當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)技巧>正文

自己動(dòng)手打造企業(yè)網(wǎng)絡(luò)訪問控制器

http://m.yibo1263.com　2009/1/15 8:14:07 　來源:東北IT網(wǎng) 　編輯:葉子

　　3、 Safe Access Lite NAC服務(wù)器的基本應(yīng)用

　�。�1）、選擇終端檢測(cè)模式 Safe Access Lite提供三種終端測(cè)試模式，它們分別是： ActiveX plug-in檢測(cè)模式：使用此種模式不需要被檢測(cè)的終端安裝任何客戶端，所有的 Windows系統(tǒng)客戶端都支持這種檢測(cè)模式，但非Windows系統(tǒng)不支持。使用些種檢測(cè)方式不能在系統(tǒng)中禁用 ActiveX腳本的使用，且IE安裝設(shè)置也必需允許ActiveX腳本的運(yùn)行。如果需要與NAC服務(wù)器交互必需下載和安全相應(yīng)的控件。 NAC Agent檢測(cè)模式：此種檢測(cè)模式被所有的Windows系統(tǒng)所支持，一些基于Linux內(nèi)核的系統(tǒng)也支持此種檢測(cè)方式，但需要在系統(tǒng)中安裝相應(yīng)的客戶端。此種檢測(cè)模式可以重復(fù)進(jìn)行檢測(cè)，并且可以自動(dòng)更新，如果需要與NAC服務(wù) 器交互必需下載和安全相應(yīng)的控件。 Agentless檢測(cè)模式：此種檢測(cè)模式只支持Windows系統(tǒng)，也不需要安裝客戶端。但是終端系統(tǒng)上必需啟用了打印機(jī)和文件共享功能，還有，如果計(jì)算機(jī)用戶不在一個(gè) Windows系統(tǒng)域中，就必需指定此終端的位置標(biāo)識(shí)，同時(shí)，使用此種功能，終端和服務(wù)器上都必需開放139和445 端口。設(shè)置終端檢測(cè)模式時(shí)，我們可以在Safe Access Lite的WEB配置主界面，通過單擊“System configuration ”—— “ Testing methods”，在出現(xiàn)的如圖8所示的選擇終端檢測(cè)模式的界面中，選擇需要使用的三種終端檢測(cè)方式中的一種或全部，默認(rèn)是三種方式全部使用，完全設(shè)置后單擊“OK”按鈕就可以完成終端檢測(cè)方式的設(shè)置。

　　

　　圖8

　　（2）、設(shè)置NAC 檢測(cè)策略（NAC Policies）在Safe Access Lite的WEB配置主界面，單擊“NAC Policies”選項(xiàng)就可以打開如圖9所示的設(shè)置NAC 檢測(cè)策略界面。Safe Access Lite有三種級(jí)別的檢測(cè)策略：low security、medium security和High security。 Safe Access Lite默認(rèn)low security作為基本的安全檢測(cè)級(jí)別，此時(shí)，一旦Safe Access Lite NAC服務(wù)器檢測(cè)到終端系統(tǒng)中存在安全漏洞或沒有安裝相應(yīng)的系統(tǒng)補(bǔ)丁，那么就只允許它臨時(shí)接入七天；如果檢測(cè)到終端系統(tǒng)上存在任何的病毒或木馬，那么就會(huì)禁止其訪問網(wǎng)絡(luò)。當(dāng)然，只有使用其商業(yè)版本才能進(jìn)行具體的阻止動(dòng)作，免費(fèi)版只能以一個(gè)橫杠的紅色圖標(biāo)來顯示不安全終端的狀態(tài)。

　　

　　圖9

　�。�3）、配置Agentless測(cè)試模式在Safe Access Lite的WEB管理主界面，單擊“System configuration”——“Agentless credentials”打開代理標(biāo)識(shí)界面，在此界面中單擊“Add Windows administrator credentials”，就會(huì)進(jìn)入如圖10所示的添加管理標(biāo)識(shí)（add administrator credentials）界面。在此界面中的“Windows domain name”文本框中輸入Windows域名或工作組名（如workgroup），在“Administrator user ID”文本框中輸入登錄此主機(jī)的管理員帳戶，在 “Administrator password”文本框中輸入管理員密碼，在“Re-enter password”文本框中再輸入一次密碼，然后單擊“OK”按鈕完成添加。

　　

　　圖10

　�。�4）、查看終端狀態(tài)在Safe Access Lite的WEB管理主界面，單擊“Endpoint activity”就可以打開如圖11所示的終端狀態(tài)界面。在此界面中，會(huì)將安全的終端以綠色的向上箭頭表示，對(duì)隔離的不安全終端，會(huì)以紅色的帶有橫杠的禁止通行圖標(biāo) 表示，對(duì)于不能檢測(cè)的終端設(shè)備，將顯示為unknown設(shè)備。我們可以在此界面中單擊任何一臺(tái)顯示出來的終端設(shè)備，來了解它的詳細(xì)信息，如圖11、12所示。

　　

　　圖11

　　

　　圖12

　　到這里，這臺(tái)由我們自己動(dòng)手打造的Safe Access Lite NAC服務(wù)器就可以開始正常工作，唯一不足的是它不能對(duì) 安全的終端做出相應(yīng)的阻止行為，如果用戶需要，可以使用它的商業(yè)版本，也可以使用其它另外兩個(gè)開源免費(fèi)的 NAC軟件。 PacketFence zen 軟件的安裝說明在51CTO網(wǎng)站上可以查閱到，就不再在此文再做詳細(xì)說明。對(duì)于FreeNAC軟件，由于它要求使用可網(wǎng)管交換機(jī)，而我手上沒有這要的實(shí)驗(yàn)條件，所以不能親自對(duì)它進(jìn)行安裝和應(yīng)用實(shí)驗(yàn)，所以也不在此做詳細(xì)說明。如果大家對(duì)它們有興趣，而且英文比較好，可以去它們的網(wǎng)站查閱其具體的安裝說明。其實(shí)，這些NAC軟件的安裝都很簡(jiǎn)單，尤其是直接使用它們的VMware虛擬機(jī)文件時(shí)，所有的安裝工作都差不多，因此，了解其中任何一種NAC軟件的安裝和配置，再加上它們的說明文檔，就算我們對(duì)Linux系統(tǒng)沒有半點(diǎn)了解，只要按照本文所述的方法準(zhǔn)備硬件平臺(tái)和考慮接入方式，所有的系統(tǒng)和網(wǎng)絡(luò)管理員都可以輕松地完成它們安裝和部署。從上面的安裝和配置來看，雖然使用開源的NAC軟件來打造網(wǎng)絡(luò)訪問控制服務(wù)器能節(jié)省資金和時(shí)間，減化NAC設(shè)備的部署，但是，動(dòng)手打造一臺(tái)NAC服務(wù)器也并不像筆者前面介紹的動(dòng)手打造路由防火墻這么輕松，使用者必需有一定的系統(tǒng)和網(wǎng) 絡(luò)知識(shí)，以及NAC部署知識(shí)。從這點(diǎn)來說，自己動(dòng)手打造NAC服務(wù)器，適合于一些具有創(chuàng)新精神的系統(tǒng)、網(wǎng)絡(luò)或安全管理員來進(jìn)行，這樣不僅能幫助企業(yè)得到一個(gè)高性能的NAC服務(wù)器，而且能在打造過程中學(xué)習(xí)到許多應(yīng)用NAC的知識(shí)。

本新聞共3頁,當(dāng)前在第3頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费