2024年1月2日发(作者:)
网络准入控制使用说明
IP-guard的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。而即使当管理员及时发现这种情况以后,重新再部署桌面管理客户端都是一件繁琐和恼人的工作。IP-guard网络准入控制功能就是为了解决这一问题而诞生的。
IP-guard 网络准入控制系统是一套专业的硬件系统,能够对访问指定网络(如企业内网、服务器等)的计算机进行严格的合规性审核,只有合规的计算机才能连入访问,未合规的计算机可根据需要将其引导至隔离区进行修复,或者完全阻断其访问。
更可以与IP-guard 15大模块集成应用,避免内网PC脱离IP-guard管控。有效的保证内网安全策略的执行,同时杜绝非法连入带来的外泄风险。
1 网络架构
IP-guard网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:
IP-guard的网桥控制模式:
使用网桥模式,可以对网络结构和配置不做任何修改,直接将准入设备串接进网络中需要进行控制的地方(多数是重要的应用服务器或者网关处),对通过其的网络通讯进行控制。
IP-guard的路由控制模式:
对核心交换机启用策略路由,对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。
2 控制流程
当计算机或其他网络终端设备接入网络时,设备端会询问其提供验证的信息。当安装了客户端的计算机通过身份认证以后,就可以访问正常的网络。而没有通过认证的计算机则会被放入到隔离区或完全阻断网络访问。
同时对于一些无法安装客户端的网络终端设备,例如网络打印机,系统可以通过配置白名单的方式允许这些网络设备接入网络。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单,或者开辟特殊用户的方式允许他们不安装客户端的情况下访问部分或者全部网络。
客户端,允合法许访问互联网止访问ERP服务器合法客户端准入控制器客户端,阻非法限制访问的计算机或网络阻止后,进入修复区非法客户端修复区
3 部署
3.1 设备介绍
IP-guard网络控制设备(以下称控制器),分为三个型号:
IPG-1000:
5个百兆网卡,无管理端口;RESET键用于恢复出厂设置;
IPG-2000:
3个千兆网卡,其中管理端口为EMP;
IPG-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
IPG-4000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
说明 对于有管理端口的控制器,管理端口的IP固定为190.190.190.190,初始配置使用管理端口;对于没有管理端口的控制器,出厂设置下任一端口的IP均为190.190.190.190,初始配置可使用任一端口;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
3.2 部署方式
串接方式(网桥模式)
IP-guard网络控制器以桥接的方式串接入网络。控制器一般位于限制访问网络或计算机之前。
连接方法:使用设备的两个端口将其连入网络;
IPG-1000使用ETH1四个端口中任意一个和ETH0;
IPG-2000使用ETH0和ETH1;
IPG-3000、IPG-4000使用ETH0、ETH1、ETH2中任两个;
远程客户端VPN核心层交换机准入控制器路由器汇聚层交换机准入控制器无线接入点接入层交换机接入层交换机交换机客户端客户端客户端客户端ERP服务器邮件服务器OA服务器
准旁路方式(路由模式)
对核心交换机启用策略路由,对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。
连接方法:使用设备的一个端口连接交换机;
PG-1000使用ETH1四个端口的任意一个;
IPG-2000、IPG-3000、IPG-4000都只能使用ETH0;
远程客户端VPN准入控制器核心层交换机互联网路由器汇聚层交换机交换机无线接入点接入层交换机接入层交换机ERP服务器邮件服务器OA服务器客户端客户端客户端客户端
说明 部署前为保证控制器能在网络中正常通讯,需要对其设置IP,详见4.2。
使用路由模式前,需要对交换机加上策略路由配置,具体配置见文档《策略路由配置》;
4 使用
4.1 界面
网络准入管理器的主界面,如图1:
图1
4.2 设置控制器IP
有管理端口的设备使用管理端口进行设置,没有管理端口的设备(例如 IPG-1000),则使用任一端口进行设置。具体步骤如下:
1. 计算机A安装了网络准入管理器,使计算机A脱离内网环境,而直接用网线将控制器的管理端口(IPG-1000是任一端口)与计算机A连接,修改计算机A的IP,让它能与控制器通讯。如:
IP地址:190.190.0.1
子网掩码:255.255.0.0
默认网关:可不填
2. 在计算机A上启动网络准入管理器,“工具→控制器连接参数”。如图2:
图2
控制器:输入此时连入端口的IP,即190.190.190.190;
密码:初始为空
3. 点击【确定】,进入网络准入管理器主界面。“工具->控制器管理”,见图5;
4. 点击【设置运行模式】,弹出IP设置对话框,如图3:
图3
5. 选择控制器连入网络环境选择接入的模式,并设置相应的IP信息。设置完成后,点击【确定】,会提示需重启控制器方能生效。
6. 点击控制器管理界面上的【重启控制器】按钮,控制器重启之后,IP修改成功。
4.3 连接控制器
启动网络准入管理器,若之前并未进行任何设置,会弹出的控制器连接参数设置窗口。见图2。
对话框中包含以下内容:
字段
控制器
密码
说明
输入修改后的控制器IP;
初始密码为空,成功连接控制台后可以修改密码,在“工具->控制器管理->修改登录密码”中修改。
如需要重新连接控制器,在菜单栏,“系统->重新连接”,可与控制器重新建立连接。
如需要连接其他的控制器,在菜单栏,“工具->控制器连接参数”,弹出图2窗口,输入其他控制器的IP和登录密码即可。
4.4 连接服务器
菜单栏,“工具->服务器连接参数”,如图4:
图4
填入所要连接的IP-guard服务器地址,管理员、密码为该IP-guard服务器的管理员名称以及密码。(需是有查看在线计算机权限的管理员。)
如需要重新连接服务器,在菜单栏,“系统->重新连接”,可与服务器重新建立连接。
说明 控制器成功连接的IP-guard服务器,其所管理的客户端如果为在线状态会被服务器自动授权认证,状态为“授权”。可以正常访问网络。
相对应的,控制器未连接的IP-guard服务器,其管理的客户端也可通过“信任客户端主动认证”,正常访问网络,状态为“信任”。
具体详见4.9
4.5 控制器管理
菜单栏,“工具->控制器管理”,如图5
图5
按钮
修改登录密码
升级
恢复出厂设置
重启控制器
设置控制器时间
设置运行模式
设置VLAN配置
功能说明
可修改连接控制器的密码;
可导入IP-guard提供的版本升级包,对控制器软件进行升级;
可将控制器的设置恢复到出厂时的设置;
可将控制器重启;
可设置控制器当前的时间;
可设置控制器的运行模式;
可设置并启用TRUNK功能(网桥模式下);
说明 TRUNK功能,详细参见4.7
对于IPG-1000,也可通过RESET键将控制器的设置恢复到出厂时设置;使用时按住该键五秒以上即可。
4.6 管理配置
“安全管理器主界面->配置管理”,在此设置控制器的管理配置信息。如图6:
图6
配置项目
管理范围
说明
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
设置控制器所能控制的计算机范围,此范围内无法通过认证的计算机被阻断,访问网络受限。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
设置被阻断的计算机也能访问的网络地址。支持“IP/掩码,IP”的输入,如:192.168.1.1/24,192.168.2.102。
设置访问网络受限时,转而链接到的地址
输入转到的url;
输入转发的端口,通过该端口访问被限制后会自动转发到“转发的url”;
设置是否启用主动认证验证方式。
控制范围
例外网络地址
转发设置
转发的url
转发的端口
主动认证
配置项目
信任客户端主动认证
绑定序列号
禁止网络地址转换(NAT)
说明
勾选此项,则控制器会接受客户端发送的主动认证信息。
输入IP-guard产品ID,则控制器只接受该产品ID客户端发送的认证信息。空为不做产品ID限制。
默认为不勾选,则通过连接NAT设备(路由、无线路由等)接入网络的任一计算机主动认证成功,连接此设备的所有计算机都允许接入网络;
勾选此项,则控制器不接受通过连接NAT设备(路由、无线路由等)接入网络的计算机进行主动认证。
说明 关于客户端主动认证的相关操作,详细参见4.9.2
关于转发地址的具体部署,详细参见5.1
4.7 启用TRUNK功能
在网桥运行模式下,如果网络准入控制器连接网络设备(例:交换机)的接口的接入模式是TRUNK,同时设置被阻断时的转发功能,则需要启用准入控制器的TRUNK功能。具体步骤:
1. “工具”→“控制器管理”,点击【设置VLAN配置】,如图7:
图7
2. 勾选“开启Trunk”;
3. 点击【添加】按钮,逐个添加VLAN配置;
4. 添加完毕之后,点击【确定】按钮,完成配置。
说明
例子
添加VLAN配置时,请根据交换机或其他网络设备的VLAN配置进行添加。
假设准入控制器两边分别连接了H3C3600和CISCO3560,其中:
H3C3600交换机上存在:
interface Vlan-interface20
ip address 192.168.2.100 255.255.255.0
CISCO3560交换机上存在:
interface Vlan20
ip address 192.168.2.200 255.255.255.0
则添加:
Vlan ID:20
IP:192.168.2.x
掩码:255.255.255.0
4.8 开启控制
为了避免影响网络使用,建议完成以上控制器的连接、管理配置后再开启准入控制功能。
“菜单栏->系统->开启”,则准入控制功能会按照各项设置生效。
“菜单栏->系统->关闭”,准入控制功能关闭。
4.9 准入认证
对于网络准入控制,安装了IP-guard客户端且通过认证的机子可以正常访问网络。认证的方式有两种:授权和信任。
4.9.1 授权
对于控制器连接的IP-guard服务器,其所管理的客户端如果为在线状态会被服务器自动授权认证,状态为“授权”。
说明 为了确保能成功授权,需将控制器连接的IP-guard服务器的IP地址设为例外
4.9.2 信任
对于没有被控制器连接的IP-guard服务器,其所管理的客户端需要主动认证,状态显示为“信任”,具体步骤为:
1. 在管理配置处(图6)勾选“信任客户端主动认证”;
2. 客户端升级到准入控制功能版本;
3. 设置客户端配置;
使用 “–ad”参数启动IP-guard控制台,“策略”→“客户端配置”,添加以下信息:
NAC_ENABLE=1 (1为启用主动认证,0为不启用)
NAC_IP_LIST=192.168.0.5 (控制器IP,多个IP时,以“,”分隔)
NAC_MAX_OFFLINE=300 ( 单位:秒;小于300时,则按300算;客户端与服务器断开连接超过这个时间,则阻断网络)
NAC_SEND_INTERVAL=30 (单位:秒;发送认证报文的时间间隔)
说明 控制器连接的IP-guard服务器,其所管理的客户端也建议设置客户端配置
4.9.3 设置白名单
对于没有安装客户端,或是没有通过授权和信任认证的机器,访问网络将被阻断。将其设置白名单,便可解除限制。
设置白名单
方法1:
切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->设置白名单,也可取消白名单。
方法2:
切换至“白名单”标签页,右键菜单->添加白名单,如图8:
图8
填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:192.168.3.0,192.168.0.2-192.168.1.160。点击【确定】之后,设置成功,列表中出现添加的IP机器。
删除白名单
在“白名单”列表中选择一个或多个计算机,右键菜单->删除白名单,这些机器将不再具有白名单功能。
4.10 状态信息
窗口标签页切换到“状态信息”窗口。可以查看管理范围内计算机的状态信息,包括:计算机名称、网络地址、启动时间、最后在线时间、是否白名单、是否授权、是否信任等。
在此窗口下,选定列表中的机器,右键菜单可以进行如下操作:
刷新当前列表
输入关键字查找列表中的机器
设置取消白名单
删除
4.11 查看日志
切换到“日志记录”标签页,可以查看控制器连接信息连接成功/失败、控制器连接中断、新发现的计算机、计算机名称改变等日志信息。
5 备注
5.1 转发设置部署
转发设置主要作用在于:未通过认证的计算机访问网络受阻后,将其经由设置好的“转发的端口”引导至“转发的url”,该计算机可下载IP-guard客户端进行修复,得以通过网络准入控制的认证,从而保证正常访问网络。
1. 可使用IP-guard提供web服务器架设程序(WebServerSetup)进行部署。
2. 双击运行该程序,根据默认提示安装。成功安装之后,web服务自动在后台运行,默认开放8282端口。
3. 将客户端程序改名为,放置在WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
转发的url:设置好的转发网页地址,即 192.168.1.2:8282
(192.168.1.2为安装web服务的机器IP)
转发的端口:一般填写80, 8080, 1080, 8000, 808
说明 为了确保受阻断的计算机能正常转连接到网页,服务器所在地址需加入到例外网络地址中。
5.2 白名单与例外地址的区别
网络中的任意IP,都能与例外地址通讯;
网络中除了被阻断的IP之外,其余的任意IP都能与白名单地址通讯;
发布评论