05-h3c_imc_ead解決方案介紹

1、EAD解決方案介紹,ISSUE 2.0,日期：2013-01-18,杭州華三通信技術有限公司 版權所有，未經(jīng)授權不得使用與傳播,隨著IT應用的不斷發(fā)展，客戶開始意識到對內網(wǎng)終端進行控制和管理的必要性，實施網(wǎng)絡接入控制，確保企業(yè)網(wǎng)絡安全，已是許多企業(yè)網(wǎng)客戶的迫切需求。 隨著EAD解決方案的不斷發(fā)展，新特性新功能層出不窮。以不斷提供易用性和實用性，不斷提高客戶滿意度為出發(fā)點，EAD解決方案已經(jīng)在不知不覺中發(fā)生了較大的變化。,引入,,,熟悉

2、UAM組件和EAD組件的功能特性熟悉EAD解決方案架構熟悉EAD解決方案的主要功能特性熟悉EAD解決方案的相關配置,課程目標,學習完本課程，您應該能夠：,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應用EAD解決方案的容災方案,目錄,UAM組件的定義,iMC UAM（ User Access Manage）是由H3C業(yè)務軟件產(chǎn)品線針對企業(yè)網(wǎng)、校園網(wǎng)和小運營商等多種網(wǎng)絡運營環(huán)境開發(fā)的一套基于Radius

3、的集中式網(wǎng)絡接入認證管理系統(tǒng)。iMC UAM 在Radius服務器基本的AAA（Authentication、Authorization and Accounting）功能之上，提供了多業(yè)務融合的身份識別、權限控制平臺，具有簡單易用、高性能、可擴展的特點，可以幫助網(wǎng)絡管理員輕松完成各種網(wǎng)絡接入業(yè)務的部署、開通、監(jiān)控、審計等管理任務，極大提高網(wǎng)絡的安全性、可管理性和可維護性。,UAM組件的主要功能（1）,支持多種接入及認證方式，適合多種接

4、入組網(wǎng)場景及應用場景。支持802.1x、Portal、VPN接入、無線接入等多種認證接入方式 。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗證方式，適應不同安全要求的應用場景 。支持證書認證（802.1x、Portal環(huán)境下均支持，但必須使用iNode客戶端）、匿名快速認證、RSA認證以及漫游認證。 支持接入帳號與接入設備IP地址、接入設備端口號、VLAN、QinQ雙VLAN、用戶終端IPv4/IP

5、v6地址、用戶終端MAC地址、無線SSID等硬件信息綁定認證，支持綁定認證自學習能力，簡化管理維護工作。支持接入帳號與終端計算機名、域用戶身份信息綁定認證，增強用戶認證的安全性，防止接入帳號盜用和非法接入。,UAM組件的主要功能（2）,支持多種接入及認證方式，適合多種接入組網(wǎng)場景及應用場景。支持與LDAP服務器、Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。 Portal認證

6、提供純Web、可溶解客戶端及iNode客戶端認證方式。支持定制Portal認證頁面或嵌入到第三方主頁，可根據(jù)不同的端口組、SSID、終端操作系統(tǒng)推送不同的認證頁面。支持NAT環(huán)境下的Portal認證。（僅支持Portal網(wǎng)關與Portal服務器間存在NAT設備的情況,且只能使用iNode PC客戶端。） 為了使啞終端（IP電話、打印機等）接入網(wǎng)絡更便捷，系統(tǒng)提供了啞終端管理功能。系統(tǒng)預先根據(jù)啞終端的“MAC地址”等信息創(chuàng)建預生成賬號。

7、當啞終端接入時，系統(tǒng)自動將預生成賬號轉為正式賬號與啞終端設備進行綁定，使用“MAC地址”作為接入賬號進行接入認證。支持終端準入控制（EAD）解決方案，確保所有接入網(wǎng)絡的用戶終端符合企業(yè)的安全策略。,UAM組件的主要功能（3）,嚴格的權限控制手段，強化用戶接入控制管理 ?；谟脩舻臋嘞蘅刂撇呗裕梢詾椴煌脩舳ㄖ撇煌W(wǎng)絡訪問權限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（QoS，需與H3C指定設備配合）、限制用戶的同時在線數(shù)、禁止用戶設置和使用代理服

8、務器、限制最大閑置時長，有效防止個別用戶對網(wǎng)絡資源的過度占用。可對終端下發(fā)ACL、VLAN、QoS User Profile，限制用戶對內部敏感服務器和外部非法網(wǎng)站的訪問。可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認證成功后的IP地址，若有變更則強制要求下線?？梢韵拗朴脩舻慕尤霑r段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)。可以限制終端用戶使用多網(wǎng)卡、撥號網(wǎng)絡，禁止修改終端MAC地址，防止內部信息泄露。支持

9、對iNode客戶端版本的檢測并強制自動升級，防止iNode客戶端破解，確?？蛻舳说陌踩?。接入用戶網(wǎng)關配置，提供接入用戶網(wǎng)關IP、MAC地址配置信息。配合iNode客戶端實現(xiàn)防止本地受到假冒網(wǎng)關方式的ARP欺騙功能。,UAM組件的主要功能（4）,詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制 。iMC UAM提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。管理員可以實時監(jiān)控在線用

10、戶，批量強制非法用戶下線。支持消息批量下發(fā)，管理員可以向上網(wǎng)用戶批量發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。iMC UAM記錄認證失敗日志，便于定位用戶無法認證通過的原因。提供接入明細日志，便于審計用戶的接入網(wǎng)絡記錄。iMC UAM基于智能管理平臺提供強大的終端拓撲管理功能，拓撲圖融合了網(wǎng)絡設備和終端用戶監(jiān)視管理功能，可針對接入設備進行在線用戶查詢、強制用戶下線、進一步中

11、查看該設備所掛接的終端用戶及其安全狀態(tài)等多項操作。,UAM組件的主要功能（5）,集中的接入用戶管理，簡化管理員維護操作 。集中的接入用戶管理功能，對接入用戶實施分組管理，不同的用戶分組可以由不同的管理員管理。提供對接入用戶進行批量操作，支持批量導入、修改、加入黑名單、注銷用戶、導出帳號等接入用戶相關的管理動作集中化，界面對操作員來說更友好、更美觀易用。支持同步LDAP用戶，可自定義LDAP同步策略，通過手工或定時任務方式從LDAP

12、系統(tǒng)中同步用戶信息。接入用戶可使用自助服務，帳號申請、查詢、修改都通過自助服務頁面完成，既提高效率，又減輕管理員的工作量。,UAM組件的主要功能（6）,接入設備統(tǒng)一管理及運行參數(shù)調整，適應不同的應用環(huán)境 。設備統(tǒng)一管理，支持H3C、3COM、華為、思科以及支持標準Radius協(xié)議的接入設備；統(tǒng)一管理設備管理用戶，支持對設備管理用戶登錄設備的認證和授權。支持限制登錄設備的用戶IP地址段，支持限制登錄設備的IP地址段。提供靈活的業(yè)務

13、參數(shù)配置，管理員可根據(jù)組網(wǎng)和運營環(huán)境進行參數(shù)調節(jié)。,UAM組件的主要功能（6）,穩(wěn)定可靠的保障機制，提供分布式部署能力，精細化的管理 。支持系統(tǒng)的雙機熱備、雙機冷備，提供可靠的逃生方案，支持Portal網(wǎng)關雙機。提供對操作員權限的精細化控制，不僅可以指定操作員可訪問的功能范疇，也提供對功能項目的增、刪、改、查的操作控制。提供業(yè)務策略分組管理、接入設備分組管理、LDAP業(yè)務分組管理、Portal業(yè)務分組管理，從而支持管理員的業(yè)務分權

14、管理能力。提供多種統(tǒng)計報表：休眠帳號統(tǒng)計、帳號數(shù)月統(tǒng)計、平均在線用戶數(shù)統(tǒng)計、認證失敗類型統(tǒng)計、下線原因分類統(tǒng)計、服務的用戶數(shù)統(tǒng)計，滿足日常運營維護的需要。提供二次開發(fā)接口，便于客戶第三方系統(tǒng)與UAM系統(tǒng)對接。提供將用戶相關信息，例如用戶上線信息，通過UDP方式發(fā)送給第三方系統(tǒng)，第三方系統(tǒng)可以將信息轉化為短信或電子郵件發(fā)送給特定管理員。提供報修管理功能。當終端用戶網(wǎng)絡出現(xiàn)故障時，可通過自助平臺提交網(wǎng)絡報修單。網(wǎng)絡管理員則通過報修管理

15、對用戶報修單進行集中處理，并可針對常見問題進行FAQ發(fā)布。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應用EAD解決方案的容災方案,目錄,組網(wǎng)能力說明,基于802.1x的組網(wǎng)：接入層802.1x組網(wǎng)、第三方802.1x接入設備混合組網(wǎng)；基于Portal的組網(wǎng)：分支機構出口Portal組網(wǎng)、認證網(wǎng)關旁掛的Portal組網(wǎng)、總部入口的Portal組網(wǎng)、穿越NAT的Portal組網(wǎng)；基于VPN的組網(wǎng)；基于

16、WLAN的Portal組網(wǎng)。,主要的網(wǎng)絡接口、協(xié)議及兼容性說明,iMC UAM主要與H3C設備共同組網(wǎng)，與第三方支持802.1x的接入設備混合組網(wǎng)具有較好的兼容性。iMC UAM中主要的網(wǎng)絡協(xié)議包括：RADIUS 1.1 (H3C擴展)PAPCHAPEAP-MD5 EAP-PAPEAP-TLSEAP-PEAP,基于802.1x組網(wǎng),接入層的802.1x組網(wǎng)設計在這種組網(wǎng)方案中，接入交換機啟用802.1x功能，并實現(xiàn)基于用

17、戶MAC地址或用戶接入端口的準入控制。該組網(wǎng)中，準入控制的執(zhí)行點在接入層交換機上，具有對不滿足身份認證的用戶隔離嚴格的特點，可以有效防止來自企業(yè)網(wǎng)絡內部的安全威脅。這種組網(wǎng)方案要求接入交換機支持802.1x功能。,基于802.1x組網(wǎng),第三方802.1x接入設備混合組網(wǎng) 主要是通過H3C接入設備與第三方支持標準802.1x接入設備混合組網(wǎng)的方式。在此組網(wǎng)方案中，接入交換機啟用802.1x功能，iMC UAM主要是針對用戶進行標準的80

18、2.1x認證功能，由于各廠家的設備差異，無法提供完整的ACL、VLAN下發(fā)隔離功能。若第三方設備支持802.1x的guest-VLAN特性，可通過guest-VLAN特性控制用戶的認證前后訪問權限。,基于Portal組網(wǎng) （一）,,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,基于Portal組網(wǎng) （二）,,,,,Portal BAS,L3 Switch,Gateway,iMC Server,

19、,基于Portal組網(wǎng) （三）,,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,,,,,,,,,基于Portal組網(wǎng) （四）,,,,,ACPortal BAS,AP,iMC Server,Gateway,Trunk,,VLAN 1,,,VLAN 2,VLAN 10,Portal認證與802.1x認證的比較,Portal認證相對于802.1x認證的優(yōu)勢支持網(wǎng)頁方式認證，免客戶端安裝部署方式

20、靈活、快捷，適合舊網(wǎng)改造Portal認證的不足之處沒有802.1x認證對客戶端的控制嚴格,EAD解決方案定義,EAD解決方案定義終端準入控制（ End User Admission Domination ）解決方案從最終用戶的安全控制入手，對接入網(wǎng)絡的終端實施企業(yè)安全準入策略。EAD解決方案集成了網(wǎng)絡準入、終端安全、桌面管理三大功能，幫助維護人員控制終端用戶的網(wǎng)絡使用行為，確保網(wǎng)絡安全。,終端用戶安全接入四步曲,安全檢查不合格進

21、入隔離區(qū)修復,隔離區(qū),,安全檢查,,合法用戶,非法用戶拒絕入網(wǎng),,,,,身份認證,接入請求,你是誰？,企業(yè)網(wǎng)絡,,動態(tài)授權,合格用戶,不同用戶享受不同的網(wǎng)絡使用權限,你安全嗎？,你可以做什么？,你在做什么？,EAD解決方案的業(yè)務架構,,,,,,EAD解決方案的軟件架構,所有業(yè)務組件均基于iMC平臺安裝，用于實現(xiàn)各種業(yè)務。 EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS服務器、策略服務器以及策略代理服務器、Porta

22、l組件EAD組件包含有：EAD前臺配置頁面、桌面資產(chǎn)管理服務器以及桌面資產(chǎn)管理代理,iMC智能管理平臺（網(wǎng)元、告警、性能、資源）,UAM組件,EAD組件,UBA組件,NTA組件,WSM組件,MVM組件,EAD基本認證流程,,iNode客戶端,,iMC服務器,1. iNode客戶端發(fā)起認證請求,5. iNode客戶端執(zhí)行安全策略并上報安全檢查結果,6. 服務服務器下發(fā)檢查結果、修復策略以及設置在線監(jiān)控任務等,3. iNode客戶端請求

23、安全檢查項,4. 服務器下發(fā)安全檢查項,,,第三方服務器用于修復終端安全隱患,Internet,安全聯(lián)動設備,,,,,,,,,2. 身份認證成功，通知客戶端進行安全檢查,802.1x認證流程－PAP/CHAP,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challeng

24、e,EAP-Response/MD5-Password,Access Success(Radius Code=2,隔離ACL),Accounting Request,Accounting Response,EAP-Success,,安全檢查請求,下發(fā)檢查項,上報檢查結果,監(jiān)控/修復策略下發(fā),iNode客戶端,H3C設備,iMC EAD,安全策略服務器,,,,EAP(code=10),EAP(code=10),Session Contro

25、l (Radius code=20,安全ACL),802.1x認證流程－EAP MD5,,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Access Challenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Passwo

26、rd,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,,安全檢查請求,下發(fā)檢查項,上報檢查結果,監(jiān)控/修復策略下發(fā),iNode客戶端,第三方設備,iMC EAD,安全策略服務器,EAD業(yè)務的基本配置流程,基本配置流程如下，按照箭頭方向依次配置即可,流量監(jiān)控,為了對終端用戶的網(wǎng)絡流量進行監(jiān)控，EAD解決方案支持異常流量監(jiān)控特性

27、。管理員設置終端用戶流量閾值，iNode客戶端根據(jù)安全策略服務器的指令，打開流量監(jiān)控功能，實現(xiàn)異常上報并根據(jù)安全策略服務器的指令對用戶采取相應的動作。,終端安全軟件策略管理,終端安全軟件策略包括：防病毒軟件策略、防間諜軟件策略、防火墻軟件策略、防釣魚軟件策略、硬盤加密軟件策略。設置接入用戶需要安裝和運行的終端安全軟件的種類，以確保終端用戶接入網(wǎng)絡后最大限度的免受攻擊和侵害。,終端安全軟件策略管理（1）,防病毒軟件策略,終端安全軟件策略管

28、理（2）,防間諜軟件策略,終端安全軟件策略管理（3）,防火墻軟件策略,終端安全軟件策略管理（4）,防釣魚軟件策略,終端安全軟件策略管理（5）,硬盤加密軟件策略,軟件補丁管理,與微軟補丁服務器WSUS Server或SMS Server聯(lián)動進行軟件補丁檢查（自動強制升級）。 自定義系統(tǒng)軟件補丁檢查，可針對系統(tǒng)軟件的不同版本自定義補丁檢查策略?？蛻舳松暇€后定期檢測補丁，此時間間隔由策略服務器參數(shù)“補丁檢查間隔時長”確定,軟件補丁管理,i

29、MC EAD補丁管理提供了另外一種分級的管理方式，即iMC EAD僅負責檢查終端用戶的計算機上是否安裝和運行了專業(yè)的補丁管理軟件，再由補丁管理軟件負責檢查計算機的補丁是否合格。iMC EAD目前不支持管理員自定義補丁管理軟件，即只支持列表中缺省羅列的幾款軟件。,可控軟件組管理,監(jiān)控軟件安裝、進程運行、服務運行和特定文件。對于同一軟件組內的多條內容，只要其中有一條符合檢查要求，則認為整個組檢查成功。,注冊表監(jiān)控,監(jiān)控指定的注冊表項中是否

30、存在特性鍵名及鍵值。,操作系統(tǒng)密碼監(jiān)控,通過字典文件的方式，檢查操作系統(tǒng)密碼是否為字典文件中記錄的弱密碼。,目錄共享策略管理,該功能用于對本地共享進行監(jiān)控。,遠程桌面連接,提供了對在線用戶進行遠程登錄的功能。網(wǎng)絡管理員可以通過遠程連接功能對遠程終端用戶的電腦進行維護和管理。,EAD的五種安全級別,監(jiān)控模式無論安全檢查結果如何，都提示用戶通過安全檢查，不彈出安全檢查結果頁面，不對用戶做任何限制。只在服務器一側記錄檢查結果以備之后審計。

31、VIP模式若安全檢查不通過則會提示用戶存在安全隱患，但不對用戶采取任何動作，不彈出安全檢查結果頁面。隔離模式若安全檢查不通過，通知安全聯(lián)動設備限制用戶只能訪問隔離區(qū)資源。下線模式若安全檢查不通過，將用戶強制下線。訪客模式特殊的下線模式，缺省設置了“不安全提示閾值”。,安全級別,安全級別是一組安全檢查項的集合安全檢查不通過時，最終執(zhí)行何種模式的策略取決于未通過的檢查項中最嚴格的模式不安全提示閾值的功能只能與隔離模式或下線

32、模式配合使用,安全策略,引用安全級別，使能各項安全檢查策略，配置動態(tài)ACL下發(fā)除了使能這些安全檢查策略之外，需要注意同時使能實時監(jiān)控的功能,服務,服務是最終用戶使用網(wǎng)絡的一個途徑，它由預先定義的一組網(wǎng)絡使用特性組成，其中具體包括基本信息、授權信息、認證綁定信息、用戶客戶端配置和授權用戶分組等。 在服務配置中引用已有的安全策略。,策略服務器參數(shù)配置,在“業(yè)務”?“EAD業(yè)務”?“系統(tǒng)參數(shù)配置”中修改策略服務器參數(shù)配置,用戶分組,用戶分

33、組不再和服務關聯(lián)，而是只和操作員關聯(lián)。 針對特定的用戶分組執(zhí)行特定的策略。與指定用戶分組關聯(lián)的操作員才能管理該分組內的用戶以及產(chǎn)生的相關用戶信息。,業(yè)務分組,將一些個性化策略歸入指定的業(yè)務分組，只有與該業(yè)務分組關聯(lián)的操作員，才能夠管理該業(yè)務分組中的策略。,基于iNode客戶端的ACL下發(fā),傳統(tǒng)的基于設備的ACL下發(fā)方式：并非所有設備都支持ACL下發(fā)設備的ACL資源有限用戶區(qū)分的角色越多，設備上的ACL配置越復雜無法通過服務器

34、直接查看下發(fā)的ACL中所包含的具體規(guī)則,基于iNode客戶端的ACL下發(fā),,iNode客戶端,,1. iNode客戶端發(fā)起認證請求,7. iNode客戶端執(zhí)行安全策略并上報安全檢查結果,8. 服務服務器下發(fā)檢查結果、修復策略以及設置在線監(jiān)控任務等,3. iNode客戶端主動請求安全檢查項聲明支持ACL下發(fā)特性,4. 服務器下發(fā)安全檢查項提示客戶端請求ACL,,,第三方服務器用于修復終端安全隱患,Internet,安全聯(lián)動設備,,,

35、,,,,,,2. 身份認證成功，通知客戶端進行安全檢查,,5. 客戶端主動請求ACL,iMC服務器,,6. 同時下發(fā)隔離ACL和安全ACL（包含所有規(guī)則）,基于iNode客戶端的ACL下發(fā),配置ACL策略,基于iNode客戶端的ACL下發(fā),在安全策略中引用ACL,部署客戶端ACL特性的條件,客戶端必須為支持此特性的iNode版本且定制時啟用了該特性僅限802.1X和Portal認證,防內網(wǎng)外聯(lián),基于客戶端ACL功能，實現(xiàn)了防內網(wǎng)外聯(lián)功

36、能iNode認證前所有網(wǎng)卡都是邏輯上關閉的，會過濾除DHCP外的所有IP報文認證通過后僅認證網(wǎng)卡放開，其他網(wǎng)卡仍然關閉僅限802.1x和Portal認證方式,思考：VPN認證方式是否有必要支持此特性？為何不能過濾DHCP報文？,混合組網(wǎng)特性的由來,使用RADIUS報文控制在線用戶列表需要考慮：EAD安全認證依賴于RADIUS身份認證建立的在線表，而RADIUS在線表需要接入設備支持發(fā)送計費開始和計費結束報文。在沒有EAP

37、心跳機制和不支持計費更新報文的環(huán)境下，容易出現(xiàn)在線用戶列表中用戶掛死的現(xiàn)象。即使與支持計費更新包的第三方設備配合，通常也無法支持通過計費更新包下發(fā)的剩余上網(wǎng)時長等信息，從而無法準確控制在線用戶。雖然在線重認證可以在一定程度上代替EAP心跳和計費更新包，但各廠家實現(xiàn)各不相同，難以統(tǒng)一處理，可能引發(fā)其他問題隱患。,混合組網(wǎng)特性原理,RADIUS身份認證通過后，客戶端獲取到安全檢查代理的IP和端口后即發(fā)起安全認證。由策略服務器根據(jù)

38、安全認證/心跳/下線報文維持在線表。UAM后臺對于計費報文或重認證報文僅做檢測和回應，不再更新或刪除在線表。通過EAD心跳回應報文返回用戶剩余上網(wǎng)時長（接入時段限制、在線加入黑名單、用戶被從在線表刪除等），以精確控制在線用戶。,配置混合組網(wǎng)特性,該特性基于接入設備實現(xiàn)，同一個接入設備的所有用戶要么啟用要么不啟用僅限802.1X認證思考：為什么portal認證不能使用混合組網(wǎng)？,部署混合組網(wǎng)特性的注意事項,對于可

39、以很好支持RADIUS計費（含開始、結束、更新）報文的設備不建議啟用該特性。網(wǎng)絡環(huán)境復雜，而iNode又是基于操作系統(tǒng)安裝，EAD心跳丟失的可能性比RADIUS報文丟失的可能性大的多混合組網(wǎng)環(huán)境下，服務器動用老化功能來清理在線用戶列表的機會比傳統(tǒng)環(huán)境下大的多，因此建議在混合組網(wǎng)環(huán)境下適當放寬對同一帳號的在線用戶數(shù)量限制。,EAD分級部署特性的由來,典型的大型網(wǎng)絡結構是一個總部下轄多個分支，而分支下面可能還有分支，各分支之間及與總部

40、間網(wǎng)絡相對獨立，各自有一批網(wǎng)管人員在維護?？偛肯Ｍ芙o分支機構確定安全策略，讓各分支應用而不能隨意修改。各分支的匯總信息能以報表的形式上報給總部。,分級部署架構,使用EAD分級特性前的注意事項,EAD分級特性是EAD組件的特性，僅部署UAM組件是沒有分級管理功能的。EAD分級特性依賴于ETL數(shù)據(jù)分析服務器組件及報表組件。EAD分級管理的實施應該是自上而下進行部署。即先部署總部,在總部iMC系統(tǒng)中定義其下級節(jié)點，并配置好預

41、計下發(fā)給下級節(jié)點的策略。,上級節(jié)點配置,定制安全策略及其相關的配置（防病毒軟件、補丁、可控軟件、流量監(jiān)控策略等）。定制服務并引用安全策略。配置下級節(jié)點：IP、Port、管理員帳號和密碼。上下級間的通信是通過WEB Service實現(xiàn)的。,上級節(jié)點配置,以“服務”為單元給下級節(jié)點下發(fā)配置。該服務所引用的各種策略（主要指安全策略）及策略引用的策略（流量監(jiān)控策略、補丁、可控軟件、防病毒軟件等）都會下發(fā)給下級節(jié)點。,策略分發(fā)的原則,支持每日

42、定時自動分發(fā)和手工分發(fā)。首先比較策略更新時間和上次成功下發(fā)的時間，如果策略更新時間較新則下發(fā)。策略會逐級下發(fā)下去，中間一級只能將上一級的策略直接下發(fā)給下級，不能跨級分發(fā)。,下級節(jié)點配置,上級結點是在下發(fā)時自動配置上的，如果上級結點IP地址發(fā)生改變時才需要修改。,下級節(jié)點配置,下級結點上報匯總數(shù)據(jù)的配置。,分級報表管理,查看安全日志匯總統(tǒng)計報表,下級節(jié)點的工作和限制,下級節(jié)點不能增加/刪除服務、安全策略和安全級別，絕大多數(shù)配置也不能修改

43、。下級節(jié)點不能增加/修改/刪除補丁、注冊表監(jiān)控策略、流量監(jiān)控策略、防病毒軟件等信息。下級節(jié)點不能修改/刪除下發(fā)的可控軟件組，但可以新增，并且可以對安全級別本地新增的可控軟件組對應的處理方式進行修改。下級節(jié)點可以修改安全策略中配置的ACL以及服務器地址等個性化的內容。,下級節(jié)點的工作和限制,下級節(jié)點可以修改服務中的授權信息，如下發(fā)VLAN信息。若最近一次下發(fā)的服務中沒有包含當前用戶已申請的服務，則該狀態(tài)變?yōu)椤盁o效”，申請該

44、服務的用戶無法通過認證。除服務外，其他之前曾經(jīng)下發(fā)而最近一次沒有下發(fā)的內容（安全策略、補丁、可控軟件組等）都會被刪除。接入時段策略和接入?yún)^(qū)域策略不下發(fā)。同名的服務、安全策略、安全級別下發(fā)后，會更新不可修改的項。下級節(jié)點不再支持業(yè)務分權。,漫游特性的由來,在EAD分級環(huán)境中，不同節(jié)點所管理的用戶具有流動性，當A節(jié)點的用戶到B節(jié)點出差時，希望能不在B節(jié)點增加相關的帳號信息就可以接入到網(wǎng)絡并能做身份認證和安全檢查。雖然在B

45、節(jié)點上開始來賓帳號可以解決上面問題，但來賓帳號無法區(qū)分用戶的身份，給管理和審計帶來不便。用戶在B節(jié)點認證時，B節(jié)點根據(jù)其身份（帶了A節(jié)點的某種標識）將其身份認證請求發(fā)送到A節(jié)點，由A節(jié)點進行身份校驗。這就是所謂的“漫游”。通常將B節(jié)點稱之為漫游地服務器，而A節(jié)點稱之為歸屬地服務器。,漫游地服務器配置,使能漫游地服務器的漫游功能。,漫游地服務器配置,配置漫游域信息,漫游地服務器配置,配置漫游域信息，同時定義認證及計費漫游,漫游地服

46、務器配置,配置漫游域信息下面的示例表示漫游地服務器如果收到用戶名攜帶域名后綴為roam的認證請求則直接轉給IP地址為10.153.128.90的歸屬地服務器處理。,歸屬地服務器配置,添加漫游地服務器下面的示例表示將漫游地服務器10.153.128.107作為歸屬地服務器的一臺認證接入設備添加進來，需確保與漫游地配置的密鑰一致。,漫游中的身份認證和安全認證,屬于A節(jié)點的用戶a到B節(jié)點的網(wǎng)絡中認證時，接入設備將認證請求發(fā)送給B節(jié)點，B節(jié)

47、點再通過RADIUS-proxy功能將其轉給A節(jié)點校驗，完成身份驗證。在做身份認證漫游時，B節(jié)點將本地的安全代理的IP和端口下發(fā)給iNode客戶端，iNode到B節(jié)點上做安全認證。由于B節(jié)點上沒有用戶a的用戶信息，因此需要在B上設置一個“缺省安全策略”，所有漫游用戶都用該安全策略進行安全認證。漫游過程中2個節(jié)點都會有該用戶的在線信息。Portal和802.1X都可以實現(xiàn)漫游,安全檢查相關參數(shù)（一）,在“接入業(yè)務”?“業(yè)務

48、參數(shù)配置”?“系統(tǒng)配置”中可以修改系統(tǒng)運行的各項參數(shù),安全檢查相關參數(shù)（二）,“系統(tǒng)參數(shù)配置”中的客戶端防破解主要解決破解客戶端問題，需要接入設備，客戶端配合，一般推薦禁用,安全檢查相關參數(shù)（三）,運行參數(shù)可以修改UAM組件的日志級別，在問題定位處理時需要調整由于調試日志對系統(tǒng)性能消耗較大，一般情況下建議恢復為警告級別,安全檢查相關參數(shù)（四）,“EAD業(yè)務”?“業(yè)務參數(shù)配置”下可以調整策略服務器的運行參數(shù)修改完畢后須選擇“系統(tǒng)配置手

49、工生效”，以使修改生效,DAM簡介,桌面資產(chǎn)管理（Desktop Asset Management）主要關注于企業(yè)的信息安全，可以對終端進行全方位的監(jiān)控，保證用戶只能合理合法的使用公司的信息資源，并提供實時和事后的審計。,DAM軟件架構,DAM Agent駐留在桌面機操作系統(tǒng)中，執(zhí)行相關的DAM策略，采集終端的軟硬件資產(chǎn)信息；監(jiān)控一些敏感資產(chǎn)的變更；執(zhí)行軟件分發(fā)、外設管理任務。DAM Proxy負責轉發(fā)iNode客戶端桌面服務器的交互

50、報文。DAM Server 負責向客戶端下發(fā)桌面安全相關策略，接受客戶端上報的相關信息，并存入數(shù)據(jù)庫中。,DAM功能概述,資產(chǎn)管理資產(chǎn)注冊資產(chǎn)查詢資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設管理U盤的拔插、寫入監(jiān)控禁用USB、光驅、軟驅、串口、并口、紅外、藍牙、1394、Modem,資產(chǎn)注冊（一）,配置資產(chǎn)編號的生成方式支持手工資產(chǎn)編號和自動資產(chǎn)編號兩種方式,資產(chǎn)注冊（二）,以手工生成資產(chǎn)編號為例

51、終端第一次上線時提示輸入資產(chǎn)編號，必須與服務器上已錄入的編號一致服務器返回該資產(chǎn)編號對應的資產(chǎn)信息，由終端確認后完成注冊,資產(chǎn)查詢與統(tǒng)計（一）,查詢已注冊的資產(chǎn)詳細信息，包括操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補丁列表、進程列表、服務列表以及共享列表。,資產(chǎn)查詢與統(tǒng)計（二）,支持按多種分類方式統(tǒng)計資產(chǎn)信息并顯示報表支持統(tǒng)計資產(chǎn)的軟件安裝情況,資產(chǎn)變更管理,支持軟硬件資產(chǎn)信息變更的檢查和上報,軟件分發(fā)（

52、一）,配置軟件分發(fā)服務器配置軟件分發(fā)任務,軟件分發(fā)（二）,iNode客戶端下載安裝程序完成后彈出軟件分發(fā)管理的提示窗口，用戶也可以手工從客戶端上查看雙機軟件分發(fā)管理中的文件名稱開始安裝,USB監(jiān)控,記錄使用USB的時間記錄寫入USB的文件,外設管理（一）,配置外設管理策略，選擇需要禁用的外設將外設管理策略與資產(chǎn)分組關聯(lián),外設管理（二）,手工啟用已經(jīng)被外設管理策略禁用的設備后，將產(chǎn)生外設違規(guī)記錄,業(yè)務參數(shù)配置,資產(chǎn)編號方式資產(chǎn)變

53、更掃描間隔時長心跳相關參數(shù)資產(chǎn)策略請求間隔時長,桌面資產(chǎn)管理相關參數(shù),“桌面資產(chǎn)業(yè)務”?“業(yè)務參數(shù)配置”可以對桌面資產(chǎn)業(yè)務的參數(shù)進行調整,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應用EAD解決方案的容災方案,目錄,與思科設備配合的注意事項（一）,當前Cisco版本不支持基于MAC地址的802.1X認證方式，僅支持基于端口的802.1X認證方式；需要注意一點，Cisco設備基于端口的802.1X認證方

54、式下，接入端口可以配置兩種Dot1x主機模式（single-host和multi-host）；默認配置為single-host模式時，同一接入端口不允許下掛有多臺主機，否則Cisco設備會自動檢測并關閉端口；當配置為multi-host模式時，同一接入端口可以下掛多臺主機，但只要有一臺主機上的用戶通過802.1X認證及EAD安全檢查，則該端口下掛的其他所有主機將擁有訪問網(wǎng)絡的同等權限，網(wǎng)絡安全存在隱患；,與思科設備配合的注意事項（二）,

55、目前Cisco設備必須支持aaa accounting dot1x default start-stop group radius命令才能夠支持EAD，否則無法實現(xiàn)安全檢查（包括其他與策略服務器相關的功能）Cisco設備可以通過配置aaa accounting update periodic命令來啟用/設置計費報文的更新時間，但大部分早期版本的Cisco交換機并不支持該命令。缺少計費更新包的交互，缺省情況下將導致在線用戶列表老化后刪除

56、。必須在添加接入設備時將設備類型選為“思科”,與思科設備配合的注意事項（三）,當認證客戶端上線后，Cisco設備不提供與802.1X客戶端的EAP握手?？蛻舳水惓Ｍ顺觯ū热鏟C機掉電）后，交換機無法感知。即使依靠EAD心跳，服務器能夠感知到客戶端異常，但服務器仍無法通知交換機將用戶下線處理，并且也無法自行清除在線用戶列表。目前存在一定的安全隱患。,與思科設備配合的注意事項（四）,Cisco接入交換機上可以通過配置多臺RADIUS服務器進

57、行備份，按照配置順序從上到下依次查找可用的RADIUS服務器。除此之外，必須進行額外的配置，否則無法實現(xiàn)主備切換。如下兩種解決方案選其一：配置radius-server deadtime，或者通過調整RADIUS請求重試間隔的參數(shù)，將RADIUS服務器之間的切換時間控制在4秒內： radius-server retransmit 0 //Radius報文只重試一次 radius-server tim

58、eout 2 //每次重試間隔2秒鐘,與思科設備配合的注意事項（五）,Guest-vlan的切換時間由端口下的dot1x timeout tx-period命令來控制，為提高用戶體驗，經(jīng)常將該參數(shù)改小，比如改為5秒； 端口下的dot1x timeout quiet-period命令用來控制終端認證失敗后，該交換機端口靜默多長時間才處理下一次認證。為提高用戶體驗，經(jīng)常將該參數(shù)改小，比如改為3秒。,與思科設備配合的注意事項（六）,在

59、配置客戶端802.1x連接參數(shù)時需要注意以下幾項：更改報文類型為“多播報文”取消勾選“超時重播90S”如果客戶端IP地址的四段十進制數(shù)中，若有任何一段為0，則不能夠勾選“上傳IP地址”。但包含0沒有問題的，比如1.0.1.1不能夠上傳，但1.10.1.1則可以。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應用EAD解決方案的容災方案,目錄,逃生工具,用戶接入逃生工具（簡稱為“逃生工具”）是CAMS

60、/ iMC UAM后臺的替身。當CAMS / iMC UAM出現(xiàn)諸如進程宕掉、數(shù)據(jù)庫異常、性能下降等故障無法處理認證或計費請求時，逃生工具暫時替代CAMS / iMC UAM處理請求報文以保障用戶的業(yè)務不中斷。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權處理，也不啟用安全認證，對于請求報文都直接回應成功。 逃生工具以后臺服務形式存在，操作系統(tǒng)重新啟動后會自動啟用逃生工具。,逃生工具的部署方式,逃生工具支持集中式部署（即和iMC U

61、AM部署于同一臺服務器上）和獨立部署（單獨部署在另一臺服務器上）。逃生工具和UAM監(jiān)聽同樣的端口，所以當集中式部署時只能啟動兩者之一。獨立部署時，建議將逃生工具所在服務器配置成和原服務器一樣的IP地址，并離線放置。當出現(xiàn)故障時直接將原服務器的網(wǎng)線拔到逃生工具服務器上，就好像替換備件。不建議配置不同的IP做主備切換。獨立部署的好處是首先盡量避免主機操作系統(tǒng)或硬件故障帶來的影響，其次可以在主機出現(xiàn)故障時直接在現(xiàn)網(wǎng)環(huán)境下定位問題，而不用

62、為了啟動逃生而將UAM停止。這樣可以盡早定位問題，恢復原服務器。,逃生工具的優(yōu)缺點,優(yōu)點有低成本的容災方案，實施及維護非常簡單；一種簡單易行的附加保險，即使是使用了其他容災方案，仍然可以準備一套逃生工具以備不時之需缺點有需要管理員及時發(fā)現(xiàn)故障并手工地切換使用逃生工具；用戶業(yè)務仍然會中斷；使用逃生工具期間，將損失認證用戶的所有接入信息（日志，計費信息等）；由于逃生工具不對認證請求做任何判斷，所以在使用逃生工具期間將存在一定的