可以设置观察区域/保护区域、观察角色/保护角色等不同防御类型,实现放通或拦截所有流量,做到横向阻断,更加灵活的阻断病毒传播,保障网络安全。
NAC3.13.0
1、确保AP、交换机正常在线
2、创建角色
3、创建本地用户账号
4、创建无线网络
5、配置东西向流量策略
配置东西向流量策略,有可能导致用户之间无法互访。
1、观察区域/保护区域:若同时配置交换机端口组和交换机,则满足两者的交换机端口才生效;若同时配置无线网络/接入点有线认证策略和接入点,也是只有满足两者的认证策略才生效。
2、观察角色/保护角色:若同时满足观察角色/保护角色和观察区域/保护区域,则满足角色策略优先。
本文档涉及的拓扑仅为示例,该拓扑适用于新项目测试或者新项目功能验证时进行环境 快速搭建。实际项目中以具体网络环境为准,原则上瘦模式 AP 组网均可满足东西向流量的测试条件。 为达到测试效果,AP 部署需要合理摆放,推荐 2 个 AP 间隔在 10-15 米,AP 位置附近 无其他干扰源。
3.1.1测试准备
1、测试需求
如上拓扑, 用户通过无线办公, 控制器上统一下发一个 ssid,用于内网办公设备无线接 入。财务电脑接入认证后分配“财务”角色,老板电脑接入后分配“老板角色”,其他员工 电脑或者手机接入认证后分配“其他员工”角色。要实现如下需求(以 http 应用为例, 可拓展到其他方面,如防木马病毒等):
(1)保护财务电脑的数据安全
(2)不允许其他员工访问财务电脑发布的 http 应用
(3)允许财务部门其他同事以及老板能够访问该 http 应用
2、测试工具准备
|
资源名称 |
数量 |
备注 |
|
测试电脑 |
1 台 |
无线网卡支持双频 |
|
测试手机 |
1 台 |
无线网卡支持双频 |
|
信号测试工具 |
1套 |
WiFi 百宝箱 |
3.2.1演示环境搭建
根据上述网络拓扑搭建测试环境,保证 NAC、交换机以及 AP 工作正常
3.2.2新建无线网络
在控制器主页面【接入点配置】->【无线网络】里新增 ssid 用于无线终端接入,基于用 户组给不同组的终端分配认证后的角色;
3.2.3配置东西向流量策略
边缘安全页面,依次点击【安全配置】->【流量安全】->【漏洞攻击防御】->【漏洞利用防御】,新增东西向流量安全策略,按照上述需求进行配置;
财务按照如下配置,配置完成后点提交即可:
(1)防御类型:保护角色
(2)保护的用户角色:财务
(3)访问白名单中
(4)源访问区域:根据认证角色划分
(5)角色:财务、老板
(6)允许服务:http
1、PC 假设为财务 PC,以财务账号接入无线网络,获得财务角色
2、开启财务 PC 的 http 服务
3、用手机接入无线网络,以其他员工账号接入无线网络,获得其他员工角色
4、用手机访问财务 PC 的 http 服务,观察访问结果
5、手机忘记无线重连,以老板账号接入无线网络,获得老板角色
6、用手机访问财务 PC 的 http 服务,观察访问结果
1、步骤 4 中,手机获得其他员工角色无法访问 http 服务
2、步骤 5 中,手机获得老板角色可以访问 http 服务
3、在【首页】>【安全中心】->【流量安全】->【东西向流量安全】->【终端流量分析】的区域,互访图中,看到各个角色之间互访的情况;
4、在【首页】>【安全中心】->【流量安全】->【东西向流量安全】->【服务访问日志中】看到各个区域之间互访的情况。
