自己动手打造企业网络访问控制器 -东北IT网

自己动手打造企业网络访问控制器

http://www.dbit.cn　2009/1/15 8:14:07 　来源:东北IT网　编辑:叶子

　　3、 Safe Access Lite NAC服务器的基本应用

　　（1）、选择终端检测模式 Safe Access Lite提供三种终端测试模式，它们分别是： ActiveX plug-in检测模式：使用此种模式不需要被检测的终端安装任何客户端，所有的 Windows系统客户端都支持这种检测模式，但非Windows系统不支持。使用些种检测方式不能在系统中禁用 ActiveX脚本的使用，且IE安装设置也必需允许ActiveX脚本的运行。如果需要与NAC服务器交互必需下载和安全相应的控件。 NAC Agent检测模式：此种检测模式被所有的Windows系统所支持，一些基于Linux内核的系统也支持此种检测方式，但需要在系统中安装相应的客户端。此种检测模式可以重复进行检测，并且可以自动更新，如果需要与NAC服务器交互必需下载和安全相应的控件。 Agentless检测模式：此种检测模式只支持Windows系统，也不需要安装客户端。但是终端系统上必需启用了打印机和文件共享功能，还有，如果计算机用户不在一个 Windows系统域中，就必需指定此终端的位置标识，同时，使用此种功能，终端和服务器上都必需开放139和445 端口。设置终端检测模式时，我们可以在Safe Access Lite的WEB配置主界面，通过单击“System configuration ”—— “ Testing methods”，在出现的如图8所示的选择终端检测模式的界面中，选择需要使用的三种终端检测方式中的一种或全部，默认是三种方式全部使用，完全设置后单击“OK”按钮就可以完成终端检测方式的设置。

　　

　　图8

　　（2）、设置NAC 检测策略（NAC Policies）在Safe Access Lite的WEB配置主界面，单击“NAC Policies”选项就可以打开如图9所示的设置NAC 检测策略界面。Safe Access Lite有三种级别的检测策略：low security、medium security和High security。 Safe Access Lite默认low security作为基本的安全检测级别，此时，一旦Safe Access Lite NAC服务器检测到终端系统中存在安全漏洞或没有安装相应的系统补丁，那么就只允许它临时接入七天；如果检测到终端系统上存在任何的病毒或木马，那么就会禁止其访问网络。当然，只有使用其商业版本才能进行具体的阻止动作，免费版只能以一个横杠的红色图标来显示不安全终端的状态。

　　

　　图9

　　（3）、配置Agentless测试模式在Safe Access Lite的WEB管理主界面，单击“System configuration”——“Agentless credentials”打开代理标识界面，在此界面中单击“Add Windows administrator credentials”，就会进入如图10所示的添加管理标识（add administrator credentials）界面。在此界面中的“Windows domain name”文本框中输入Windows域名或工作组名（如workgroup），在“Administrator user ID”文本框中输入登录此主机的管理员帐户，在 “Administrator password”文本框中输入管理员密码，在“Re-enter password”文本框中再输入一次密码，然后单击“OK”按钮完成添加。

　　

　　图10

　　（4）、查看终端状态在Safe Access Lite的WEB管理主界面，单击“Endpoint activity”就可以打开如图11所示的终端状态界面。在此界面中，会将安全的终端以绿色的向上箭头表示，对隔离的不安全终端，会以红色的带有横杠的禁止通行图标表示，对于不能检测的终端设备，将显示为unknown设备。我们可以在此界面中单击任何一台显示出来的终端设备，来了解它的详细信息，如图11、12所示。

　　

　　图11

　　

　　图12

　　到这里，这台由我们自己动手打造的Safe Access Lite NAC服务器就可以开始正常工作，唯一不足的是它不能对安全的终端做出相应的阻止行为，如果用户需要，可以使用它的商业版本，也可以使用其它另外两个开源免费的 NAC软件。 PacketFence zen 软件的安装说明在51CTO网站上可以查阅到，就不再在此文再做详细说明。对于FreeNAC软件，由于它要求使用可网管交换机，而我手上没有这要的实验条件，所以不能亲自对它进行安装和应用实验，所以也不在此做详细说明。如果大家对它们有兴趣，而且英文比较好，可以去它们的网站查阅其具体的安装说明。其实，这些NAC软件的安装都很简单，尤其是直接使用它们的VMware虚拟机文件时，所有的安装工作都差不多，因此，了解其中任何一种NAC软件的安装和配置，再加上它们的说明文档，就算我们对Linux系统没有半点了解，只要按照本文所述的方法准备硬件平台和考虑接入方式，所有的系统和网络管理员都可以轻松地完成它们安装和部署。从上面的安装和配置来看，虽然使用开源的NAC软件来打造网络访问控制服务器能节省资金和时间，减化NAC设备的部署，但是，动手打造一台NAC服务器也并不像笔者前面介绍的动手打造路由防火墙这么轻松，使用者必需有一定的系统和网络知识，以及NAC部署知识。从这点来说，自己动手打造NAC服务器，适合于一些具有创新精神的系统、网络或安全管理员来进行，这样不仅能帮助企业得到一个高性能的NAC服务器，而且能在打造过程中学习到许多应用NAC的知识。

本新闻共3页,当前在第3页 1 2 3

【收藏】【打印】【进入论坛】