在防火墙策略中启用EndpointNAC.PPT

* * Endpoint Control NAC Endpoint 漏洞扫描 1 2 Agenda Endpoint Control NAC 网络访问控制和监控 检查终端是否使用最新版本FortiClient，病毒库是否更新 检测终端PC上安装的软件, 并收集终端PC的信息，如CPU、OS、运行时间等。 阻止不符合条件的客户端接入网络，将这些客户端定向到下载站点（portal)，帮助这些PC尽快安装或升级FortiClient 某些型号的FortiGate可以支持Forticlient下载 漏洞扫描 对客户端PC进行漏洞扫描 网络访问控制和监控 端点符合要求，检查： 是否安装FortiClient终端安全软件 是否启用了FortiClient防火墙 其否启用了FortiClient防病毒功能 是否更新了FortiClient的病毒库 是否安装（或运行）了指定的应用软件 是否没有安装（或没有运行）指定的应用软件） 系统监控 显示终端的状态（哪些是符合要求的，那些不是），具体显示某个终端的详细情况（硬件信息、OS，安装的应用软件）。改变终端的状态（阻断或开放某个终端）。 FortiClient分发 对于不符合安全检查，可能会成为隐患的端点，方便它们下载FortiClient, 并方便它们升级病毒库。 告警 如果终端PC的forticlient不符合版本要求或者安装了不符合要求的应用，用户将收到告警信息。 配置 启用FortiGuard Analysis Management Service，用来更新FortiClient application和antivirus的特征库 配置客户端需安装forticlient的最低版本和下载位置。 配置新的应用程序探测器。 配置Endpoint Profile 在防火墙策略中启用 要启用Endpoint NAC,需要做以下配置 启用FortiGuard Analysis Management Service 不需要在FortiGuard Analysis Management Service Options中输入Account ID,只需要点一下上面的Update Now按钮。 点击Update now后，状态改为Reachable 配置客户端需安装forticlient的最低版本和下载位置 从FortiGuard下载FortiClient，Portal也可定制 从FortiGate下载，新型号和1000A以上支持 从指定的URL下载 允许Forticlient的最低版本 1，支持下载的FortiGate有新型号的FG51B、FG60C、FG80V、以及FG-1000A以上的设备 2，指定URL下载地址时，必须使用完整的URL，如： ftp://user:password@30/FortiClientSetup_037_2.exe 20/FortiClientSetup_041_FG.exe 配置新的应用程序探测器 阻断迅雷 配置Endpoint Profile 只对终端进行警告 对终端进行隔离 病毒库更新 启用防火墙 启用应用检查 启用防病毒 启用终端选项 应用检查列表 还可以在命令行下设置Forticlient License和Webfilter的选项： set require-license enable set require-webfilter enable 在防火墙策略中启用Endpoint NAC 启用Endpoint NAC 可以在命令行下修改compliance-timeout #Config endpoint-control settings （setting)# set compliance-timeout time 修改 Endpoint NAC 替换信息 Not compliant的终端的各种告警 只是告警，给出下载连接，点击下面链接，可以继续访问 给出链接，并阻断访问 Forticlient的病毒库需要升级。 因为安装了迅雷5，而被阻断 因为运行了迅雷5而被阻断 被阻断的用户并不影响器病毒库升级 EndPoint监控 符合的端点 不符合的端点 查看端点相信信息 临时锁定或解锁端点 端点详细硬件信息 通过TFTP将Forticlient上传到FortiGate 在命令行下将Forticlient软件上传到FortiGate,目前新的设备51B、60C、80C，以及1000A以上的设备都支持，命令如下： FGT60C3# execute restore forticlient FortiClientSetup_267.exe 10 上传成功后显示版本信息 诊断命令 FGT60C3# diagnose firewa