天擎V6完整版本.0-强制合规(NAC)-快速配置文档.docxVIP

PAGE

-PAGE13-

@2016360企业安全集团 密级：完全公开

天擎V6.0_强制合规(NAC)

快速安装部署手册

?DATE\@yyyy2016360企业安全集团

文档版本号：V2.1.1

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录|Contents

TOC\o1-3\h\z\u一、 产品简介 4

1.1 产品概述 4

1.2 入网流程 5

1.3 产品组成 5

二、安装部署 6

2.1 NAC引擎设备初始化配置 6

2.1.1 登录设备 6

2.1.2 网络基础配置 10

2.1.3控制中心连接配置 11

2.1.4双机热备 12

2.1.5常用命令 13

2.2 控制台中心 14

2.2.1控制中心登录 14

2.2.2设备管理 15

2.2.3授权管理 17

2.3 客户端 18

2.3.1认证小助手 18

2.3.1客户端安装 21

三. 认证方案快速配置 24

3.1应用准入方案 24

3.1.1配置保护区 25

3.1.2配置监听端口和客户端下载页面 25

3.1.3配置入网流程 26

3.1.4配置交换机镜像 26

3.1.5验证 28

3.2WebPortal认证方案 28

3.2.1配置保护区 28

3.2.2配置监听端口和客户端下载页面 29

3.2.3配置入网流程 29

3.2.4配置交换机镜像 30

3.2.5验证 31

3.2.6来宾注册 32

3.2.7认证/注册配置 32

3.2.8注册审批 33

3.3802.1X认证方案 34

3.3.1添加接入点交换机 34

3.3.2添加用户 35

3.3.3第三方认证源配置 36

3.3.4配置交换机命令 37

3.3.5客户端认证验证 38

3.3.6认证日志 40

3.4MABMac认证方案 40

3.4.1添加Mac白名单 40

3.4.2交换机MAB配置 41

3.4.3验证 42

四. 合规检查配置 43

4.1 安检合规 43

4.1.1 安全检查项 43

4.1.2 策略配置 44

4.1.3 修复区配置 46

4.1.4 分组策略部署 46

4.1.5 安全检查客户端 47

五. 设备集中管理 49

5.1 设备管理 49

5.2 授权管理 51

5.3 策略分组 52

产品简介

产品概述

天擎V6.0强制合规（NAC）主要为企事业单位解决入网安全合规性要求，核心业务的访问控制、实现用户和终端的实名制认证管理、终端接入的安全防护、终端入网的追溯分析等管理问题。用于防止企业网络资源由于非法终端接入所引起的威胁，在规范终端入网流程的同时，不仅有效的管理了用户和终端接入行为，同时也保障了终端入网的安全可信及企业内网的安全。

强制合规（NAC）支持多种认证技术及方式，可适应复杂网络环境下的终端入网控制和合规性访问要求，产品具备集中管理方式，设备分组配置管理，提供多种灵活的手段支持大型组织架构下的业务部署需求，并在各业务风险点提供多种逃生方式，保障业务的稳定运行，产品支持联动多种第三方认证源无缝认证，确保入网实名制统一认证管理要求。从而使终端接入管理变得安全、透明、可控，满足信息安全管理要求。

强制合规（NAC）设备采用旁路部署，也可通过网关监听来发现和评估哪些终端入网是否符合遵从条件，判断哪些终端是否允许安全访问企业核心资源，不符合会被自动拦截要求认证或安装客户端才能进行访问，并可配置入网安全检查策略，不符合进行隔离和修复，达到合规入网的管理规范要求，这种方式的优点在于无需和交换机进行联动，避免交换机管理的复杂性和终端私拉乱接带来的绕过可能性。

入网流程

工作流程主要包含3个环节：认证、检查、授权

终端设备是否可以接入企业网络需要进行身份认证，未授权天擎终端设备不能接入企