更新时间:2024-09-10
1功能简介
1.1应用场景
该功能主要是帮助企业感知业务安全和业务质量,并快速定位到有安全威胁和业务质量的个体设备,及时采取措施,以确保网络安全和业务正常运行。
帮助企业及时感知员工和终端的业务稳定行为,并针对有潜在危险行为的个体员工和终端及时采取相应措施,使网络更稳定
1.2适用版本
NAC3.13.0
1.3配置思路
1、先确定需要开启终端安全策略的端口,创建端口组
2、根据需要实现的绑定跟踪效果开启相关的终端安全策略
3、如果是终端地址或位置绑定,还需要自动或者手动审批终端设备。
2注意事项
2.1业务影响范围
配置终端安全中的绑定功能会影响当前业务,需要审批终端的绑定信息,终端才能正常进行网络访问活动。
2.2配置注意事项
只有正常在控制器上线的RS、NS交换机才能使用终端安全的相关功能。
3 配置步骤
3.1 网络拓扑
网络拓扑中有瘦模式的RS和NS交换机及控制器即可
在控制器页面的【安全配置】点击【终端安全】进入配置页面
3.2终端状态跟踪
终端状态跟踪即用于跟踪连接交换机端口的终端状态,包括在线、离线、终端类型等具
体信息并显示在状态页面。可以满足客户以下几个使用场景:
1、客户需要知道接入交换机上的接口都接了什么类型的设备,需要能直观的看出;
2、某些接口上接着服务器或者重要的终端设备,需要能够实时的观察到这些终端的状
态,包括但不限于终端离线次数、终端在线时间等。
在边缘安全中【安全配置】-【终端安全】-【有线终端安全】新增一个终端安全策略,默认勾选终端状态跟踪。
配置步骤:
第一步:添加端口组
第二步:选择交换机
3.3终端地址绑定
终端地址绑定即 IP/MAC 绑定,用于绑定有线终端的 IP 和 mac
可以配置启用自动审批,最大可配置自动审批 10000 个(如配置自动审批 10 个,即前10 个接入进来的有线终端可以自动审批,第 11 个终端就需要手动审批);
支持配置免审批地址,终端以该地址上线即可上网(相当于这个IP不做IP/MAC绑定);
支持配置强制审批地址,即使自动审批的终端个数还没用完,以该地址上线的终端也需要手动审批
配置步骤:
第一步:添加端口组
第二步:选择交换机
第三步:打开终端地址绑定,可以添加免审批地址和启用自动审批
可在【安全配置】->【终端安全】->【有线终端审批】->【待审批】里看到需要审批的终端,勾选审批即会出现在已审批列表里
3.4终端位置绑定
终端位置绑定即端口/MAC 绑定,用于绑定有线终端接入交换机的端口和 mac
配置过程:
第一步:选择端口与交换机
第二步:打开终端位置绑定(可以开启自动审批)
可在【安全配置】->【终端安全】->【有线终端审批】->【待审批】里看到需要审批的终端,勾选审批即会出现在已审批列表里
如已审批的终端换了端口接入,会在【首页】->【安全中心】->【终端安全】->【有线终端状态】看到终端位置异常信息
3.5终端类型绑定
在允许接入终端类型中选择摄像头和笔记本
检查到有非指定类型终端接入后,将该有线终端加入黑名单 1 小时(最多冻结 24 小时,最少冻结 1 分钟)
配置步骤:
第一步:勾选端口组和交换机
第二步:打开终端类型跟踪
第三步:点击允许接入的终端类型,勾选允许通过的终端
配置终端类型绑定安全策略,其中接入的终端类型只选择了摄像头、笔记本电脑或台式
机,则对于接入的路由器等其它类型的设备不会让其校验通过,并且会按照设置的接入非指定类型终端拉黑冻结一段时间。
4 效果 演示
异常接入的终端、变动IP地址的终端、变动接入交换机端口的终端以及变更接入终端类型都会在【首页】->【安全中心】->【终端安全】->【有线终端安全】中看到异常变更信息
5常见问题
1、一般配置终端安全的端口组都是交换机的下联口或者接终端设备的端口,不建议勾选上联其他高层交换机的端口。
2、目前只有瘦模式且由控制器纳管的RS、NS交换机才能使用终端安全的相关功能。
3、一条终端安全策略可以选择一条或者多条安全规则,可以同时开启终端状态跟踪、终端地址绑定、终端位置绑定和终端类型绑定。