网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 功能配置 流控管理 常用访问控制策略配置指导手册
{{sendMatomoQuery("网络控制器NAC","常用访问控制策略配置指导手册")}}

常用访问控制策略配置指导手册

更新时间:2023-12-07

1功能简介

信锐无线控制器主要是基于角色来实现的给用户设置策略的,角色是权限的集合和载体,每一个接入无线网络的用户,无线控制器可以为每个用户分配不同的角色。

在角色中,可以包含一个或多个访问控制策略,主要定义了用户可以访问网络的各种权限设定。

访问控制策略中,包含一条或多条基于服务或应用的网络访问权限规则,网络访问控制规则中可以设定用户的网络访问权限。类似于普通的状态类防火墙,根据数据的源、目的IP地址和网络服务进行允许和拒绝。

服务/应用 + 方向[用户发起] + 目的地址 + 时间计划 + 动作[允许、拒绝]

接下来我们介绍常见的几种访问控制策略配置。

2配置步骤

2.1禁止访客访问内网

对于给访客提供的无线网络,一般为了保护内网安全,是会给访客设置禁止访问内网的策略,访客只需要访问外网即可。

1、点击【认证授权】-【角色授权】-【无线访问控制策略】新增一个策略。服务选择any表示所有服务都拒绝。

2、【目的地址】中选择私网IP组,该组中包含所有私网的网段,下面的【动作】选择拒绝,这样策略就可以实现禁止访问内网了。(注意:根据实际内网需求设置目的IP组)

注意:如果控制器上自带的私有网络IP组中不包含实际网络中的内网IP范围,需要自行添加地址范围,可以一个IP,也可以是一个IP范围,然后在访问控制策略的目的地址调用即可

3、再添加一条连接方向为用户接受的条目,如下:

最终配置后的访问控制策略条目如下:

4、【认证授权】-【角色授权】新建一个禁止内网角色并且调用上面配置的策略。

5、【接入点配置】-【无线网络】-点开对应的SSID,调用禁止内网角色,这样连接该无线信号的用户匹配了禁止内网角色,禁止访问内网的策略就会生效。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。

2.2禁止内部员工访问某些应用

一般在上班期间,为了提高员工工作效率,可以通过给无线用户设置访问控制策略禁止访问视频、购物网站等。

  1. 点击【认证授权】-【角色授权】-【无线访问控制策略】新增一个策略。选择应用,禁止访问视频流媒体流量。

  1. 匹配应用之后,【动作】选择拒绝,【时间计划】可表示生效的时间。此处以全天为例,可根据实际情况添加时间计划。

  1. 【认证授权】-【角色授权】新增一个内部员工角色,调用刚才禁止访问视频的策略。

  1. 【接入点配置】-【无线网络】点开对应的SSID,调用内部员工角色,这样连接该无线信号的用户匹配了内部员工,禁止访问视频的策略就生效。

  1. 如果需要对领导不做限制,可在【权限设定】中添加规则,将领导的账号设置匹配到没有关联访问控制策略的角色。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。

2.3禁止用户访问NAC的某个端口

限制用户访问控制器/服务器的某个端口,此处以控制器的TCP 443端口为例。

  1. 点击【对象定义】-【服务】-【自定义服务】新增服务,协议选择TCP 443端口。

  1. 【对象定义】-【IP组】新增IP组,匹配控制器NAC的IP

  1. 点击【认证授权】-【角色授权】-【无线访问控制策略】新增一个策略。选择服务,调用刚才定义的服务(NAC443端口)

  1. 【目的地址】中选择刚才自定义的IP组‘NAC地址’,下面的【动作】选择拒绝,这样策略就会禁止访问控制器443端口。

  1. 【认证授权】-【角色授权】这里新建一个访客角色并且调用上面配置的策略。

  1. 【接入点配置】-【无线网络】-点开对应的SSID,调用访客角色,这样连接该无线信号的用户匹配了访客角色,禁止访问控制器443端口的策略就会生效。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。