미승인 또는 정책 미준수 VPN 장치 차단
==================================================

| 어떤 상황에서는 VPN에 로그인하기 위해 올바른 사용자 자격 증명이 제공될 수 있지만, 해당 장치 자체가 네트워크 사용이 승인되지 않은 경우가 있습니다. 
| 이는 네트워크 접근에 사용된 자격 증명 도용의 결과일 수도 있고, 승인된 사용자가 승인되지 않거나 비준수 장치로 네트워크에 로그인한 경우일 수도 있습니다. 
| Genian NAC는 미러 모드로 배포된 네트워크 센서를 사용하여 Layer 3에서 이러한 미승인 장치를 차단할 수 있습니다.

.. image:: /images/vpn-mirror.png
   :width: 600 px


센서 구성
---------------

미러 모드로 센서를 구성하려면 다음을 참조하십시오: :doc:`/controlling/config-mirror`

그룹 및 제어 정책 구성
----------------------------------------

| 미러 센서로 VPN 사용자에 대한 강제 적용은 LAN 환경에서 ARP 강제 적용에 사용되는 것과 동일한 구성을 사용합니다.
| 어떤 노드, 장치 또는 사용자가 어떤 네트워크 리소스에 어떤 시간에 접근할 수 있는지 정의하기 위해 단순히 그룹과 제어 정책을 생성하십시오. 
| 비준수 노드를 캡티브 포털로 리디렉션하여 관리자의 메시지를 받거나 에이전트 다운로드를 요구할 수도 있습니다. 
| VPN 사용자를 위한 별도의 그룹과 정책을 생성할 수 있습니다.
| 미러 센서는 TCP Reset 또는 ICMP Unreachable 응답을 사용하여 금지된 리소스에 대한 모든 접근 시도를 차단합니다. VPN 연결 자체는 변경되지 않습니다.

접근을 허용하거나 금지하는 그룹 및 제어 정책 생성에 대해서는 다음을 참조하십시오:

- :doc:`/monitoring/network-nodes/managing-nodegroups`
- :doc:`/controlling/enforcement-policy/policy-nodegroup`

.. note:: 미러 센서에 의해 탐지된 트래픽은 웹 콘솔에 노드 생성을 유발하지 않습니다. 따라서 로깅 없이 트래픽이 차단될 수 있습니다. 에이전트가 설치된 노드는 웹 콘솔에 표시되며, 정책 상태가 변경될 때 로깅이 발생합니다. 엔드포인트 정보를 수집하기 위해 에이전트 사용을 권장합니다.

VPN 사용자와 관련된 더 많은 내용은 다음을 참조하십시오:

- :doc:`/authentication/enabling-authentication/vpn-users`
- :ref:`integration-cisco_asa`