奇安信_NAC终端安全准入系统（相关问题整理）

奇安信终端安全准入系统 ,下称NAC

一、入网控制方式

1.IP流量控制

2.802.1X 准入

需要NAC、交换机、终端
以802.1X

3.DHCP 准入

将NAC作为DHCP服务器，为客户端分配地址，并对分配地址的客户端进行入网管控。

（*）可选
强制入网终端安装NAC客户端

（*）可选 固定分配IP
在【固定分配】下，配置 MAC 与 IP 对应关系。当指定 MAC 的设备接入时，为该设备分配设定的 IP 地址。这里配置的设备无需安全校验可直接入网

（*）可选 停用设备
指定 MAC 的设备无法通过 DHCP 准入策略入网。可按需保留已使用的 IP，则该 MAC 已经使用过的 IP 地址，不会分配给其他入网的设备。

4.WebAuth 准入

一种Portal认证，由NAC作为web 认证服务器，

二、哪些控制方式不需要用户名密码登录

1.IP流量控制准入（IP-mac绑定）

对管控区内的终端，进行匹配检查，符合条件，可以入网
对管控区外的终端，策略不限制，可以直接入网

终端可以不装准入客户端，入网可以不用 用户名密码登录

管理员通过配置入网场景来控制终端使用入网策略的匹配条件，入网场景支持设置终端属性（包括类型、操作系统）、设备行为模型（访问流量 IP、目的端口，网络协议）、标签和安检结果。

对于无法准确识别计算机身份的终端，可通过配置行为模型访问 http 的 80 端口将其网络访问流量重定向至安装客户端页面或 portal 认证页面。

2.802.1X 准入（MAB）

终端可以不装准入客户端，入网可以不用 用户名密码登录，一般针对哑终端使用，将需要管控的终端的MAC地址加入NAC MAB的mac表中，对表中有的mac，放行使其入网。

三、其他注意事项

1.NAC对终端流量进行管控

终端杀毒软件关闭，终端断网
若准入客户端、天擎客户端退出，NAC将监测不到合规终端，将自动断网

2.NAC准入客户端

可以部署独立的客户端，也可以和天擎联动使用天擎的准入模块进行认证

3.NAC阻断方式

旁路欺骗，通过RST打断TCP三次握手，进行阻断终端通信