Forescout [LAB 8] Cấu hình VLAN cách ly cho thiết bị không tuân thủ trong Forescout

AnhTuIS

AnhTuIS

Intern

Cấu hình VLAN cách ly cho thiết bị không tuân thủ trong Forescout​


Một trong những chức năng cốt lõi và quan trọng nhất của hệ thống NAC là khả năng phát hiện và cách ly thiết bị không tuân thủ chính sách bảo mật. Thay vì chặn hoàn toàn truy cập, giải pháp hiệu quả hơn là chuyển thiết bị vi phạm sang một VLAN cách ly – nơi hạn chế quyền truy cập và cho phép người dùng khắc phục vấn đề dưới sự giám sát của hệ thống.

Forescout hỗ trợ cơ chế này thông qua:
  • Phân tích trạng thái thiết bị (antivirus, domain join, OS version, v.v.)
  • Tích hợp với switch và controller mạng, sử dụng SNMP, RADIUS hoặc API để thực hiện hành động chuyển VLAN
  • Policy động để tự động xác định vi phạm và áp dụng hành động tương ứng
Bài lab này sẽ hướng dẫn bạn:
  • Tạo chính sách phát hiện thiết bị không tuân thủ
  • Cấu hình VLAN cách ly
  • Thiết lập hành động chuyển VLAN khi phát hiện vi phạm
  • Kiểm tra và xác minh thiết bị bị chuyển đúng VLAN cách ly
Đây là bước quan trọng để đảm bảo hệ thống mạng không bị đe dọa bởi các thiết bị không an toàn, đồng thời vẫn duy trì trải nghiệm người dùng và khả năng xử lý sự cố nhanh chóng.

Mục lục:

I. Mô hình triển khai​

1750738594536.png

II. Cấu hình VLAN cách ly​

- Vào Policy Manager -> Add Policy thuộc nhóm Complience như sau:

1750575286354.png

- Ở đây mình chọn Template Policy Personal Firewall Comlience. Policy này sẽ giám sát và cách ly khi không bật hoặc không thể quản lý Window Firewall hoặc các loại FW khác

1750575477179.png

- Tới phần Condition bạn có thể thêm các điều kiện ví dụ như cách ly qua 1 VLAN khác, các bước làm như sau:
  1. Nhấn vào Sub-rules bạn muốn sửa (mình chọn FW not active) -> Phần Action chỉ có các mode thông báo và phân loại -> Nhấn Add​
1750575744203.png
2. Search Action Assign to VLAN và nhập ID VLAN để di chuyển. Action này sẽ move host qua VLAN được cách ly -> Nhấn OK​
1750575975954.png


3. Sau khi thêm Action, các Action mới được tick hiện ra như sau​
1750576043410.png

- Cuối cùng nhấn FInish và Policy sẽ hoạt động

1750576094422.png


- Kiểm tra
...

III. Kết luận​

- Việc triển khai VLAN cách ly cho thiết bị không tuân thủ giúp hệ thống mạng vừa duy trì được tính bảo mật, vừa đảm bảo tính liên tục dịch vụ bằng cách không chặn hoàn toàn thiết bị mà vẫn kiểm soát được hành vi truy cập.
- Thông qua chính sách tự động trong Forescout, các thiết bị vi phạm – như không có antivirus, không domain join, hoặc có hệ điều hành không hợp lệ – sẽ được phát hiện kịp thời và chuyển sang VLAN cách ly bằng các cơ chế như SNMP hoặc RADIUS VLAN Assignment.
- Giải pháp này không chỉ giúp ngăn chặn mối nguy từ bên trong, mà còn hỗ trợ người dùng tự khắc phục sự cố trong một môi trường hạn chế, trước khi được cấp lại quyền truy cập vào mạng chính.
- Đây là một trong những tính năng then chốt để triển khai mô hình NAC hiệu quả và thực tiễn, đặc biệt trong các tổ chức có số lượng thiết bị đầu cuối lớn, đa dạng và thường xuyên thay đổi.
 
Sửa lần cuối:
Bài viết liên quan
[LAB 9] Cấu hình cổng Captive Portal Forescout bởi AnhTuIS,
[LAB 7] Cấu hình xác thực cơ bản (802.1X) trên Forescout bởi AnhTuIS,
[Lab 6] Hướng dẫn phân vùng Segment và tạo thư mục Policy bởi AnhTuIS,
[Lab 5] Hướng dẫn Active License Forescout bởi AnhTuIS,
[Lab 4] Cấu hình sao lưu và khôi phục dữ liệu Forescout bởi AnhTuIS,
[Lab 3] Cấu hình tích hợp với Active Directory (AD), LDAP, VLAN và RADIUS trên Forescout bởi AnhTuIS,
Được quan tâm
[LAB 9] Cấu hình cổng Captive Portal Forescout bởi AnhTuIS,
Bài viết mới
[LAB 9] Cấu hình cổng Captive Portal Forescout bởi AnhTuIS,
[LAB 7] Cấu hình xác thực cơ bản (802.1X) trên Forescout bởi AnhTuIS,
[Lab 6] Hướng dẫn phân vùng Segment và tạo thư mục Policy bởi AnhTuIS,
[Lab 5] Hướng dẫn Active License Forescout bởi AnhTuIS,
[Lab 4] Cấu hình sao lưu và khôi phục dữ liệu Forescout bởi AnhTuIS,
[Lab 3] Cấu hình tích hợp với Active Directory (AD), LDAP, VLAN và RADIUS trên Forescout bởi AnhTuIS,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top