一、北信源网络接入控制网关—硬件旁路部署 旁路干扰准入模式采用的是流量复制的模式对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,是真正的旁路部署模式,不需要对现行业务流的走向进行任何改动,就像在快速运行的高速公路旁边部署了一台监控摄像头,当发现违规车辆时通过点对点的对话方式,让违规车辆自动接受处罚。由于旁路干扰准入控制模式真正的旁路部署特性,其对现行业务流没有任何影响,因此相对于所有准入控制模式来说,有着得天独厚、无法比拟的安全性,其具体的业务流程参考下图: 如图所示旁路部署时,北信源接入控制网关有俩根线与交换机相连,一根为接收交换机的镜像流,另一根则为自身的配置管理和阻断违规设备。交换机镜像配置完成并且与北信源接入控制网关连接后,即可登录配置北信源接入控制网关。 二、网关准入策略–注册配置流程 网关准入管理平台出厂默认登录地址为8,登录后可在此处配置新地址。 登录网关准入管理平台,如:2 展开“网络准入”菜单,点击“准入配置”选项,开始配置准入模式 根据硬件接口环境,配置相应镜像口及干扰口,镜像配置示例见下图 如果交换机镜像无误,网关选择镜像口无误,则整个系统中可以看到镜像的数据。如图 继续配置策略,入网策略配置完成后,则可以阻断接入设备的http访问并且给予重定向引导。 终端分组中配置终端成员,就是受网关策略控制的所属成员。 配置权限管理,权限管理可应用与管控区域、授权区域与管理区域,配置页面如下: 以上配置完成后,开始建立入网策略: 入网建立完成后,已经可以实现http页面重定向,该条策略的效果为,设备23与设备26(终端分组-测试)http访问/0地址时(管控区域-全网)会被阻断,必须注册Agent(客户端),如果已经注册Agent,则在准入网关整个系统中,设备应处于入网柱图中,可以正常访问,准入网关认为设备合规。 设备注册成功后,准入网关注册列表中会有该设备注册信息。如下图: 策略可以灵活配置,可以选择注册、认证、注册+认证、注册+安检、注册+认证+安检,视用户需求而定。 三、网关准入策略—身份认证流程配置 建立入网策略 身份认证在无客户端的情况下分为三种,PORTAL、UKEY、IP-MAC认证。PORTAL认证和UKEY认证同属于WEB网页认证,只是帐户类型不同,IP-MAC认证通过IP-MAC校验方式认证。 PORTAL认证开启 Portal认证分为本地帐户、ad域帐户、ladp帐户三种 本地帐户配置如下图: Ad帐户、ladp帐户可以通过手动在准入网关,也可以自动同步,配置如下 例如ad域服务器域名为ad.test.vrv,域上某一帐户为administrator 密码123,同步配置如下 同步一个一级部分,例如北京公司,BaseDN配置需填写为:ou=北京公司,dc=ad,dc=test,dc=vrv 如果只要同步北京公司下的一个二级部门,例如研发部,则BaseDN配置需填写为:ou=北京公司,dc=ad,dc=test,dc=vrv,过滤选择则要填写:研发部。多个部门使用|隔开。 配置完成后,选择该条,点击立即同步,同步成功后,用户管理中即可查看到ad域上的部门与帐户。也可以设置自动同步时间定时同步ad域数据。 Ladp同步与ad域类似,以用户目录o=anotherbug,c=com ,用户字段为uid举例,配置如下 Ukey认证参数配置如下 Ukey帐户需要手动在用户管理添加, IP-MAC认证配置需要准入网关开启snmp扫描,交换机开启SNMP功能,以思科交换机举例 交换机配置 准入网关配置成功后,点击扫描,扫描成功后IPMAC绑定生效 选择阻断时,只要扫描列表数据没有添加绑定列表并且启动,则会阻断PC访问,添加绑定列表并且启动后,只要PC 的IPMAC与绑定列表相符,IPMAC 认证就会通过。 选择放行时,只有添加绑定列表并且启动,而且PC的IPMAC与绑定列表不符,IPMAC认证才会不通过,反之IPMAC认证通过。 四、网关准入策略—安检流程配置 安检规范-杀毒配置 该项配置表示,安装了选择了的任意杀毒软件即合规,如果没有安装杀毒软件,则重定向修复页面会引导安装360杀毒,下载链接根据实际情况配置。 杀毒安检策略 该策略表示,安检项检测杀毒,每天03:00:00会重新进行一次安检,修复天数为1时,表示1天内用户即使不修复也可以正常上网,一天后则必须修复安装杀毒软件。 安检规范-共享资源 安检规范添加即可,可以配置共享资源白名单, 安检策略请参考杀毒软件中的安检策略配置。 安检规范-安装检查 支持模糊查询,填写软件名字为注册表中displayname,具体目录看下图 安检策略请参考杀毒软件中的安检策略配置。 安检规范-IE主页 安检策略请参考杀毒软件中的安检策略配置。 安检规
原文链接:https://max.book118.com/html/2020/0313/6131052025002150.shtm