『对象定义』用于配置【IP组】、【MAC地址库】、【服务】、【应用】、【时间计划】、【智能PSK终端】、【URL分类库】、【终端类型库】。这里定义的对象,在后续的模块中会使用到,比如IP组和服务会应用到访问控制策略中,MAC地址库将在使用MAC地址认证时黑白名单调用。
此页面可查看和新增IP组,IP组用于后续【角色授权】中的【访问控制策略】,以及后续的【网络配置】中的【地址转换】。
将一个、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用,例如web免认证。默认有默认黑名单和默认白名单两个分组,用户可以自定义分组。
『服务』分为【预定义服务】、【自定义服务】和【服务组】 ,【服务组】是【预定义服务】或【自定义服务】或2者的组合。用于后续【角色授权】中的【访问控制策略】。
【预定义服务】包括了TCP,UDP协议中各种常用端口号包含的应用协议,比如BGP,DHCP、DNS、HTTP、FTP、SNMP、SSH等。
3.2自定义服务
【自定义服务】可以让客户自定义所有需的不在预定义范围内的服务,比如客户自己的一些C/S架构的OA系统所使用的特殊端口号,都可以在这里自定义配置,配置界面如下:
【服务组】就是【预定义服务】和【自定义服务】的组合,便于做复杂的控制策略时方便调用。而且可以节省原本需要多条控制策略的条数。
『应用』包括:【应用特征识别库】、【应用智能识别库】、【自定义应用】三类,网络应用流经NAC时,可通过特征,识别其应用类型,识别后,即可对连接进行基于应用策略控制、资源调度及流量审计。
【应用特征识别库】中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性,应用特征识别库升级需要序列号授权,过期后无法更新。
某些类型的网络应用没有固定的字节流特征,需要通过智能的方式识别流量间的关联性等来识别出其类型,应用智能识别库目前只支持P2P行为,支持灵敏度、排除端口的设置。
内网应用往往由于其私有性,应用特征识别库无法收集其网络流特征,可以将数据包方向、协议类型、IP地址、端口号及域名作为应用的规则特征,自定义某种类型的应用,自定义应用同样适用于外网应用。
对于不同的无线或有线用户,我们需要在不同的时间段设置不同的访问控制策略以及流控策略,比如上班时间或下班时间,就需要配置时间计划,为了便于后续设置【认证授权】-【角色授权】-【访问控制策略】的生效时间,需要提前设置时间计划,『时间计划』分为【单次时间计划】和【循环时间计划】。
新增单次时间计划和循环时间计划:
设置循环时间时,大多数客户可以按照上班时间和下班时间,以及节假日方式设置循环时间,便与管理。
点击新增循环时间计划:
1、适用范围:
智能PSK终端页面配置的终端只针对智能PSK无线网络有效。
2、使用场景:
为防止PSK密钥泄漏,杜绝PSK密钥分享带来的网络安全隐患,可通过设置私有密钥实现一人一机一密码,保障网络安全。
3、问题排查:
信锐智能终端如果连接过其他NAC,请删除该终端的记录,重新添加。
『URL分类库』中是由信锐技术自主研发并收集的全国最大、最全、最专业的URL分类库。关于URL规则库的使用,需要在【认证授权】-【角色授权】-【访问控制策略】中新增规则,选择应用的方式来调用。另外对于少部分,客户内网自由的域名系统,如果无法识别到,用户还自定义URL类别,可将URL设置为内置的URL类别或自定义URL类别,也可以设置域名关键字,模糊匹配为某种类别。并设置自定义的URL类别优先级最高来优先调用。
URL分类库的升级需要序列号授权,过期后无法更新。
终端类型库中记录着终端的指纹特征,通过持续不断的收集及更新,保证终端类型识别的正确性,终端类型特征库支持手动和联网时自动更新。
