跳到主要内容
返回校园技术提示

网络访问控制概述

什么是网络访问控制?

要连接到UNC校园网,客户的计算机必须满足某些最低要求,包括安装、运行和更新防病毒软件。它还必须安装特定的操作系统更新,以防止计算机受损。在过去,这项政策是通过结合使用客户荣誉系统和技术(引爆点)来实施的,这些技术可以识别和阻止“坏”互联网流量,以防止感染在网络上传播。随着我们网络的发展,我们必须修改此方法以继续保护所有用户。

为了提高我们网络的速度(10倍),我们不得不从校园的大部分地方移除引爆点,这可能使我们容易受到安全风险的影响。因此,我们在校园的特定区域实施了一项名为NAC的新安全服务。

网络访问控制(NAC)是一种针对有线和Wi-Fi连接的主动式最终用户网络解决方案,它允许我们在计算机访问web之前识别计算机上的潜在问题。该系统可以让客户了解任何潜在的漏洞,然后为他们提供一个链接或资源,以便他们自己解决该漏洞。此解决方案具有高度的可定制性,将按照所有校园网用户的最佳利益进行设置。

存在可以自动禁用杀毒软件等服务的恶意软件(如间谍软件、病毒、蠕虫)。很多时候,客户都不知道发生了这种情况。此服务将帮助提醒客户此问题已发生,并为他们提供解决方案。

NAC是如何工作的?

如果计算机通过有线或Wi-Fi连接到我们网络的NAC启用区域,则NAC评估服务器将尝试与设备(例如计算机)通信。它检查设备以查看是否安装了NAC代理。几分钟后,如果找不到NAC代理,它会将任何基于web(HTTP)的流量重定向到特定网站。本网站将引导客户完成NAC代理安装步骤。最后,客户将启动另一次扫描,如果服务器可以与代理通信,那么客户可以继续浏览web而不会出现问题。

接下来,如下一节所述,如果NAC代理识别出一个或多个安全问题,它将向客户提供如何解决该问题的信息。只要他们的计算机满足要求,他们就永远不会知道NAC代理正在运行。

在安装此服务期间,或者如果发现设备存在漏洞,对客户的唯一影响是他们无法浏览web。如果他们使用Outlook、Thunderbird、Instant Messaging等连接互联网的应用程序,这些程序将继续正常运行。

目前,该软件设计用于运行Microsoft Windows或Apple OS X的计算机。我们特别豁免基于Linux的计算机,这是校园中的一小部分,并将在未来解决这些问题。

如何使用网络访问控制?

其安全和UNC法律部门已批准使用NAC扫描连接到我们网络的设备,以满足以下条件:

  1. 计算机是否安装、运行和更新了防病毒软件?
  2. 计算机是否安装并启用了防火墙?
  3. 计算机是否配置为自动安装系统更新,或者上次更新是在30多天前?
  4. 其他具体的安全问题,如零日病毒爆发。例如,在赛门铁克能够检测到特定病毒之前,我们可能知道如何识别该病毒的存在。为了最大限度地降低对大学的风险,我们将按照ITS安全和/或OIS安全小组的要求扫描这些特定问题。

默认情况下,所有CCI机器都配置为满足所有这些要求。如果计算机出现上述任何一种情况,即对上述问题的回答为“否”,则客户的计算机不会发生任何问题。他们将能够毫无问题地浏览,但他们将通过一条带有链接的弹出消息得到通知,这将有助于解决问题。

如果问题在两周内未得到解决,则可能会将这些计算机从网络中删除,直到它们符合要求为止。目前,这是一个手动过程,但将来会自动进行。

配置网络访问控制

此服务旨在允许特定类型的设备或操作系统简单地绕过该服务。因此,如果您的操作系统未列出(例如Ubuntu),那么您可以暂时忽略此服务。根据您的操作系统,您的网络访问控制设置可能略有不同。请在下面选择您的操作系统:

  • 微软视窗
  • Apple OS X(文档即将发布-目前请参考上面的Microsoft Windows信息)
  • Linux–(Linux操作系统目前已禁用NAC。如果您有一个基于Linux的操作系统正在接收NAC网站,只需向我们提供您的MAC地址,我们就可以在24小时内解决此问题。这包括使用双引导机器的客户。)

我们会自动将应免除NAC服务的设备(如科学设备)列入“白名单”。请申请豁免提交Web请求并输入设备的详细信息。

我如何获得支持?

安装过程应非常快速且用户友好。但是,如果您仍然需要帮助,请联系您的部门支持团队,或通过以下方法之一:

  • 提交Web请求
  • 拨打919-962-HELP
  • 参观我们位于65 MacNider的步入式区域

一般NAC常见问题解答

  • 如果我使用Linux会发生什么?
    如果您运行的是Windows或Apple操作系统以外的任何操作系统,则不应受到影响。NAC系统应忽略忽略机器,因此不会阻止对网络的访问。如果您的网络被阻止,您可以联系help@med.unc.edu,或962-HELP并要求被列入白名单,这将允许您重新进入网络。
  • 如果我不使用校园赛门铁克防病毒软件怎么办?
    NAC系统使用操作系统确认是否存在防病毒工具。如果它识别出防病毒工具,那么它将向NAC系统报告它正在机器上运行。
  • 我必须遵守这些要求吗?
    是的,医学院网络上的端口要求连接到SOM网络的任何设备满足最低NAC要求。
  • 我必须在我的个人计算机上安装此代理吗?
    不,如果您计划将设备连接到医学院网络,则只需在设备上安装代理。NAC系统已经到位,以提高网络的安全级别,因此,无论设备是个人财产还是大学财产都无关紧要。