2、 在线工作方式时的接入方式

　　在线工作方式是指NAC服务器将直接连接到网络的数据链路当中，如图1.2 所示，此时的NAC服务器最少需要二块 100/1000Mbps以太网网卡。在线工作方式的NAC服务器不仅承担对整个内部局域网中所有终端进行监控的任务，还 得控制它们对连接在它后面的网络服务器的访问。此时，如果硬件及网络条件满足NAC服务器的要求，那么它将会 提供其完整的NAC功能。但是，在线工作方式的NAC需要更高的数据处理性能和硬件稳定性，而且还存在单点失败 的问题。因此，我们必需通过提高PC硬件性能来提高NAC服务器的处理速度，通过同时运行两台相同的NAC虚拟机 来提供冗 余，还可以为PC提供双CPU，双电源，以及RAID功能来保证NAC服务器的稳定性和业务的可持续性。但此 时不能再 使用免费的VMware软件来运行这些NAC虚拟机了，因为免费的VMware Player软件并不提供冗余功能。另 外，这种方式会对现有的网络结构做出相应的调整，如果不是有此必要，可以优先考虑使用被动接入方式，毕 竟 改变现有网络结构所要承担的风险和造成的业务影响要比被动接入方式大得多。这也是我们使用软件NAC来打造 网络访问控制服务器的初衷。

　　图2

　　二、 软件的安装与配置

　　接下来的任务就完成所选择的NAC软件的安装与配置，这样，我们自己动手技术先进的NAC服务器才具有真正的意 义。如 果我们选择使用虚拟机文件来运行这些NAC软件，那么，安装NAC软件的过程将只是如何通过VMware虚拟机软件 来 运行它们的事情。在本文中，我将以安装和配置Safe Access Lite为例来说明NAC软件的安装和配置方法，其它 两个文件的安装与配置与此软件大致相同，除了会在安装配置Safe Access Lite软件后会说明FreeNAC软件在安装 过程中的注意点外，其它的就不再此做详细的说明。为了能运行这些NAC的VMware虚拟机文件，我们除了可使用VMware相关商业软件来运行外，也可以到 www.VMwareware.com/products/player下载免费的VMware Player.exe 来运行这些VMware虚拟机文件，它只提供对 vmx为扩展名的VMware虚拟机的运行，而不提供制作虚拟机等其它功 能。下载回来后，应当安装到运行NAC软件的 系统中，以便下面能够正常使用。1、Safe Access Lite软件的基 本安装与配置完成这些工作后，就可以开始安装Safe Access Lite。说是安装，其实并不如安装其它软件那样进行，由于我们 使用的是一个Safe Access Lite的VMware虚拟机文件，其中已经包括了运行它所必需的所有环境，我们现在要做 的，就是通过解压缩软件将下载回来的Safe Access Lite的VMware虚拟机文件压缩包解压到一个文 件夹中，例如 E:Safelite，然后启动VMware Player软件，单击其主界面中的“Open”按钮，在打开的选择文件 对话框中选择 E:Safelite文件夹下的“Safe Access Lite.vmx”虚拟机文件，确定选择后就会启动Safe Access Lite虚拟机。当出现如图3.1所示的Safe Access Lite虚拟机字符终端登录界面时，在“login”提示符下输入 “root”，回车后就会出现提示输入密码的提示符，此时在“password”提示符下输入Safe Access Lite 默认的根密码 “safeaccess”，按回车键后就可以登录到Safe Access Lite虚拟机的字符终端。

　　图3

　　接下来，我们就要通过下列所示的命令来完成与交换机相连的以太网网卡的网络设置，以便接下来可以通过 WEB图 形化界面更加直观地完成安装设置和管理它。在本文中，我通过输入以下命令来设置NAC服务器网卡的IP地 址为 192.168.1.10、子网掩码为255.255.255.0及缺省网关为192.168.1.1： # network-settings.py 192.168.1.10 255.255.255.0 192.168.1.1 输入以上命令并按回车键后，不一会儿就会完成网卡的基本设置，并 回到根用户提示符下。现在，重新启动一次 Safe Access Lite虚拟机，以便我们能够使用刚才设置的IP地址，通 过WEB方式继续完成它的安装设置。

　　2、 通过WEB方式继续完成Safe Access Lite的安装设置现在，我们还必需使用WEB方式来进一步设置Safe Access Lite，才能完成它的整个安装过程。在与Safe Access Lite打造的NAC服务器相连的局域网内任意选择一 台计算机，运行安装在此主机系统上的WEB浏览器，在浏览器的 地址栏中输入“https:// Safe Access Lite虚拟 机的IP地址”，在本文中，我输入的是192.168.1.10，按回车键 后，就会出现一个SSL连接的安全警告对话框， 单击此对话框中的“是”按钮，就会出现一个让我们接受授权声明 的界面，在此界面中选择“I Accept this license agreement”单项选择按钮，然后单击“Next”按钮就可以进 入下一个WEB设置界面。接下来就会出现一 个如图3.2所示的服务器管理设置界面。在此界面中的“Root password”文本框中输入新设置 的根密码，以替换 系统默认的根密码，然后在“Re-enter Root password”文本框中再输入一次新设置的密码。 在“data and time”区域中的“region”下拉框中选择“asia”区域，再在“time zone”下拉框中选择 “shanghai”时区。 然后在“network settings”区域中的“host name”文本框中输入NAC服务器主机名，例如 mynac，然后在其下 的“DNS IP address ”文本框中输入主DNS服务器的IP地址。如果我们不通过代理服务器方式 连接因特网，那么 完成这些设置后，直接单击此界面中的“Next”按钮，就会出现如图3.3所示的输入授权码的界面。　

　　图4

　　图5

　　此时，将在下载Safe Access Lite虚拟机文件时得到的授权码复制后，粘贴到此界面中的“License key”文本框 中，然后单击此界面中的 “Next”按钮就会进入如图6所示的创建管理员帐户界面。　

　　图6

　　在创建管理员帐户界面中的 “user name”文本框中输入要创建的管理员帐户名称，在“password”文本框中 输入密码，在“re-enter password”文本框中重新输入一次新建立的管理员密码。完成这些设置后，单击此界面 中的“Finish”按钮，就 可以完成Safe Access Lite所有的安装设置，然后就会进入如图7所示的Safe Access Lite WEB管理主界面。　

　　图7

　　在Safe Access Lite WEB管理主界面的左边，是进行相应设置的各个功能选项，当我们选择某个选项后，就可 以 出现相应的管理设置界面。其中“Endpoint activity”选项用来查看网络中当前存活终端的状态；“NAC Policies”选项中的内容用来设置检测终端的NAC安全策略；“System Configuration”选项中的内容用来设置终 端检测模式及其它内容；“System Monitor”选项用来显示NAC服务器的系统资源使用状况；“Reports”选项用 来查看NAC服务器产生的各种报告。

• 上一篇:安全使用IM即时通讯的诀窍
• 下一篇:通过远程配置实施的网络渗透