360NAC安装部署手册.docx

360NAC安装部署手册.docx

《360NAC安装部署手册.docx》由会员分享，可在线阅读，更多相关《360NAC安装部署手册.docx（16页珍藏版）》请在冰豆网上搜索。

360NAC安装部署手册

360NAC快速安装手册

作者刘光辉赵娜日期2014-12-30

修订保密级别：

低

修订记录

日期

版本

作者

评审

备注

2014-6-4

1.1

刘光辉

赵娜

2014-6-4

1.2

刘光辉

赵娜

2014-6-4

1.3

刘光辉

赵娜

2014-6-4

1.4

赵娜

赵娜

2014-7-9

1.5

刘光辉

赵娜

2014-11-11

1.6

刘光辉

2014-11-17

1.7

刘光辉

2014-12-30

1.8

刘光辉

增加各种类型交换机1X配置与对应360nac配置。

2015-02-27

1.9

刘光辉

增加1X准入配置流程

2015-03-23

2.0

刘光辉

增加1X图例操作参数说明

1.360NAC应用准入解决方案

1.1应用准入部署拓扑

当前解决方案是着眼于国税项目，使用阻断方式来干扰终端正常网络访问，来达到准入功能。

其网络部署及数据流如下图：

图1.1

2.应用准入基本原理

2.1360NAC应用准入工作流程图

2.2360NAC应用准入工作流程图详述

其中NAC中导入交换机中的镜像流量，NAC上配置受保护服务器区域和可信终端，选择NAC服务器处理流程。

NAC服务器流程一，终端准入流程如下：

（1）终端访问正常网络，NAC服务器监听到该行为，判断目标地址是否为受保护的区域：

如果不是，跳到（6）；如果是，跳到

（2）。

（2）判断终端是否是可信终端：

如果是，跳到（6），如果不是跳到（3）。

（3）查询是否有该终端的心跳信息：

如果有，跳到（6），如果没有，跳到（4）。

（4）判断终端连接是类型，如果不是TCP，跳到（6），如果是TCP，跳到（5）。

（5）根据端口判断终端连接是否为HTTP：

如果是，伪造http302重定向包，重定向到终端安装地址，如果不是，伪造TCPreset包。

（6）放行不做任何处理。

注：

NAC服务器流程一，安装天擎-入网

NAC服务器流程二，终端准入流程如下：

（1）终端访问正常网络，NAC服务器监听到该行为，判断目标地址是否为受保护的区域：

如果不是，跳到（8）；如果是，跳到

（2）。

（2）判断终端是否是可信终端：

如果是，跳到（8），如果不是可信用户跳到（3）。

（3）判断用户是否已注册：

如果是，跳到流程（4），如果不是则丢弃终端心跳并跳到（6）。

（4）提示用户安装天擎客户端：

如果以安装跳到（5）。

（5）查询是否有该终端的心跳信息：

如果有，跳到（8），如果没有，跳到（6）。

（6）判断终端连接类型，如果不是TCP，跳到（8），如果是TCP，跳到（7）。

（7）根据端口判断终端连接是否为HTTP：

如果是，伪造http302重定向包，重定向到终端安装地址，如果不是，伪造TCPreset包。

（8）放行不做任何处理。

注：

NAC服务器流程二，注册–确认–安装天擎客户端–入网

NAC服务器流程三，终端准入流程如下：

（1）终端访问正常网络，NAC服务器监听到该行为，判断目标地址是否为受保护的区域：

如果不是，跳到（6）；如果是，跳到

（2）。

（2）判断终端是否是可信终端：

如果是，跳到（6），如果不是可信用户跳到（3）。

（3）判断用户是否已注册：

如果是，跳到流程（6），如果不是跳到（4）。

（4）判断终端连接类型，如果不是TCP，跳到（6），如果是TCP，跳到（5）。

（5）根据端口判断终端连接是否为HTTP：

如果是，伪造http302重定向包，重定向到终端安装地址，如果不是，伪造TCPreset包。

（6）放行不做任何处理。

注：

NAC服务器流程三，注册–确认–入网

3.360NAC应用准入部署配置

3.1NAC默认设置

1.设置PC网卡IP：

192.168.76.15，直连NAC的Eth0（默认通信口），打开IE访问NAC：

http:

//192.168.76.2默认用户名admin默认密码admin

2.NAC服务器默认处理流程为流程一。

3.2天擎服务器配置

1.建立文件：

360\360entas\data\push\NACConf.dat

2.编辑文件内容为：

[entconfig]

NACSrv=xxx.xxx.xxx.xxx（填写NAC服务器管理地址）

NACPort=80

3.3交换端口镜像机配置

以H3C交换机配置为例：

1.配置镜像源端口，可以配置多个接口

2.配置镜像端口

3.4NAC服务器配置

1.修改管理员密码

2.默认通讯口为eth0，如果需要更换通信口，在如下页面进行配置。

3.配置eth0端口IP地址

4.默认监听接口为eth1，如需修改，在如下页面进行配置

5.配置受保护服务器地址。

注：

保护服务器地址尽可能范围准确。

6.配置终端分发地址为天擎服务器地址，配置服务器管理地址为NAC服务器通信端口地址。

7.点击页面右上角配置保存。

4.360NAC应用准入流程选择

4.1360NAC应用准入流程一部署

只有安装天擎客户端的PC才有权限访问受保护服务器。

1.用户访问受保护服务器打开如下页面：

2.点击链接，下载并安装天擎客户端，之后用户PC可正常访问受保护服务器。

4.2360NAC应用准入流程二部署

用户经过注册、管理员确认、下载并安装天擎客户端后才能访问受保护服务器。

1.客户PC访问受保护服务器，打开注册页面，填写用户真实信息并提交。

2.管理员确认用户注册。

注：

可以点击与进行确认方式的切换。

3.经管理员确认后，用户再次访问受保护服务器，打开下载天擎客户端页面，下载并安装，之后用户可正常访问受保护服务器。

4.3360NAC应用准入流程三部署

用注册并经管理员确认后，可直接访问受保护服务器。

1.客户PC访问受保护服务器，打开注册页面，填写用户真实信息并提交。

2.管理员确认用户组注册，之后用户可正常访问受保护服务器。

注：

可以点击与进行确认方式的切换。

5.360NAC1X准入解决方案

360NAC1X准入解决方案分为3个元素，1X认证客户端、交换机、NAC服务器（集成radius服务器与LDAP账号管理服务器）。

6.360NAC1X准入服务器配置

6.1802.1x客户端配置

客户端：

发送radius请求的交换机管理地址或地址段。

共享密钥：

交换机radius模板内配置的共享密钥。

网络名称：

填写与共享密钥一致的字符串（目前不做校验）。

6.2802.1X默认策略

根据实际需要勾选默认策略，如没有需要可去掉已勾选的默认VLAN、隔离VLAN策略。

默认VLAN：

如果用户账号属性没有指定VLAN则给用户连接交换机端口下发该VLAN值（注：

仅基于端口认证的方式可用）。

隔离VLAN：

如果用户认证成功但健康检查策略不及格则该用户对应交换机端口被划分到隔离VLAN内（注：

仅基于端口认证的方式可用）。

默认ACL：

如果用户账号属性没有指定ACL则给用户网卡下发默认ACL策略。

隔离ACL：

如果用户账号认证成功但健康检查策略不及格则给用户网卡下发隔离ACL策略（与健康检查策略协同使用）。

默认策略：

如果用户账号没有入网策略则使用默认策略对用户终端进行评分。

6.3添加用户认证账号密码

根据实际需求添加用户属性，如有不需要的属性建议置空。

6.4当前在线1X用户管理

心跳服务器：

与当前360NAC服务器管理IP地址保持一致。

时间间隔：

1X客户端心跳发送间隔时间。

切换到802.1x准入：

点击该按钮切换到在线1X用户界面。

6.5创建健康检查策略

启用：

启用该项为合规性检查策略。

禁用：

禁用该项为合规性检查策略。

通过分数：

合规性检查项通过分数（如果不通过该用户将被划分到隔离VLAN）。

关键检查项：

任意一项关键检查项不通过，即使合规性检查分数通过，用户依然被划分到隔离vlan内。

6.6创建ACL策略

360NAC会主动向主机网卡下发该类策略已控制终端访问的端口、网段、协议。

7.802.1x交换机配置

7.1思科交换机1x配置

7.1.1版本描述

Switch#showversion

CiscoIOSSoftware,C2960SSoftware（C2960S-UNIVERSALK9-M）,Version12.2（55）SE2,RELEASESOFTWARE（fc1）

TechnicalSupport:

Copyright（c）1986-2011byCiscoSystems,Inc.

CompiledTue11-Jan-1102:

23byprod_rel_team

Imagetext-base:

0x00003000,data-base:

0x01B00000

ROM:

BootstrapprogramisAlphaboardbootloader

BOOTLDR:

C2960SBootLoader（C2960S-HBOOT-M）Version12.2（53r）SE,RELEASESOFTWARE（fc3）

Switchuptimeis3weeks,2hours,9minutes

SystemreturnedtoROMbypower-on

Systemimagefileis"flash:

/c2960s-universalk9-mz.122-55.SE2/c2960s-universalk9-mz.122-55.SE2.bin"

ThisproductcontainscryptographicfeaturesandissubjecttoUnited

Statesandlocalcountrylawsgoverningimport,export,transferand

use.DeliveryofCiscocryptographicproductsdoesnotimply

third-partyauthoritytoimport,export,distributeoruseencryption.

Importers,exporters,distributorsandusersareresponsiblefor

compliancewithU.S.andlocalcountrylaws.Byusingthisproductyou

agreetocomplywithapplicablelawsandregulations.Ifyouareunable

tocomplywithU.S.andlocallaws,returnthisproductimmediately.

AsummaryofU.S.lawsgoverningCiscocryptographicproductsmaybefoundat:

Ifyourequirefurtherassistancepleasecontactusbysendingemailto

export@cisco.