必威体育Betway必威体育官网
当前位置:首页 > IT技术

网络准入控制系统(ForeScout NAC)部署经验

时间:2019-10-08 01:14:37来源:IT技术作者:seo实验室小编阅读:65次「手机版」
 

准入

网络准入控制 (NAC) 其宗旨是防止病毒和蠕虫等新兴黑客技术企业安全造成危害。准入控制能够在用户访问网络之前确保用户的身份是信任关系,只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。也可以阻止感染了病毒或未升级系统补丁的电脑接入网络。

在2007年曾经研究过《802.1X+IAS+AAA+DVLAN实现用户身份认证和IP地址动态管理》并应用于企业环境。但由于802.1x的特点,部署后压力非常大,一方面802.1x客户端的配置工作量大,另一方面服务器端的维护压力也大,没实施多久就被迫停止了。

您是否也部署过基于802.1x架构的准入控制系统?在部署后是否经常接到过让人头疼而又倍感压力的电话?

但准入技术发展的日新月异,加上无客户端化浪潮的不断演进,原有技术细则中过多偏向于802.1x技术实现的弊病也显露无疑。早在2010年左右,NAC产品已有了翻天覆地的变化。在Forrester对NAC厂商的排名中,我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准:

Unified management (整合管理)

Integration (集成度,或兼容性)

Clientless (agentless) mode (无客户端模式)

Hardware (APPliance) (硬件应用)

Heavy focus on IT consumerization, mobiledevice control and data center virtualization (关注前端、移动端和虚拟化)

准入产品中的无客户端化已经成为了最基本的要求。

目前市面上的NAC产品也比较多,经过一番对比,我们最终选择了ForeScout设备,采用旁路方式连接。

本文主要分享控制策略,并不介绍ForeScout设备的配置,配置也非常简单,参考相关的资料很快就能上手。

实施过程我们分为两个阶段:

第一阶段:PC合法性检查,即只允许受信任的PC能够接入公司网络

第二阶段:PC合规性检查,即检查是否安装防病毒软件,是否升级到最新的系统补丁等。

目前我们只完成第一阶段的部署,第二阶段正在收集数据并分析中。

企业环境介绍:

公司有无线网络和有线网络两种接入方式,无线网络采用的是LEAP协议,通过域帐号和密码来做身份认证,访问Internet通过HTTP代理方式。公司在全球有不同的分支机构,也有不同的域名称,其中总部出差用户较多,需要能够访问服务器和Internet,因此要做单独的控制策略。

新增了一个GuestWLAN的SSID来应对客户的网络接入,无需输入密码,接入后分配至独立的VLAN,可以直接访问Internet,不能访问公司的网络资源

详细地终端分类和控制要求、方法如下表所示。

在这里插入图片描述

问题1:发现偶尔无法阻止部分移动终端连接。

原因:我们是通过无线控制器WLC来做MAC地址过滤,经检查,WLC最大能支持2048个MAC地址,超过容量之后将无法再添加,ForeScout也就无法实现阻止。

解决方案:用Cisco ACS来做第三方AAA服务器。

问题2:ForeScout无法阻止UDP连接。

原因:ForeScout只能阻止TCP连接,无法阻止UDP连接,如果能够连接上,像QQ,微信是可以使用的,但打不开网页

解决方案:无。没有了解过其它的NAC产品是否也有该问题?

问题3:我只有1000台电脑,但系统中会显示1500,甚至更多。

原因:ForeScout只认IP地址,如果一台网络设备有多个IP地址,将会识别为多台设备。一台笔记本电脑同时连接有线网络和无线网络,也会识别为两台设备。

解决方案:针对网络设备,修改网段配置,将网关等网络设备的IP地址排除;针对笔记本电脑,可以安装Lenovo access connection,这只针对Intel芯片的网卡,当连接有线网络后,无线网络自动中断,当断开有线网络后,自动连接无线网络,同时,在ForeScout系统中将Offline过期时间设置为1小时。

其它功能:

在“inventory”下有很多其它的统计功能,比如,可以看到一个域帐号是否在多台电脑上登陆,以及登陆电脑名;可以看到交换机端口下是否连接了HUB等设备。这些都是在期望之外的,算是一点小惊喜吧。估计其它的NAC产品也会有这些功能。

在这里插入图片描述

相关阅读

网络教育文凭落户可以吗?

很多小伙伴可能在工作中想要提升自己的学历,可能会选择成人高考,自考或者网络教育,自然也会有人担心这些文凭是否有用,那网络教育文凭

can 网络管理

网络管理主要功能: 是用来管理ECU是否在网络里面,不在的话请求加入,也就是ALIVE报文, 要判断是否掉线,以及睡眠状态的转换机制,以及跛

谈论关于如何使用软性广告和搜索做网络营销

软性广告营销是互联网上最受欢迎的营销方式之一。与之前的邮件群发营销,博客群营销,论坛群营销等方法相比,新兴模式软性广告在销售人

网络赌博被黑提现显示系统审核,服务器维护系统升级不

野鸡网为了拉拢玩家,造假仿冒成了最简便的方法。于是,澳门实地赌场名字的金沙、新葡京、威尼斯、美高梅等,正规大网仿冒的365、万博

网络节点的实现模型

计算节点的实现模型构建了各种类型的二层网络。属于同一个二层网络的VM可以进行二层通信。如果一个VM想访问二层网络之外的世界怎

分享到:

栏目导航

推荐阅读

热门阅读