forti NAC 설정 및 개념

forti NAC 설정 및 개념

 

 

목차 

 

1.NAC 개념

 

2. NAC 적용 방법

 

3. NAC 적용 결과

 

 

1.NAC(네트워크 엑세스 제어)

신뢰할 수 있는 장치와 신뢰할 수 없는 장치를 모두 식별하고 프로파일링한다.

Fortinet 및 타사 네트워크 장치에 대한 위협 대응 자동화 forti NAC은 중앙에서 배포하고 위치를 관리할 수 있다.

 

기본적으로 NAC 정책 활성화 시, 정책에 일치하지 않는 보류 장비들에 기본값으로 Onboarding VLAN이 Native VLAN으로 적용된다.따라서, 정책에 일치하는 장비를 제어하기 위해 부여할 별도의 VLAN을 먼저 생성한다.
 이 때, VLAN은 Fortiswitch가 연결되어 있는 Fortilink 하단에 생성되어야 한다.

 

※ Onboarding VLAN: 새로 추가된 장비에 임의로 부여되는 기본 VLAN

 

2. NAC 적용 방법

< 인터페이스 상 VLAN 생성 화면 >

 

< VLAN 생성 후 Fortilink 상태 >

 

< Onboarding VLAN 변경 화면>

 

◼ VLAN 생성을 완료한 후, 조건에 부합하는 장비를 제어 및 감지하기 위한 NAC 정책을 생성한다.

   감지 조건:

  - Category: 감지할 기기의 범주(기기/사용자/EMS태그)
  - MAC address: 기기의 MAC 주소
  - Hardware vendor: 기기의 하드웨어 제조사

  - Device family: 기기의 제품군
  - Type: 기기 종류
  - Operating system: 기기가 구동되고 있는 운영체제
  - User: 기기가 사용하고 있는 사용자 계정

   제어 정책:
  - Assign VLAN: 조건에 부합하는 장비에 할당할 VLAN을 지정한다. (유/무선)
  - Bounce Port: 조건에 부합하는 장비를 기존의 Onboarding VLAN에서 새 VLAN으로 재할당하기 위해 포트를 재시작한다. (유선)
  - Assign device to dynamic address: 조건에 부합하는 기기를 할당할 동적 주소를 지정한다. (유선)

< NAC 정책 설정 화면>

 

◼ NAC 정책이 완료되면, 해당 NAC 정책을 적용할 포티스위치 포트를 지정해준다.

      포트별 적용 가능한 모드에서 NAC로 지정하여 해당 포트가 NAC 정책을 사용할 수 있게끔 설정한다.

 

3. NAC 적용 결과

 

◼ NAC policy에 매칭되는 디바이스가 접속하면 아래와 같이 매칭되어 특정 VLAN을 할당 받게 된다.

 

 

 

◼ 운영체제에 따라 특정 VLAN에 할당하여 관리 할 수 있다.