SANGFORNAC准入(安全隔离)测试文档.pdf

SANGFORNAC SANGFORNAC SSAANNGGFFOORRNNAACC准入（安全隔离）测试文档 前置条件 1. NAC设备的多功能授权序列号开启了TNAC（网络准入控制功能）选项 2. 内网测试用户M（IP 为1）、N（IP 为2）通过认证在线，用户M 的上网策略放通了访问外网网页等所有外网访问权限 3. 内网用户M，N的PC 安装了跟NAC 设备同版本的准入客户端，且正常运行（在PC 用任 务管理器可看到ingress.exe, ingressMgr.exe 两个进程正常运行且用户名都是system，PC 可 以正常上网） 4. 用户M的PC 没有安装360杀毒软件。 5. 用户M、N的PC 都启动了SecurityCenter 服务 6. 在【网络准入控制】-【网络准入控制配置】页面启用网络准入控制，并把客户环境的内网 网段IP（如/）填入内网网段配置列表里面： 7. 在【网络准入控制】-【隔离区对象配置】里面添加一个隔离区策略（如：添加“NACbeta 测试隔离区”的隔离区对象，内网访问控制策略和外网访问控制策略均保持默认设置，即拒 绝内外网的访问）： 测试步骤： 1.用户M使用的上网策略启用了【准入系统】-【安全检测】-【防病毒软件检测】功能，勾 选【检测客户端是否安装防病毒软件并启用自动防护】，勾选【只允许使用如下指定的防病毒 软件】,在列表中只勾选“360杀毒”（即一定要安装360杀毒，否则就违规了）： 2.设置好允许使用的杀毒软件后，配置检测到违规后的动作-【启用客户端提示】；同时勾选【进 行访问控制】，违规就“加入NACbeta 测试隔离区”： 3. 上网策略配置完约1分钟后，在该内网PC上面可以看到准入客户端弹出的检测到没有安装 任何支持的杀毒软件的客户端提示“安全检测提示”： 4. 在【网络准入控制】-【网络准入控制管理】页面的隔离用户列表里面，可以看到用户M （IP 为1）已经进入了“NACbeta 测试隔离区”： 5. 用户M（隔离用户）将访问不了内网其他同网段的IP，如：访问内网不需要安装准入的用 户N（IP 为2）的ftp服务器，会访问不成功，且在用户M 的PC系统安装盘 下（一般情况下目录是C:\Windows\System32\config\igslog\DropList）的丢包日志文件里找 到该内网PC发送出去的数据包被丢掉的日志记录： 6. 在【隔离区对象配置】页面点击【NACbeta 测试隔离区】，修改该隔离区外网访问控制策略 里面的HTTP URL过滤模块，设置允许访问“公司网站”，其他网站缺省拒绝： 7. 过1分钟后，用户M访问 ,发现被拒绝了： 同时，可以看到数据中心有对应的拒绝记录，拒绝列表也有对应的丢包记录：