天擎V60强制合规NAC快速配置文档.docx
- 文档编号:3644429
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:52
- 大小:4.24MB
天擎V60强制合规NAC快速配置文档.docx
《天擎V60强制合规NAC快速配置文档.docx》由会员分享,可在线阅读,更多相关《天擎V60强制合规NAC快速配置文档.docx(52页珍藏版)》请在冰豆网上搜索。
天擎V60强制合规NAC快速配置文档
天擎V6.0_强制合规(NAC)
快速安装部署手册
©2022360企业安全集团
文档版本号:
V2.1.1
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录|Contents
一、产品简介
1
一.1产品概述
天擎V6.0强制合规(NAC)主要为企事业单位解决入网安全合规性要求,核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。
用于防止企业网络资源由于非法终端接入所引起的威胁,在规范终端入网流程的同时,不仅有效的管理了用户和终端接入行为,同时也保障了终端入网的安全可信及企业内网的安全。
强制合规(NAC)支持多种认证技术及方式,可适应复杂网络环境下的终端入网控制和合规性访问要求,产品具备集中管理方式,设备分组配置管理,提供多种灵活的手段支持大型组织架构下的业务部署需求,并在各业务风险点提供多种逃生方式,保障业务的稳定运行,产品支持联动多种第三方认证源无缝认证,确保入网实名制统一认证管理要求。
从而使终端接入管理变得安全、透明、可控,满足信息安全管理要求。
强制合规(NAC)设备采用旁路部署,也可通过网关监听来发现和评估哪些终端入网是否符合遵从条件,判断哪些终端是否允许安全访问企业核心资源,不符合会被自动拦截要求认证或安装客户端才能进行访问,并可配置入网安全检查策略,不符合进行隔离和修复,达到合规入网的管理规范要求,这种方式的优点在于无需和交换机进行联动,避免交换机管理的复杂性和终端私拉乱接带来的绕过可能性。
一.2入网流程
工作流程主要包含3个环节:
认证、检查、授权
终端设备是否可以接入企业网络需要进行身份认证,未授权天擎终端设备不能接入企业网络或不能访问核心资源,认证成功后才能接入或访问,并通过安全合规检查和隔离措施,杜绝安全状况不达标的计算机接入企业工作网络,如不符合安全规则进行隔离修复,并友好提示,提供向导式的安全修复指引,修复成功以后才能正常访问工作区。
通过多层强制合规的防护措施确保企业内部核心业务和数据的安全稳定运行。
一.3产品组成
组成:
天擎控制中心、NAC引擎设备、客户端三部分组成
NAC引擎设备
NAC引擎是组成的核心,机架式软硬一体设备,系统采用Linux架构,硬件为全内置封闭结构,稳定性高,采用旁路部署,提供认证和策略执行服务、基于天擎控制中心集中式管理。
控制中心
控制中心采用B/S架构,NAC的控制中心基于天擎控制台同台管理,管理员可以随时随地的通过浏览器打开访问,对NAC引擎下发配置策略,进行操作和监测管理。
主要有认证配置模块、用户管理模块、认证源配置、会话管理、入网安全检查策略管理、集中管理、设备分组配置管理、日志报表等。
系统提供接入认证日志报表、安检日志报表、安全检查统计分析等多维度接入安全信息数据的查询审计,管理员可通过数据全方位的追溯和分析终端接入和安全状态,并通过报表分析,掌握入网和安全威胁状况。
客户端
客户端部署在需要入网认证或安全检查的终端上,可提供802.1x认证拨号,入网合规检查、隔离修复、认证客户端交互配置等,并与服务器通信,接收控制中心管理所需入网策略配置和上报入网日志数据等信息。
如果是WEBPortal认证方式可无需安装客户端,可通过WEB方式进行核心保护区域的访问认证,也可采用天擎客户端联动方式的应用准入,哑终端可通过MABMAC方式加入白名单来控制接入管理。
二、安装部署
2
二.
三.
三.1NAC引擎初始化配置
三.1.1登录设备
管理员首先需要登录到设备上,然后对设备进行基础配置,并配置连接天擎控制台地址,即可在天擎控制台上对NAC设备进行业务配置操作,可支持集中管理部署方式。
通过SSH方式登录设备
管理员的PC与设备之间通过IP网络互联时,管理员可以通过SSH方式登录设备,保证数据传输的安全性。
组网需求
现有管理员希望在NAC引擎上登陆默认管理员guest,使其可以通过SSH方式登录进行配置。
设备到货后,可通过服务器默认地址连接对NAC引擎设备进行初始化基础配置
1、服务器初始默认登录为Eth0,默认ip地址为192.168.0.1
2、首次登录使用笔记本设置为和服务器相同网段地址通过网线与服务器默认口(Eth0)连接
3、管理员可以通过SSH方式登录设备,保证数据传输的安全性
(建议登录后不要更改默认ETH0中的管理地址,在其他端口上配置地址来进行管理通讯,以便网口异常情况可使用默认口登录配置)
管理员guest使用STelnet客户端(以PuTTY0.60为例)访问192.168.0.1,输入用户名guest和密码************,可以正常登录,登录后可以进行业务配置。
1.打开Putty.exe程序,在“HostName(orIPaddress)”文本框中输入强制合规设备的IP地址192.168.0.1
2.单击SSH客户端配置界面左侧目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,在“Protocoloptions”区域中,选择“PreferredSSHprotocolversion”参数的值为2。
3.单击“Open”,首次登录时可能会提示保存公钥,在弹出的提示框中单击“Yes”。
然后根据提示输入用户名和密码。
注意
1)不执行保存配置动作,所有的临时配置变更将在设备重启后丢失。
2)如果您确定要固定配置,请在决定保存配置时,执行<360NAC>sysconfsave。
三.1.2网络基础配置
管理员登录设备后,首先要对设备进行网络基础配置,使设备快速接入网络,也可配置通过网关监听方式部署,如:
应用准入,需要配置监听和抓包口。
配置思路
1.配置时钟。
2.配置各业务接口的IP地址。
IP地址需要在配置前进行统一规划。
3.配置监听端口(eth0)
4.配置发包端口(eth0)
5.配置缺省路由(gw网关)
6.启用网卡(默认ETH0口开启,其他端口关闭状态,使用需开启)
操作步骤
1、配置时钟
<360NAC>systemtimesettime“2016-07-1314:
42:
00”
{"ret":
200,"data":
"时间设置成功"}
2、配置接口的IP地址
<360NAC>networkinterfacedeveth0addip172.2.2.2/24
{"ret":
200,"data":
"网络设置成功"}
3、配置监听端口
<360NAC>nacmonitormonitor_portseteth0
{"ret":
200,"msg":
"success!
"}
4、配置发包端口
<360NAC>nacmonitorout_portseteth0
{"ret":
200,"msg":
"success!
"}
5、配置缺省路由
<360NAC>networkrouteaddnet0.0.0.0/0gw172.27.131.2deveth0
{"ret":
200,"msg":
"success!
"}
6、启用网卡(默认ETH0口开启,其他端口关闭状态,使用需开启)
<360NAC>networkinterfacedeveth1up
结果验证
1、验证时间
<360NAC>systemtimelist
2016-07-1300:
03:
25
2、验证网络配置
<360NAC>networkinterfacelist
{"ret":
200,
"data":
[{"name":
"eth0","mac":
"00:
0c:
29:
1d:
88:
9e","cidrip":
"172.2.2.2/24","mtu":
1500,"status":
"up","link":
"YES","type":
0,"redict":
1}
{"name":
"eth0","mac":
"00:
0c:
29:
1d:
88:
9e","cidrip":
"172.27.131.164/32","mtu":
1500,"status":
"up","link":
"YES","type":
0,"redict":
1}
{"name":
"docker0","mac":
"02:
42:
1a:
49:
e1:
ab","cidrip":
"172.17.42.1/16","mtu":
1500,"status":
"up","link":
"NO","type":
0,"redict":
0}
3、验证监听端口
<360NAC>nacmonitormonitor_portlist
{"ret":
200,"data":
["eth0"]}
4、验证发包端口
<360NAC>nacmonitorout_portlist
{"ret":
200,"data":
"eth0"}
5、验证路由配置
<360NAC>networkroutelist
{"ret":
200,
"data":
[
{"srcip":
"0.0.0.0/0","dstip":
"0.0.0.0/0","gateway":
"172.27.131.1","dev":
"eth0"}
{"srcip":
"0.0.0.0/0","dstip":
"1.0.0.0","gateway":
"172.27.131.2","dev":
"eth0"}
{"srcip":
"0.0.0.0/0","dstip":
"172.17.0.0/16","gateway":
"-","dev":
"docker0"}
{"srcip":
"0.0.0.0/0","dstip":
"172.27.131.0/24","gateway":
"-","dev":
"eth0"}
6、验证网卡开启
<360NAC>networkinterfacelist
2.1.3控制中心连接配置
配置网络基础配置后,配置天擎控制中心IP,使强制合规设备接受管理和控制中心连接,以便可以通过天擎控制中心同台管理。
配置思路
1.确定控制中心IP(172.27.131.1)
2.确定上报端口(report_port)(默认为80)
3.确定心跳端口(heart_port)(默认为80)
4.确定心跳间隔(heart_interval)(默认为30)
操作步骤
<360NAC>configmgraddserver172.27.131.1report_port80heart_port80heart_interval30
{"data":
"Success.","ret":
200}
结果验证
<360NAC>configmgrlist
{"data":
{"heart_beat":
{"heart_interval":
30,"heart_port":
80,"heart_url":
"/api/heartbeat.json"},"http_server":
"172.27.131.1","report_data":
{"report_url":
"/api/update_client_info.json","report_port":
80}},"ret":
200}
注意
1)上报端口、心跳端口默认为80,心跳间隔默认为30秒,一般情况下无需更改,特殊情况下该部分地址如需调整,比如控制中心部署在NAT环境,该部分改动请咨询厂商售后
2.1.4双机热备
在网络中部署两台设备形成双机热备状态,可以有效提高网络可靠性,避免网络单点故障。
如无双机热备可不配置。
双机热备主要应用在802.1x认证方案的逃生方式部署上,应用准入和Portal无需部署,由于采用网关旁路监听技术,本身具有逃生措施,如果设备故障或网络中断,网络会自动形成通路bypass,即刻会自动放行。
组网需求
NAC引擎A
NAC引擎B
配置思路
1.确定设备业务虚IP地址(172.27.131.164/24)
2.配置主备设备的双机热备
说明
1)没有特殊要求的情况下,设备与交换机只需要插一根网线即可完成所有业务以及热备的搭建
2)双机热备主要应用在802.1x逃生部署方式,应用准入和Portal方式无需配置
操作步骤
1.SSH登录到NAC引擎命令行进行配置,登录请参考第二章节安装部署。
2.配置主机
<360NAC>sysconfhaenableinterfaceeth0rolemastervirtual_ip172.27.131.164/24mirror_porteth0preempt_delay10virtual_router_id88
{"ret":
200,"msg":
"Success"}
3配置备机
<360NAC>sysconfhaenableinterfaceeth0rolebackupvirtual_ip172.27.131.164/24mirror_porteth0preempt_delay10virtual_router_id88
{"ret":
200,"msg":
"Success"}
结果验证
1、主机
<360NAC>sysconfhalist
{"data":
{"preempt_delay":
10,"preempt":
"yes","virtual_ipaddress":
"172.27.131.164/24","state":
"MASTER","virtual_router_id":
88,"interface":
"eth0"},"ret":
200}
2、备机
<360NAC>sysconfhalist
{"data":
{"preempt_delay":
10,"preempt":
"yes","virtual_ipaddress":
"172.27.131.164/24","state":
"BACKUP","virtual_router_id":
88,"interface":
"eth0"},"ret":
200}
说明
1)Preempt_delay延时多少秒抢占业务虚地址virtual_router_id如果网卡地址子网内仅存在多组热备,该配置需要手动指定,每组一个ID,默认为88
2.1.5常用命令
关机
<360NAC>systemshutdown
重启
<360NAC>systemreboot
查看版本
<360NAC>systemversionlist
用户密码变更
<360NAC>systempasswdsetnameguest
引擎PING外部地址
<360NAC>networkpingtimes2ip192.168.0.1
2为包的个数
查看时间
<360NAC>systemtimelist
设置时间
<360NAC>systemtimesettime
00:
00
查看接口
<360NAC>networkinterfacelist
配置接口
<360NAC>networkinterfacedev
1.1.1.1/24
查看路由
<360NAC>networkroutelist
配置路由
<360NAC>networkrouteaddnet
192.168.1.0/24
192.168.1.1
eth0
查看热备
<360NAC>sysconfhalist
配置热备
<360NAC>sysconfhaenableinterface
master或backup(主机和备机)
192.168.22.1/24
关闭热备
<360NAC>sysconfhadisable
保存配置
<360NAC>sysconfsave
三.2控制台中心
2.2.1控制中心登录
NAC引擎支持集中管理,控制台界面和天擎控制台同台管理,打开浏览器登录天擎控制中心,输入http:
//x.x.x.x:
8080。
其中x.x.x.x是天擎控制中心服务器IP地址,8080是控制中心管理端口。
输入账号、密码,点击登录,即可进入控制中心。
系统默认的管理员口令:
角色
帐号
初始密码
超级管理员
admin
admin
为了保证系统的安全,首次登录系统时需要对admin的初始密码进行配置。
如果在登录时,连续3次输出错误的登录信息,则会要求输入对应的验证码信息。
打开天擎控制台确认是否有“强制合规”和“安检合规”模块,如没有请咨询申请授权!
可参考首页中的授权信息,是否开启,“强制合规”和“强制安检”模块。
2.2.2设备管理
天擎强制合规(NAC)支持集中管理,多台设备的分组管理,分组下发策略,支持分组自定义配置,提供多种灵活的手段支持大型组织架构下的业务需要,并支持批量升级,分组升级,支持手动分组,高级调试面板等功能。
登录后确定NAC引擎设备是否和控制中心连接正常,在强制合规-设备管理中可查看连接上线的NAC引擎,如果没有连接,请确定NAC引擎初始化配置是否正确,连接地址是否正确;针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理。
如下图所示:
设备管理中可对NAC设备进行、分组、删除、修改、调试、升级等操作
删除:
可对NAC引擎进行删除,删除后保存最后一次配置,当NAC引擎和控制中心有心跳时会重新连接上线
修改:
可修改描述NAC的描述信息,比如:
地址位置、备注等。
调试模式:
高级调试功能,主要是当设备出现故障时,厂商技术工程师的调试模式,一般情况下无需使用,请不要随意操作,在厂商技术支持指导下使用。
设备升级:
进行设备的批量升级操作
分组管理:
针对大型用户有多台NAC引擎时,可对引擎进行分组,便于管理,下发不同配置。
2.2.3授权管理
天擎强制合规(NAC)支持设备和功能的授权管理,多台设备由多位管理员接管,并支持超级管理员授权的机制,提供大型组织机构的分区域管理能力,超级管理员可分配不同的功能和不同的设备组到下级管理员,下级管理员只能操作所属区域的NAC设备,并可对细分功能进行控制。
一体化授权机制完美的解决不同管理员配置访问权限的问题
三.3客户端
2.3.1认证小助手
当采用802.1X认证方案时需配置认证小助手,在安装天擎客户端时需在终端定制中勾选强制合规,默认是关闭状态,WEBPortal认证方案和应用准入方案无需配置认证小助手,通过WEB方式认证或安装天擎客户端进行准入条件。
控制台中“策略中心”—“分组策略”—“基本设置—“终端定制”中勾选“强制合规”模块
勾选“强制合规”后,安装天擎客户端成功后会同时加载入网认证模块认证小助手,认证小助手可提供802.1认证拨号,用户名密码方式,主机快速方式,认证交互和配置等相关服务,客户端的下载可在天擎服务器客户端下载页面进行下载,安装方式和天擎客户端安装方式一致。
设置中可对认证小助手进行认证方式、数据发送方式等进行设置,可根据应用场景进行初始化,一般情况保持默认即可。
认证小助手提供每次802.1X认证的详细日志记录
2.3.1.1认证小助手配置
控制台可对认证小助手进行自定义配置,可根据不同组织部门定义不同的配置策略,如:
认证小助手界面是否可设置、数据发送方式、认证方式、显示状态、LOGO自定义等选项进行定义,用户可根据需求场景来进行设置,一般情况下默认值无需修改。
2.3.2应用准入打点配置
强制合规的另外一个应用场景,应用准入天擎客户端联动方案,检测是否安装天擎客户端的存在,达到入网访问核心服务器的权限,强制安装天擎客户端,提高客户端部署效率、防止天擎违规卸载,保障入网终端是安全可信。
配置天擎客户端的打点心跳到强制合规(NAC)服务器,NAC来判断是否拦截未安装天擎客户端的终端。
应用准入无需安装天擎认证小助手插件,认证小助手可提供802.1X认证和客户端的HTTP认证方式。
2.3.1客户端安装
2.3.1.1天擎客户端在线安装
可以直接在需要安装天擎客户端的终端上使用浏览器打开终端的部署链接,点击页面上的“在线安装”,即可开始对天擎客户端进行下载和安装。
在线安装中下载下来的程序为天擎客户端初始安装程序,在初始程序运行过程中,客户端会自动判断所在终端的操作系统类型(个人版或服务器版),然后在线安装后台定制好的客户端功能。
在线下载的360天擎客户端的名称为360skylarinst(x.x.x.x_80).exe,其中x.x.x.x是天擎控制中心服务器IP地址,双击该安装程序即可开始在线安装。
图:
360天擎客户端
安装程序启动后,会直接开始客户端的安装,此时客户端会自动从天擎控制中心下载和安装客户端组件。
图:
360天擎客户端装过程
安装完成后,会提示对应的完成向导。
图:
360客户端安装完成界面
点击<完成>,完成并退出安装。
2.3.1.2天擎客户端离线安装
当需要部署天擎客户端的电脑无法连接天擎控制中心服务器时,可以采用离线安装的方式对天擎客户端进行安装。
管理员需要先通过离线包制作工具生成离线安装包,适应交换机已经开启802.1x口,网络无法连通的客户端安装,安装成功后即可使用认证小助手进行入网认证。
具体的步骤如下:
在定制完客户端的功能后,登录到天擎控制中心后点击“首页”—“终端部署”—点击“离线包制作工具”,即可对离线包安装工具进行下载,下载下来后直接运行,开始生成离线部署安装包:
图:
终端离线安装包生存工具
图:
离线安装包生存完成
离线安装包生成完成后,点击“打开文件夹”,即可查看生成的天擎客户端离线安装包。
生成出来的离线包程序名称为“offlineSetup(x.x.x.x_80).exe”,管理员可以将该离线安装包拷贝到对应的离线终端上进行安装即可。
双击离线包开始安装:
图:
离线安装包
勾选“已阅读并同意许可协议”,选择需要安装的盘符,默认为C盘,点击”立即安装”,即可一键完成360天擎客户端的离线安装。
四.认证方案快速配置
本章节主要介绍360天擎-强制合规(NAC)的几种认证方式的快速配置。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天擎 V60 强制 合规 NAC 快速 配置 文档