支持联动深信服安全设备进行用户安全可视化和内网边缘安全管理。
NAC_3.13.0、SW3.6
1、配置AF开启WEB API
2、配置联动设备
配置联动策略不会影响当前业务
1、需要确保控制器和AF网络可达
2、简化组网下的所需测试设备:1台深信服防火墙、1台信锐网络控制器,2台信锐安视交换机,2台终端;
3、版本要求:深信服防火墙版本:AF8.0.35版本及以上;信锐网络控制器版本:NAC3.10.0版本及以上;交换机版本SW1.7.2及以上。
注:3.10.0版本需要打AF安全联动定制补丁包。
图 3‑1 标准化组网图
图 3‑2 简化组网拓扑图
登录AF的UI,开启超级管理员的Web API
点击【安全配置】-【联动响应】-【安全联动】,新增联动设备:服务器地址填写 AF地址和web端口号,认证账号和密码就是AF的页面登录账号和密码。需要先测试有效性,测试通过后再提交配置。
防火墙有两种封堵模式
1、通过深信服AF手动添加封锁攻击者IP进行联动封堵
2、通过深信服AF安全策略进行联动封堵;(通过下一截图可配置)
通过AF安全策略进行联动封堵,AF检测到异常流量后,会进行自动把终端拉入黑名单,NAC会自动同步AF上的黑名单,并在终端黑名单里呈现出来。
防火墙通过两种方式加入黑名单后,控制器同步到黑名单的效果如下
