网络准入控制系统(ForeScout NAC)部署经验
网络准入控制 (NAC) 其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。准入控制能够在用户访问网络之前确保用户的身份是信任关系,只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。也可以阻止感染了病毒或未升级系统补丁的电脑接入网络。
在2007年曾经研究过《802.1X+IAS+AAA+DVLAN实现用户身份认证和IP地址动态管理》并应用于企业环境。但由于802.1x的特点,部署后压力非常大,一方面802.1x客户端的配置工作量大,另一方面服务器端的维护压力也大,没实施多久就被迫停止了。
您是否也部署过基于802.1x架构的准入控制系统?在部署后是否经常接到过让人头疼而又倍感压力的电话?
但准入技术发展的日新月异,加上无客户端化浪潮的不断演进,原有技术细则中过多偏向于802.1x技术实现的弊病也显露无疑。早在2010年左右,NAC产品已有了翻天覆地的变化。在Forrester对NAC厂商的排名中,我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准:
Unified management (整合管理)
Integration (集成度,或兼容性)
Clientless (agentless) mode (无客户端模式)
Hardware (appliance) (硬件应用)
Heavy focus on IT consumerization, mobiledevice control and data center virtualization (关注前端、移动端和虚拟化)
准入产品中的无客户端化已经成为了最基本的要求。
目前市面上的NAC产品也比较多,经过一番对比,我们最终选择了ForeScout设备,采用旁路方式连接。
本文主要分享控制策略,并不介绍ForeScout设备的配置,配置也非常简单,参考相关的资料很快就能上手。
实施过程我们分为两个阶段:
第一阶段:PC合法性检查,即只允许受信任的PC能够接入公司网络。
第二阶段:PC合规性检查,即检查是否安装防病毒软件,是否升级到最新的系统补丁等。
目前我们只完成第一阶段的部署,第二阶段正在收集数据并分析中。
企业环境介绍:
公司有无线网络和有线网络两种接入方式,无线网络采用的是LEAP协议,通过域帐号和密码来做身份认证,访问Internet通过HTTP代理方式。公司在全球有不同的分支机构,也有不同的域名称,其中总部出差用户较多,需要能够访问服务器和Internet,因此要做单独的控制策略。
新增了一个GuestWLAN的SSID来应对客户的网络接入,无需输入密码,接入后分配至独立的VLAN,可以直接访问Internet,不能访问公司的网络资源。
详细地终端分类和控制要求、方法如下表所示。
问题1:发现偶尔无法阻止部分移动终端连接。
原因:我们是通过无线控制器WLC来做MAC地址过滤,经检查,WLC最大能支持2048个MAC地址,超过容量之后将无法再添加,ForeScout也就无法实现阻止。
解决方案:用Cisco ACS来做第三方AAA服务器。
问题2:ForeScout无法阻止UDP连接。
原因:ForeScout只能阻止TCP连接,无法阻止UDP连接,如果能够连接上,像QQ,微信是可以使用的,但打不开网页。
解决方案:无。没有了解过其它的NAC产品是否也有该问题?
问题3:我只有1000台电脑,但系统中会显示1500,甚至更多。
原因:ForeScout只认IP地址,如果一台网络设备有多个IP地址,将会识别为多台设备。一台笔记本电脑同时连接有线网络和无线网络,也会识别为两台设备。
解决方案:针对网络设备,修改网段配置,将网关等网络设备的IP地址排除;针对笔记本电脑,可以安装Lenovo access connection,这只针对Intel芯片的网卡,当连接有线网络后,无线网络自动中断,当断开有线网络后,自动连接无线网络,同时,在ForeScout系统中将Offline过期时间设置为1小时。
其它功能:
在“Inventory”下有很多其它的统计功能,比如,可以看到一个域帐号是否在多台电脑上登陆,以及登陆电脑名;可以看到交换机端口下是否连接了HUB等设备。这些都是在期望之外的,算是一点小惊喜吧。估计其它的NAC产品也会有这些功能。
网络准入控制系统(ForeScout NAC)部署经验相关推荐
- 浅析企业网络准入控制系统的部署方式
网络准入控制系统,在很多企业中已经应用到实际工作过程中,但是很多企业对于网络准入控制系统的安装模式还不太清楚 ,笔者这次总结了以下几种模式,企业的管理者可以根据企业实际的网络环境部署适合企业内部的管理 ...
- 网络准入控制-NAC
病毒.蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱.生产率和机会.与此同时,移动计算的普及进一步加剧了威胁.移动用户能够从家里或公共热点连接互联网或办公室网络 - 常在无意中 ...
- 局域网流量控制_基于软件定义的网络准入控制体系
引 用 本 文 邓永晖,周佳,鹿文杨.基于软件定义的网络准入控制体系[J].通信技术,2020,53(04):970-975.DENG Yong-hui,ZHOU Jia,LU Wen-yang. N ...
- 网络准入系统usersafe守护企业内网安全
近些年移动互联网的快速发展,使得网络数据加密安全也越来越严峻.这是因为人们的日常办公不再局限于公司内的电脑,而是随时随地都能够使用移动设备(如笔记本.平板.移动硬盘)接入公司内网进行办公交流,再加上电 ...
- BYOD时代下的无代理准入控制系统
时代的更迭不可谓不快,信息产业尤甚.那个繁荣的PC机时代造就了繁荣的桌面管理行业,当年稍大一点的机构,逢终端安全则必谈桌面管理想想也就是几年前的事.当时整个行业在一夜之间就涌现出了几十上百家的各种桌面 ...
- 交换机虚拟化和堆叠的区别_企业网络基础EI CCIE设计部署如何理解三层交换和路由器的区别...
点上方蓝字关注公众号,坚持每天技术打卡 学网络,就在IE-LAB 国内最著名的高端网络工程师培养基地 快速了解技术难点网络工程师面试常见问答三层交换和路由器的区别 学习了很长时间的网络技术,但是三层交 ...
- 计算机终端网络准入管理规定,网络准入与终端安全.doc
网络准入与终端安全 XXXX 网络准入与终端安全管理技术方案 亿阳信通 2011-08-03目 录 目 录- 1 - 图表目录- 4 - 1日趋突出的统一安全管理系统需要- 1 - 1.1XXXX面临 ...
- 网络准入控制产品发展
一.准入控制技术综述 网络准入控制产品出现已经有近20年的历史,从最早的基于终端软件控制实现准入控制到当前基于应用设备实现准入控制,可以分为三个时代. 1.基于端点系统的架构–Software-bas ...
- 5个准入控制系统的常见问题解答让您进一步了解准入控制系统
1.为什么需要准入控制系统? 目前,企业和组织均建立了较完善的信息化设施和网络,也可能已经上了防火墙和上网行为管理系统等管理手段,但新形势下普遍存在一个问题,就是每时每刻都有新的终端加入您的网络,终端 ...
最新文章
- HarmonyOS 修改App 的name
- Andorid 布局layout_margin和padding分析
- oracle SELECT子句中避免使用 ‘ * ‘
- 设计模式的理解:状态模式(State) 和备忘录模式(Memento)
- DNN结构:CNN、LSTM/RNN中的Attention结构
- [css] img标签是行内元素,为什么却能设置宽高
- mongodb save和insert区别
- android 加载网络bitmap图片 oom 简书_Android常见问题--ImageView加载图片OOM
- c语言注释换颜色,C语言实现注释转换
- 游戏服务器维护启动需要多久,游戏服务器开机需要多长时间
- linux 下备份MySQL数据库 并删除7天前的备份数据
- HTTP从入门到入土(1)——五层网络模型
- Windows PowerShell | 错误: 740 需要提升权限才能运行 DISM
- HEVC SAO技术阅读
- PX4以往固件版本下载
- 论文阅读 [TPAMI-2022] VolterraNet: A Higher Order Convolutional Network With Group Equivariance for Homo
- 牛客网:牛牛玩平板(c++)
- 利用函数求三个数的最大值
- CMS自动生成静态任务
- 电脑使用技巧提升篇8:Office数据文件加密(以Word文档加密为例)
热门文章
- 银行自助设备详细介绍(二)——多媒体查询机
- web安全漏洞——身份验证绕过
- CLucene中文件.fdt文件和.fdx文件格式
- 武汉9月6号医疗器械博览会-医疗影像设备展览会|2023武汉国际医疗器械展览会
- 钢筋连接套筒A做拉伸试验时,钢筋连接套筒被拉断就一定不合格吗?
- 【Ansys Fluent】根据export导出的ASCII文件按坐标和物理量之间的关系重建物理场(温度场、压力场等)
- UTF-8带BOM格式与UTF-8无BOM格式转换
- 数据库(DataBase)-数据库级别MD5加密
- C# winform 简单五子棋 200行代码实现人机对战
- [Delphi]将一个窗体Form1嵌入另一个窗体Form2