可以设置观察区域/保护区域、观察角色/保护角色等不同防御类型,实现放通或拦截所有流量,做到横向阻断,更加灵活的阻断病毒传播,保障网络安全。
本文档涉及的拓扑仅为示例,该拓扑适用于新项目测试或者新项目功能验证时进行环境 快速搭建。实际项目中以具体网络环境为准,原则上瘦模式 AP 组网均可满足东西向流量的测试条件。 为达到测试效果,AP 部署需要合理摆放,推荐 2 个 AP 间隔在 10-15 米,AP 位置附近 无其他干扰源。
如上拓扑,用户通过无线办公,控制器上统一下发一个ssid,用于内网办公设备无线接入。财务电脑接入认证后分配“财务”角色,老板电脑接入后分配“老板角色”,其他员工 电脑或者手机接入认证后分配“其他员工”角色。要实现如下需求(以 http 应用为例,可拓展到其他方面,如防木马病毒等):
1)保护财务电脑的数据安全
2)不允许其他员工访问财务电脑发布的 http 应用
3)允许财务部门其他同事以及老板能够访问该 http 应用
| 工具名称 |
数量 |
备注 |
| 测试电脑 |
1 |
无线网卡支持双频 |
| 测试手机 |
1 |
无线网卡支持双频 |
| 信号测试工具 |
1 |
WiFi百宝箱 |
根据上述网络拓扑搭建测试环境,保证NAC、交换机以及AP在线正常工作
在控制器主页面【接入点配置】->【无线网络】里新增 ssid 用于无线终端接入,基于用 户组给不同组的终端分配认证后的角色;
边缘安全页面,依次点击【流量安全】->【漏洞攻击防御】->【漏洞利用防御】,新增东 西向流量安全策略,按照上述需求进行配置;
财务按照如下配置,配置完成后点提交即可:
1)防御类型:保护角色
2)保护的用户角色:财务
3)访问白名单中
4)源访问区域:根据认证角色划分
5)角色:财务、老板
6)允许服务:http
1)PC 假设为财务 PC,以财务账号接入无线网络,获得财务角色
2)开启财务 PC 的 http 服务
3)用手机接入无线网络,以其他员工账号接入无线网络,获得其他员工角色
4)用手机访问财务 PC 的 http 服务,观察访问结果
5)手机忘记无线重连,以老板账号接入无线网络,获得老板角色
6)用手机访问财务 PC 的 http 服务,观察访问结果
1)步骤 4 中,手机获得其他员工角色无法访问 http 服务
2)步骤 5 中,手机获得老板角色可以访问 http 服务
3)可在边缘安全中的【安全可视】->【东西向流量安全】->【终端流量分析】的区域
互访图中,看到各个角色之间互访的情况;
4)可在边缘安全中的【安全可视】->【东西向流量安全】->【服务访问日志中】看到
各个区域之间互访的情况。
1、该配置指导手册为无线东西向流量安全配置指导,交换机东西向流量安全需另行配置。