网络管理中心iBrain NMC

信锐iBrain智能网络管理中心(简称iBrain NMC)是网络设备的集中管理与智能运维中心,可以作为网络管理的智慧大脑,平台支持对无线AP、安视交换机、Turbo Fusion极智融合系列网关、NAC网络控制器等设备进行集中管理,可实现全网设备的快速激活、策略配置、故障定位、安全告警、智能运维等,同时支持对全网用户进行统一身份认证与角色授权等,一站式降低网络管理难度。结
NMC3.12.0及以下版本
网络管理中心iBrain NMC 文档 功能配置 流控管理 常用访问控制策略配置指导手册
{{sendMatomoQuery("网络管理中心iBrain NMC","常用访问控制策略配置指导手册")}}

常用访问控制策略配置指导手册

更新时间:2023-12-07

1功能简介 

信锐无线控制器主要是基于角色来实现的给用户设置策略的,角色是权限的集合和载体,每一个接入无线网络的用户,无线控制器可以为每个用户分配不同的角色。

在角色中,可以包含一个或多个访问控制策略,主要定义了用户可以访问网络的各种权限设定。

访问控制策略中,包含一条或多条基于服务或应用的网络访问权限规则,网络访问控制规则中可以设定用户的网络访问权限。类似于普通的状态类防火墙,根据数据的源、目的IP地址和网络服务进行允许和拒绝。

服务/应用 + 方向[用户发起] + 目的地址 + 时间计划 + 动作[允许、拒绝]

接下来我们介绍常见的几种访问控制策略配置。

2 配置步骤 

2.1 禁止访客访问内网 

对于给访客提供的无线网络,一般为了保护内网安全,是会给访客设置禁止访问内网的策略,访客只需要访问外网即可。

1、点击【认证授权】-【角色授权】-【无线访问控制策略】新增一个策略。服务选择any表示所有服务都拒绝。

2、【目的地址】中选择私网IP组,该组中包含所有私网的网段,下面的【动作】选择拒绝,这样策略就可以实现禁止访问内网了。(注意:根据实际内网需求设置目的IP组)

注意:如果控制器上自带的私有网络IP组中不包含实际网络中的内网IP范围,需要自行添加地址范围,可以一个IP,也可以是一个IP范围,然后在访问控制策略的目的地址调用即可

3、再添加一条连接方向为用户接受的条目,如下:

最终配置后的访问控制策略条目如下:

4、【认证授权】-【角色授权】新建一个禁止内网角色并且调用上面配置的策略。

5、【接入点配置】-【无线网络】-点开对应的SSID,调用禁止内网角色,这样连接该无线信号的用户匹配了禁止内网角色,禁止访问内网的策略就会生效。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。

2.2 禁止内部员工访问某些应用 

一般在上班期间,为了提高员工工作效率,可以通过给无线用户设置访问控制策略禁止访问视频、购物网站等。

  1. 点击【认证授权】-【角色授权】-【无线访问控制策略】新增一个策略。选择应用,禁止访问视频流媒体流量。

 

  1. 匹配应用之后,【动作】选择拒绝,【时间计划】可表示生效的时间。此处以全天为例,可根据实际情况添加时间计划。

  1. 【认证授权】-【角色授权】新增一个内部员工角色,调用刚才禁止访问视频的策略。

  1. 【接入点配置】-【无线网络】点开对应的SSID,调用内部员工角色,这样连接该无线信号的用户匹配了内部员工,禁止访问视频的策略就生效。

  1. 如果需要对领导不做限制,可在【权限设定】中添加规则,将领导的账号设置匹配到没有关联访问控制策略的角色。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。

2.3禁止用户访问NMC的某个端口 

限制用户访问控制器/服务器的某个端口,此处以控制器的TCP 443端口为例。

  1. 点击【对象定义】-【服务】-【自定义服务】新增服务,协议选择TCP 443端口。

  1. 【对象定义】-【IP组】新增IP组,匹配控制器NMC的IP

  1. 点击【认证授权】-【角色授权】-【无线访问控制策略】新增一个策略。选择服务,调用刚才定义的服务(NMC443端口)

  1. 【目的地址】中选择刚才自定义的IP组‘NMC地址’,下面的【动作】选择拒绝,这样策略就会禁止访问控制器443端口。

  1. 【认证授权】-【角色授权】这里新建一个访客角色并且调用上面配置的策略。

  1. 【接入点配置】-【无线网络】-点开对应的SSID,调用访客角色,这样连接该无线信号的用户匹配了访客角色,禁止访问控制器443端口的策略就会生效。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。