图 2‑1 标准化组网图
图 2‑2 简化组网拓扑图
1)简化组网下的所需测试设备:1台深信服防火墙、1台信锐网络控制器,2台信锐安视交换机,2台终端;
2)版本要求:深信服防火墙版本:AF8.0.35版本及以上;信锐网络控制器版本:NAC3.10.0版本及以上;交换机版本SW1.7.2及以上。
注:3.10.0版本需要打AF安全联动定制补丁包。
3)将测试设备按简化组网拓扑图进行连线。
1)将安视交换机激活上线;
2)配置端口组,将接终端的端口均划分到该端口组中;
3)安全配置页面配置有线终端安全策略;
备注:通过配置终端状态跟踪(上报终端位置信息、MAC地址及IP地址信息给NAC),以实现防火墙推送消息过来时NAC根据推送消息读取IP地址去封锁MAC;
4)安全配置—联动响应—安全联动,新增联动设备:服务器地址填写 AF地址, 认证账号和密码就是AF的页面 登录账号和密码。需要先测试有效性,测试通过后再提交配置。
1)登陆AF的UI,开启超级管理员的Web API:
备注:联动封堵有以下2种情况:
(1)通过深信服AF手动添加封锁攻击者IP进行联动封堵;
(2)通过深信服AF安全策略进行联动封堵;(通过下一截图可配置)
2)AF手动添加封锁攻击者IP 
3)配置AF安全策略
通过AF安全策略进行联动封堵,AF检测到异常流量后,会进行自动把终端拉入黑名单,NAC会自动同步AF上的黑名单,并在终端黑名单里呈现出来。 
防火墙通过两种方式加入黑名单后,控制器同步到黑名单效果如下。 
