图1- 1 网络拓扑
本文档涉及的拓扑仅为示例, 该拓扑适用于新项目测试或者新项目功能验证时进行环境 快速搭建。实际项目中以具体网络环境为准, 原则上瘦模式 AP 组网均可满足东西向流量的测试条件。
为达到测试效果,AP 部署需要合理摆放, 推荐 2 个 AP 间隔在 10- 15 米,AP 位置附近无其他干扰源。 同时控制器的版要为 3.8.0.5 以上的版本。
1.2.1硬件工具准备
|
资源名称 |
数量 |
备注 |
|
测试电脑 |
1 台 |
无线网卡支持双频 |
|
测试手机 |
1 台 |
无线网卡支持双频 |
1.2.2软件环境准备
|
资源名称 |
数量 |
备注 |
|
信号测试工具 |
1 套 |
WiFi 百宝箱 |
根据上述网络拓扑搭建测试环境,保证 NAC、交换机以及 AP 工作正常
如上拓扑, 用户通过无线办公, 控制器上统一下发一个 ssid,用于内网办公设备无线接 入。财务电脑接入认证后分配“财务”角色,老板电脑接入后分配“老板角色”,其他员工 电脑或者手机接入认证后分配“其他员工”角色。要实现如下需求(以 http 应用为例, 可拓展到其他方面,如防木马病毒等):
1)保护财务电脑的数据安全
2)不允许其他员工访问财务电脑发布的 http 应用
3)允许财务部门其他同事以及老板能够访问该 http 应用
PC 上 http 服务的搭建详情参照《Wi-Fi6打流最佳实践指导手册》中 speedtest 网页搭建 指南。
边缘安全页面,依次点击【流量安全】 -> 【漏洞攻击防御】 -> 【漏洞利用防御】,新增东西向流量安全策略,按照上述需求进行配置;
财务按照如下配置,配置完成后点提交即可
防御类型: 保护角色
保护的用户角色:财务
访问白名单中
源访问区域: 根据认证角色划分
角色:财务、老板
允许服务:http
1)PC 假设为财务 PC,以财务账号接入无线网络, 获得财务角色
2)开启财务 PC 的 http 服务
3)用手机接入无线网络,以其他员工账号接入无线网络, 获得其他员工角色
4)用手机访问财务 PC 的 http 服务, 观察访问结果
5)手机忘记无线重连,以老板账号接入无线网络, 获得老板角色
6)用手机访问财务 PC 的 http 服务, 观察访问结果
1) 步骤 4 中,手机获得其他员工角色无法访问 http 服务
2) 步骤 5 中,手机获得老板角色可以访问 http 服务
3)可在边缘安全中的【安全可视】->【东西向流量安全】 -> 【终端流量分析】的区域互访图中, 看到各个角色之间互访的情况;
4)可在边缘安全中的【安全可视】->【东西向流量安全】 ->【服务访问日志中】看到各个区域之间互访的情况。
(1)配置角色权限错误
(2)测试 PC 每有开启 http 服务
(3)PC 的防火墙限制
