自己動手打造企業(yè)網(wǎng)絡訪問控制器

http://m.yibo1263.com　2009/1/15 8:14:07 　來源:東北IT網(wǎng) 　編輯:葉子

　　3、 Safe Access Lite NAC服務器的基本應用

　�。�1）、選擇終端檢測模式 Safe Access Lite提供三種終端測試模式，它們分別是： ActiveX plug-in檢測模式：使用此種模式不需要被檢測的終端安裝任何客戶端，所有的 Windows系統(tǒng)客戶端都支持這種檢測模式，但非Windows系統(tǒng)不支持。使用些種檢測方式不能在系統(tǒng)中禁用 ActiveX腳本的使用，且IE安裝設置也必需允許ActiveX腳本的運行。如果需要與NAC服務器交互必需下載和安全相應的控件。 NAC Agent檢測模式：此種檢測模式被所有的Windows系統(tǒng)所支持，一些基于Linux內(nèi)核的系統(tǒng)也支持此種檢測方式，但需要在系統(tǒng)中安裝相應的客戶端。此種檢測模式可以重復進行檢測，并且可以自動更新，如果需要與NAC服務器交互必需下載和安全相應的控件。 Agentless檢測模式：此種檢測模式只支持Windows系統(tǒng)，也不需要安裝客戶端。但是終端系統(tǒng)上必需啟用了打印機和文件共享功能，還有，如果計算機用戶不在一個 Windows系統(tǒng)域中，就必需指定此終端的位置標識，同時，使用此種功能，終端和服務器上都必需開放139和445 端口。設置終端檢測模式時，我們可以在Safe Access Lite的WEB配置主界面，通過單擊“System configuration ”—— “ Testing methods”，在出現(xiàn)的如圖8所示的選擇終端檢測模式的界面中，選擇需要使用的三種終端檢測方式中的一種或全部，默認是三種方式全部使用，完全設置后單擊“OK”按鈕就可以完成終端檢測方式的設置。

　　

　　圖8

　�。�2）、設置NAC 檢測策略（NAC Policies）在Safe Access Lite的WEB配置主界面，單擊“NAC Policies”選項就可以打開如圖9所示的設置NAC 檢測策略界面。Safe Access Lite有三種級別的檢測策略：low security、medium security和High security。 Safe Access Lite默認low security作為基本的安全檢測級別，此時，一旦Safe Access Lite NAC服務器檢測到終端系統(tǒng)中存在安全漏洞或沒有安裝相應的系統(tǒng)補丁，那么就只允許它臨時接入七天；如果檢測到終端系統(tǒng)上存在任何的病毒或木馬，那么就會禁止其訪問網(wǎng)絡。當然，只有使用其商業(yè)版本才能進行具體的阻止動作，免費版只能以一個橫杠的紅色圖標來顯示不安全終端的狀態(tài)。

　　

　　圖9

　�。�3）、配置Agentless測試模式在Safe Access Lite的WEB管理主界面，單擊“System configuration”——“Agentless credentials”打開代理標識界面，在此界面中單擊“Add Windows administrator credentials”，就會進入如圖10所示的添加管理標識（add administrator credentials）界面。在此界面中的“Windows domain name”文本框中輸入Windows域名或工作組名（如workgroup），在“Administrator user ID”文本框中輸入登錄此主機的管理員帳戶，在 “Administrator password”文本框中輸入管理員密碼，在“Re-enter password”文本框中再輸入一次密碼，然后單擊“OK”按鈕完成添加。

　　

　　圖10

　�。�4）、查看終端狀態(tài)在Safe Access Lite的WEB管理主界面，單擊“Endpoint activity”就可以打開如圖11所示的終端狀態(tài)界面。在此界面中，會將安全的終端以綠色的向上箭頭表示，對隔離的不安全終端，會以紅色的帶有橫杠的禁止通行圖標表示，對于不能檢測的終端設備，將顯示為unknown設備。我們可以在此界面中單擊任何一臺顯示出來的終端設備，來了解它的詳細信息，如圖11、12所示。

　　

　　圖11

　　

　　圖12

　　到這里，這臺由我們自己動手打造的Safe Access Lite NAC服務器就可以開始正常工作，唯一不足的是它不能對安全的終端做出相應的阻止行為，如果用戶需要，可以使用它的商業(yè)版本，也可以使用其它另外兩個開源免費的 NAC軟件。 PacketFence zen 軟件的安裝說明在51CTO網(wǎng)站上可以查閱到，就不再在此文再做詳細說明。對于FreeNAC軟件，由于它要求使用可網(wǎng)管交換機，而我手上沒有這要的實驗條件，所以不能親自對它進行安裝和應用實驗，所以也不在此做詳細說明。如果大家對它們有興趣，而且英文比較好，可以去它們的網(wǎng)站查閱其具體的安裝說明。其實，這些NAC軟件的安裝都很簡單，尤其是直接使用它們的VMware虛擬機文件時，所有的安裝工作都差不多，因此，了解其中任何一種NAC軟件的安裝和配置，再加上它們的說明文檔，就算我們對Linux系統(tǒng)沒有半點了解，只要按照本文所述的方法準備硬件平臺和考慮接入方式，所有的系統(tǒng)和網(wǎng)絡管理員都可以輕松地完成它們安裝和部署。從上面的安裝和配置來看，雖然使用開源的NAC軟件來打造網(wǎng)絡訪問控制服務器能節(jié)省資金和時間，減化NAC設備的部署，但是，動手打造一臺NAC服務器也并不像筆者前面介紹的動手打造路由防火墻這么輕松，使用者必需有一定的系統(tǒng)和網(wǎng) 絡知識，以及NAC部署知識。從這點來說，自己動手打造NAC服務器，適合于一些具有創(chuàng)新精神的系統(tǒng)、網(wǎng)絡或安全管理員來進行，這樣不僅能幫助企業(yè)得到一個高性能的NAC服務器，而且能在打造過程中學習到許多應用NAC的知識。

本新聞共3頁,當前在第3頁 1 2 3

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费