保存最后一次配置,当NAC引擎和控制中心有心跳时会重新连接上线
修改:可修改描述NAC的描述信息,比如:地址位置等。
调试模式:高级调试功能,主要是当设备出现故障时,厂商技术工程师的调试模式,一般情况下无需使用,请不要随意操作,在厂商技术支持指导下使用。
设备升级:进行设备的批量升级操作
分组管理:针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理,下发不同配置。
6.1.1 仪表盘
当点击NAC引擎IP地址链接时,可进入NAC引擎的仪表盘查看和操作配置。
仪表盘支持查看NAC引擎资源使用情况、端口流量、监听数据包、流量排名等可视化数据,为监测和运维提供依据。
6.1.2 接口设置
当控制台和NAC引擎通过命令行配置连接成功后,可通过控制台接口设置,配置NAC引擎其他端口的网络基础属性,启用状态等,使用应用准入时,可配置监听和发布端口。
注意:这里请不要更改NAC引擎和控制台的连接地址,以免连接中断。
6.1.3 双机热备
为保证业务连续性,系统提供双机热备配置方案。管理员可在天擎控制台强制合规的设备管理控制面板页面进行可视化的双机配置。配置双机热备场景,需提供3个IP地址(主机地址、备机地址、虚拟地址),须确保3个地址均为网络可达场景。使用时将虚拟地址配置为802.1X Radius服务器地址或者应用准入打点地址(应用准入双机热备配置详见“应用准入双机热备配置”)。主机正常工作时,虚拟地址对应主机,主机执行管控操作,主机工作异常时,虚拟地址对应从机,从机接管管控操作。
配置说明:
HA接口:配置nac通讯口为HA接口
工作模式:NAC工作于主机模式还是从机模式
虚拟地址:使用802.1x双机热备时,配置接入交换机上的radius认证地址为虚拟地址;使用应用准入双机热备时,配置数据采集,nac联动地址为虚拟地址
监控接口:配置nac通讯口为监控接口
虚拟路由ID:双机系统ID,可随机,但须确保主备机虚拟路由ID一致,且网络内除主备机外无其他机器使用该ID
切换延时:主机异常后立即切换到备机工作,主机恢复后需等待延时时间后才接管,配置延时可避免网络扰动造成的主备系统频繁切换
配置完成后,验证效果:
- 主机正常工作时,cli使用network interface list查看网卡信息,发现主机通讯口的第二地址是虚拟地址,备机通讯口无第二地址。
- 拔掉主机通信线或将主机关机
- 使用cli查看备机网卡信息,发现备机通讯口的第二地址变成了虚拟地址
- 恢复主机通信,发现主机通讯口的第二地址恢复成虚拟地址,备机通讯口无第二地址
6.1.4 全局设置
当天擎控制台中心服务器地址需要变化,变化后NAC引擎将和控制中心失去连接,如需要修改控制中心地址,先在这把引擎连接的控制中心改成新地址,然后再修改天擎控制中心地址,修改成功后,NAC引擎会自动连接新控制中心。
可配置NAC引擎外联的DNS服务器地址
手动BYPASS:当需要紧急逃生时,可勾选,所有认证用户将全局放行。
设备与控制中心失联时,启用BYPASS:当设备与控制中心失联时,NAC设备将正常工作,只是无法更新策略和配置,此时如果要避免风险,也可启用BYPASS,所有认证用户将全局放行。
启用SNMP配置时,NAC引擎可和接受第三方网管设备的监测和管理。
数据同步服务器IP地址:应用准入打点时,当用户网络环境有多出口流量交叉,可将一台NAC引擎上的打点数据同步到另外一台或多台引擎,满足终端流量交叉时的使用场景。
6.1.5 调试工具
调试工具可检测NAC引擎服务的运行状况,并可手动开启,并支持客户端会话、PING、Traceroute等测试工具,用与诊断NAC的运行情况和接收的客户端打点或认证会话。
6.1.6 运行日志
运行日志是NAC引擎在运行过程中的相关日志,运维排查使用,当NAC引擎出现问题时,可下载对应问题日志提供给研发内部进行分析,可方便快速定位到问题的源头。
6.1.7 网络抓包
网络抓包是当采用应用准入方式部署时,要判断端口监听是否配置成功或终端数据包的拦截情况,可进行网络抓包分析,提供抓包大小和时长配置,可下载日志,提供运维时的排查工具。
6.2 授权管理
天擎强制合规(NAC)支持设备和功能的授权管理,多台设备由多位管理员接管,并支持上级管理员授权的机制,提供大型组织机构的分区域管理能力,超级管理员可分配不同的功能和不同的设备组到下级管理员,下级管理员只能操作所属区域的NAC设备,并可对细分功能进行控制,一体化授权机制完美的解决不同管理员配置访问权限的问题。
6.3 策略分组
天擎强制合规支持多台NAC设备的分组管理,针对不同设备组中的NAC设备可下发不同配置,也可执行全局配置,支持分组自定义配置,提供多种灵活的手段支持大型组织架构下的业务需要。
全局配置:如下图所示,在“所有设备”分组中下发的配置,所有分组中的NAC设备全部执行。
分组配置:如下图所示,在分组中下发的配置,只应用于分组下的NAC设备,需要勾选“自定义配置”不然分组中的配置将不生效,不勾选时当所有设备中有配置时分组设备中将会应用全局配置。
七. 逃生方式部署
产品在考虑各阶段的逃生措施,准入自身故障情况下可提供多种逃生机制,如:双机热备、冷备、一键手动交换机恢复、软Bypass等多手段逃生方式、在用户自身网络或认证源出问题情况下提供一键认证放行、域认证缓冲、第三方认证源异常自动放行等逃生方案,确保准入系统或用户环境在各阶段、各环节有可能出现问题的地方都有逃生响应方案,确保非正常情况下,不影响用户网络和业务系统的正常运行,可靠性高,做到为用户所想,人性化逃生。
7.1 HA双机热备逃生方式部署
天擎强制合规(NAC)支持双机热备的部署方式,主要是解决硬件的可靠性问题,其中一台服务器出现故障,另一台就承担应用服务器管理的全部任务,服务器通过网络互连,互为主备冗余关系,配置数据完全同步。这种方式主要应用于802.1x的逃生方式部署,应用准入或Portal可不部署,应用准入采用网关旁路监听,设备故障后即刻自动会放行。
双机热备部署示意图
如图所示:采用双机方式部署,配置双机管理地址,并配置双机切换的浮游地址,交换机802.1x认证Radius服务器地址指向浮游地址,为再确保安全和稳定性一般会在交换机上在配置第二个Radius服务器指向,此Radius服务器地址可配置主机或备机任意其中一台的管理地址。即当主机故障切换到备机提供认证服务,当双机系统故障无法提供漂移时,交换机自动切换到第二Radius服务器认证,确保万无一失,保障业务的稳定运行。
这种方式主要应用于802.1x的逃生方式部署,应用准入可不部署,应用准入采用网关旁路监听,设备故障后即可自动会放行。
配置思路
- 确定设备业务虚IP地址(浮游IP) (172.27.131.164/24)
- 配置主备设备的双机热备
说明
|
1、没有特殊要求的情况下,设备与交换机只需要插一根网线即可完成所有业务以及热备的搭建 2、802.1x部署方式双机热备只需配置好双机热备即可,无需配置镜像方式。 |
操作步骤
- SSH登录到NAC引擎命令行进行配置,登录请参考第二章节安装部署。
- 配置主机
<360NAC>sysconf ha enable interface eth1 role master virtual_ip 172.27.131.164/24 mirror_port eth0 preempt_delay 10 virtual_router_id 88
{"ret":200, "msg":"Success"}
- 配置备机
<360NAC>sysconf ha enable interface eth1 role backup virtual_ip 172.27.131.164/24 mirror_port eth0 preempt_delay 10 virtual_router_id 88
{"ret":200, "msg":"Success"}
验证配置
1、主机
<360NAC>sysconf ha list
{"data": {"preempt_delay":10, "preempt": "yes", "virtual_ipaddress": "172.27.131.164/24", "state": "MASTER", "virtual_router_id": 88, "interface": "eth0"}, "ret": 200}
2、备机
<360NAC>sysconf ha list
{"data": {"preempt_delay":10, "preempt": "yes", "virtual_ipaddress": "172.27.131.164/24", "state": "BACKUP", "virtual_router_id": 88, "interface": "eth0"}, "ret": 200}
测试结果
断开主机设备网络或关机,SSH登录备机NAC引擎命令查看浮游IP是否继承到备机上,
1、备机
<360NAC>network interface list
可以看到浮游地址:172.27.132.167 已经继承到备机172.27.131.165地址上了。
2、 等待3-4秒验证客户端认证是否依然通过。
7.2 双机冷备逃生方式部署
天擎强制合规(NAC)除了支持双机热备的部署方式以外,还可采用冷备方式或热备冷备混合模式部署,双重保险,再次提升系统的稳定运行,解决硬件的可靠性问题,冷备需在交换机上配置双Radius服务器,交换机无法得到第一Radius服务器的认证响应,会自动切换到第二Radius服务器进行认证,这样其中一台服务器出现故障,另一台就承担应用服务器管理的全部任务,如果还要提升安全稳定,还可采用热备和冷备混合模式,如果双机热备设备出故障,当然这种可能性比较小,在提供一台冷备服务器做冗余,热备浮游地址无响应时,会切换到冗余服务器进行认证。
冷备需在交换机上配置双Radius服务器,交换机无法得到第一Radius服务器的认证响应,会自动切换到第二Radius服务器进行认证,这样其中一台服务器出现故障,另一台就承担应用服务器管理的全部任务。
这种方式主要应用于802.1x的逃生方式部署,应用准入可不部署,应用准入采用网关旁路监听,设备故障后即可自动会放行。
7.3 双机HA+软Bypass逃生方式部署
天擎强制合规(NAC)逃生方式,还支持另外一种高可用逃生方式部署,适用于对业务稳定性、连续性有严苛要求的用户,双机热备+软ByPass的部署逃生方式,此方式是在用户选择了802.1x认证技术方案下使用,原理是当双机热备系统故障时(可能性比较小)交换机自动转发到软Bypass认证服务器,由软Bypass认证服务器提供认证服务,此时所有认证请求都会放行,起到紧急情况逃生作用,交换机需配置双Radius地址,第一Radius指向双机热备的浮游地址,第二Radius指向软Bypass认证服务器。
交换机需配置双Radius地址,第一Radius指向双机热备的浮游地址,第二Radius指向软Bypass认证服务器。
八. 典型网络部署方案
8.1 小规模集中部署
如某企业终端集中在一个区域管理范围或总部核心交换设备通过光纤、专线等大带宽网络连接二级单位等机构,光纤和专线数据传输带宽比较大,能够保障服务器和终端的认证数据通讯,这两种情况我们可以在总部核心交换上集中部署NAC引擎设备,并做双机热备,如果用户认证终端规模比较大,这种部署方式需应对大量的数据通讯,这就要求服务器的性能比较好,数据处理能力强,保证设备服务的持续和稳定运行,需选配天擎强制合规(NAC)高端系列产品。
集中式部署方案的优点是实施部署简单,成本低,天擎“一体化”控制台统一管理,但缺点是风险性比较大,当发生故障时影响面会比较广,对于准入控制来说此种部署方式适用于规模比较小,相对比较独立的网络环境部署。如:分支机构比较多、连接方式是窄带宽的情况下尽量采用分布式部署,准入设备下移,减小风险隐患。
如图所示:天擎强制合规(NAC)硬件设备采用旁路部署,并做双机热备、可减少对企业现有网络环境的改动,避免造成单点故障,对于那些对网络连续性要求极高的企业,其优点是它对客户网络环境和网络性能无任何影响,不会引入新的故障点,方便统一管理。
8.2 大型网络分布式部署,统一管理
天擎强制合规可适应超大规模用户的部署,大型用户具有多分支机构,分支机构采用专线或站点对站点VPN和总部网络相连,根据用户网络的实际拓扑情况,为确保设备的安全稳定运行,需在分支机构独立部署NAC引擎,针对大型用户有时需要部署几十台甚至百台NAC引擎来进行接入控制管理,并在天擎“一体化”控制台对引擎设备进行集中管理、策略下发、设备监测等操作。
由于各分支机构的出口流量、终端数量、采用的认证技术方案可能不同,产品型号的选择视客户具体网络情况和终端数量而定,部署采用分区域、分安全域部署,根据实际网络环境,每个安全域部署一台(套),采用“分布式部署,集中式管理”模式部署。
NAC设备引擎分布在各子公司核心处,提供各子公司终端认证服务,监测各分公司的终端入网活动和历史数据,并送入到天擎一体化平台进行数据的整合和分析,提供全网的入网安全报表;天擎一体化控制台又可对各区域NAC设备进行统一业务配置、安全检查策略的下发、管理员权限控制、升级管理等集中管理方式。NAC可扩展多种认证源,又可达到身份认证源的统一管理,如:支持企业的LDAP、Email、HTTP等标准第三方服务器,从而真正实现 “分布式部署,集中式管理”的企业统一管理思想。
此方案的优点是故障风险比较小,安全稳定,设备下移管理力度强,对于各种准入方式都适用。
8.3 天擎多级架构下的部署
大型网络环境下天擎也可能采用多级部署方式,便于区域权限的细分控制管理,NAC引擎也可适应这种方式,可配置NAC引擎和同级天擎服务器进行对接模式,同级NAC引擎对接同级天擎服务器进行管理,灵活控制。
如图所示:天擎强制合规(NAC)设备接入都是采用旁路部署方式,对于各种认证方式都适用,如是WEB Portal技术方式,要监测数据流,在网关旁路镜像,需在核心出口处部署,对于802.1X认证技术方式,只要在通讯可达处部署设备即可,交换机配置对应的NAC引擎认证地址,并确保该地址与交换机的IP可通讯。