3、Safe Access Lite NAC服务器的基本应用
(1)选择终端检测模式 Safe Access Lite提供三种终端测试 模式,它们分别是: ActiveX plug-in检测模式:使用此种模式不需要被检测的终端安装任何客户端,所有的 Windows系统客户端都支 持这种检测模式,但非Windows系统不支持。使用些种检测方式不能在系统中禁用 ActiveX脚本的使用,且IE安装 设置也必需允许ActiveX脚本的运行。如果需要与NAC服务器交互必需下载和安全 相应的控件。 NAC Agent检测模式:此种检测模式被所有的Windows系统所支持,一些基于Linux内核的系统也支 持此种检测方式 ,但需要在系统中安装相应的客户端。此种检测模式可以重复进行检测,并且可以自动更新,如 果需要与NAC服务 器交互必需下载和安全相应的控件。 Agentless检测模式:此种检测模式只支持Windows系统, 也不需要安装客户端。但是终端系统上必需启用了打印 机和文件共享功能,还有,如果计算机用户不在一个 Windows系统域中,就必需指定此终端的位置标识,同时,使 用此种功能,终端和服务器上都必需开放139和445 端口。设置终端检测模式时,我们可以在Safe Access Lite的WEB配置主界面,通过单击“System configuration ”—— “ Testing methods”,在出现的如图8所示的选择终端检测模式的界面中,选择需要使用的三种终端 检测方式 中的一种或全部,默认是三种方式全部使用,完全设置后单击“OK”按钮就可以完成终端检测方式的设置。
图8
(2)设置NAC 检测策略(NAC Policies)在Safe Access Lite的WEB配置主界面,单击“NAC Policies”选项就可以打开如图9所示的设置NAC 检测策略界 面。Safe Access Lite有三种级别的检测策略:low security、medium security和High security。 Safe Access Lite默认low security作为基本的安全检测级别,此时,一旦Safe Access Lite NAC服务器检测到 终端系统中存在安全漏洞或没有安装相应的系统补丁,那么就只允许它临时接入七天;如果检测到终端系统上存 在任何的病毒或木马,那么就会禁止其访问网络。当然,只有使用其商业版本才能进行具体的阻止动作,免费版 只能以一个横杠的红色图标来显示不安全终端的状态。
图9
(3)配置Agentless测试模式 在Safe Access Lite的WEB管理主界面,单击“System configuration”——“Agentless credentials”打开代 理标识界面,在此界面中单击“Add Windows administrator credentials”,就会进入如图10所示的添加管理 标识(add administrator credentials)界面。在此界面中的“Windows domain name”文本框中输入Windows域 名或工作组名(如workgroup),在“Administrator user ID”文本框中输入登录此主机的管理员帐户,在 “Administrator password”文本框中输入管理员密码,在“Re-enter password”文本框中再输入一次密码,然后单击“OK”按钮完成添加。
图10
(4)查看终端状态在Safe Access Lite的WEB管理主界面,单击“Endpoint activity”就可以打开如图11所示的终端状态界面。在 此界面 中,会将安全的终端以绿色的向上箭头表示,对隔离的不安全终端,会以红色的带有横杠的禁止通行图标 表示,对于不能检测的终端设备,将显示为unknown设备。我们可以在此界面中单击任何一台显示出来的终端设备 ,来了解它的详细信息,如图11、12所示。
图11
图12
到这里,这台由我们自己动手打造的Safe Access Lite NAC服务器就可以开始正常工作,唯一不足的是它不能对 安全的终端做出相应的阻止行为,如果用户需要,可以使用它的商业版本,也可以使用其它另外两个开源免费的 NAC软件。 PacketFence zen 软件的安装说明在51CTO网站上可以查阅到,就不再在此文再做详细说明。对于FreeNAC软件,由于它要求使用可 网管交换机,而我手上没有这要的实验条件,所以不能亲自对它进行安装和应用实验,所以也不在此做详细说明 。如果大家对它们有兴趣,而且英文比较好,可以去它们的网站查阅其具体的安装说明。其实,这些NAC软件的 安装都很简单,尤其是直接使用它们的VMware虚拟机文件时,所有的安装工作都差不多,因此,了解其中任何一种NAC软件的安装和配置,再加上它们的说明文档,就算我们对Linux系统没有半点了解,只要按照 本文所述的方 法准备硬件平台和考虑接入方式,所有的系统和网络管理员都可以轻松地完成它们安装和部署。从上面的安装和 配置来看,虽然使用开源的NAC软件来打造网络访问控制服务器能节省资金和时间,减化NAC设备 的部署,但是, 动手打造一台NAC服务器也并不像笔者前面介绍的动手打造路由防火墙这么轻松,使用者必需有一 定的系统和网 络知识,以及NAC部署知识。从这点来说,自己动手打造NAC服务器,适合于一些具有创新精神的系 统、网络或安全管理员来进行,这样不仅能帮助企业得到一个高性能的NAC服务器,而且能在打造过程中学习到许 多应用NAC的知识。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
下一个网络挑战:保护SD-WAN
随着软件定义的广域网(SD-WAN)逐渐成为企业主流,这项技术越来越为人所熟知,尽管仍然存在大量令人眼花缭乱的 […]
-
通过数字化转型改造传统网络
云计算网络和安全厂商Zscaler本周在拉斯维加斯举办了其首次用户会议ZenithLive。该会议共吸引约60 […]
-
区块链技术可以用于网络管理吗?没那么快
有IT分析人士称,区块链技术用于网络管理价值不大。他们还分析了物联网安全以及灾难发生时AI会发生的事。 Glo […]
-
Cyphort分析技术助力Juniper Security Director
瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]