05-h3c_imc_ead解決方案介紹

1、EAD解決方案介紹,ISSUE 2.0,日期：2013-01-18,杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,隨著IT應(yīng)用的不斷發(fā)展，客戶開始意識到對內(nèi)網(wǎng)終端進行控制和管理的必要性，實施網(wǎng)絡(luò)接入控制，確保企業(yè)網(wǎng)絡(luò)安全，已是許多企業(yè)網(wǎng)客戶的迫切需求。 隨著EAD解決方案的不斷發(fā)展，新特性新功能層出不窮。以不斷提供易用性和實用性，不斷提高客戶滿意度為出發(fā)點，EAD解決方案已經(jīng)在不知不覺中發(fā)生了較大的變化。,引入,,,熟悉

2、UAM組件和EAD組件的功能特性熟悉EAD解決方案架構(gòu)熟悉EAD解決方案的主要功能特性熟悉EAD解決方案的相關(guān)配置,課程目標(biāo),學(xué)習(xí)完本課程，您應(yīng)該能夠：,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,UAM組件的定義,iMC UAM（ User Access Manage）是由H3C業(yè)務(wù)軟件產(chǎn)品線針對企業(yè)網(wǎng)、校園網(wǎng)和小運營商等多種網(wǎng)絡(luò)運營環(huán)境開發(fā)的一套基于Radius

3、的集中式網(wǎng)絡(luò)接入認(rèn)證管理系統(tǒng)。iMC UAM 在Radius服務(wù)器基本的AAA（Authentication、Authorization and Accounting）功能之上，提供了多業(yè)務(wù)融合的身份識別、權(quán)限控制平臺，具有簡單易用、高性能、可擴展的特點，可以幫助網(wǎng)絡(luò)管理員輕松完成各種網(wǎng)絡(luò)接入業(yè)務(wù)的部署、開通、監(jiān)控、審計等管理任務(wù)，極大提高網(wǎng)絡(luò)的安全性、可管理性和可維護性。,UAM組件的主要功能（1）,支持多種接入及認(rèn)證方式，適合多種接

4、入組網(wǎng)場景及應(yīng)用場景。支持802.1x、Portal、VPN接入、無線接入等多種認(rèn)證接入方式 。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗證方式，適應(yīng)不同安全要求的應(yīng)用場景 。支持證書認(rèn)證（802.1x、Portal環(huán)境下均支持，但必須使用iNode客戶端）、匿名快速認(rèn)證、RSA認(rèn)證以及漫游認(rèn)證。 支持接入帳號與接入設(shè)備IP地址、接入設(shè)備端口號、VLAN、QinQ雙VLAN、用戶終端IPv4/IP

5、v6地址、用戶終端MAC地址、無線SSID等硬件信息綁定認(rèn)證，支持綁定認(rèn)證自學(xué)習(xí)能力，簡化管理維護工作。支持接入帳號與終端計算機名、域用戶身份信息綁定認(rèn)證，增強用戶認(rèn)證的安全性，防止接入帳號盜用和非法接入。,UAM組件的主要功能（2）,支持多種接入及認(rèn)證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景。支持與LDAP服務(wù)器、Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個用戶名和密碼。 Portal認(rèn)證

6、提供純Web、可溶解客戶端及iNode客戶端認(rèn)證方式。支持定制Portal認(rèn)證頁面或嵌入到第三方主頁，可根據(jù)不同的端口組、SSID、終端操作系統(tǒng)推送不同的認(rèn)證頁面。支持NAT環(huán)境下的Portal認(rèn)證。（僅支持Portal網(wǎng)關(guān)與Portal服務(wù)器間存在NAT設(shè)備的情況,且只能使用iNode PC客戶端。） 為了使啞終端（IP電話、打印機等）接入網(wǎng)絡(luò)更便捷，系統(tǒng)提供了啞終端管理功能。系統(tǒng)預(yù)先根據(jù)啞終端的“MAC地址”等信息創(chuàng)建預(yù)生成賬號。

7、當(dāng)啞終端接入時，系統(tǒng)自動將預(yù)生成賬號轉(zhuǎn)為正式賬號與啞終端設(shè)備進行綁定，使用“MAC地址”作為接入賬號進行接入認(rèn)證。支持終端準(zhǔn)入控制（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略。,UAM組件的主要功能（3）,嚴(yán)格的權(quán)限控制手段，強化用戶接入控制管理 ?；谟脩舻臋?quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（QoS，需與H3C指定設(shè)備配合）、限制用戶的同時在線數(shù)、禁止用戶設(shè)置和使用代理服

8、務(wù)器、限制最大閑置時長，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用?？蓪K端下發(fā)ACL、VLAN、QoS User Profile，限制用戶對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問?？梢韵拗朴脩鬒P地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認(rèn)證成功后的IP地址，若有變更則強制要求下線。可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡、撥號網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露。支持

9、對iNode客戶端版本的檢測并強制自動升級，防止iNode客戶端破解，確?？蛻舳说陌踩浴＝尤胗脩艟W(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MAC地址配置信息。配合iNode客戶端實現(xiàn)防止本地受到假冒網(wǎng)關(guān)方式的ARP欺騙功能。,UAM組件的主要功能（4）,詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制 。iMC UAM提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。管理員可以實時監(jiān)控在線用

10、戶，批量強制非法用戶下線。支持消息批量下發(fā)，管理員可以向上網(wǎng)用戶批量發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。iMC UAM記錄認(rèn)證失敗日志，便于定位用戶無法認(rèn)證通過的原因。提供接入明細日志，便于審計用戶的接入網(wǎng)絡(luò)記錄。iMC UAM基于智能管理平臺提供強大的終端拓?fù)涔芾砉δ?，拓?fù)鋱D融合了網(wǎng)絡(luò)設(shè)備和終端用戶監(jiān)視管理功能，可針對接入設(shè)備進行在線用戶查詢、強制用戶下線、進一步中

11、查看該設(shè)備所掛接的終端用戶及其安全狀態(tài)等多項操作。,UAM組件的主要功能（5）,集中的接入用戶管理，簡化管理員維護操作 。集中的接入用戶管理功能，對接入用戶實施分組管理，不同的用戶分組可以由不同的管理員管理。提供對接入用戶進行批量操作，支持批量導(dǎo)入、修改、加入黑名單、注銷用戶、導(dǎo)出帳號等接入用戶相關(guān)的管理動作集中化，界面對操作員來說更友好、更美觀易用。支持同步LDAP用戶，可自定義LDAP同步策略，通過手工或定時任務(wù)方式從LDAP

12、系統(tǒng)中同步用戶信息。接入用戶可使用自助服務(wù)，帳號申請、查詢、修改都通過自助服務(wù)頁面完成，既提高效率，又減輕管理員的工作量。,UAM組件的主要功能（6）,接入設(shè)備統(tǒng)一管理及運行參數(shù)調(diào)整，適應(yīng)不同的應(yīng)用環(huán)境 。設(shè)備統(tǒng)一管理，支持H3C、3COM、華為、思科以及支持標(biāo)準(zhǔn)Radius協(xié)議的接入設(shè)備；統(tǒng)一管理設(shè)備管理用戶，支持對設(shè)備管理用戶登錄設(shè)備的認(rèn)證和授權(quán)。支持限制登錄設(shè)備的用戶IP地址段，支持限制登錄設(shè)備的IP地址段。提供靈活的業(yè)務(wù)

13、參數(shù)配置，管理員可根據(jù)組網(wǎng)和運營環(huán)境進行參數(shù)調(diào)節(jié)。,UAM組件的主要功能（6）,穩(wěn)定可靠的保障機制，提供分布式部署能力，精細化的管理 。支持系統(tǒng)的雙機熱備、雙機冷備，提供可靠的逃生方案，支持Portal網(wǎng)關(guān)雙機。提供對操作員權(quán)限的精細化控制，不僅可以指定操作員可訪問的功能范疇，也提供對功能項目的增、刪、改、查的操作控制。提供業(yè)務(wù)策略分組管理、接入設(shè)備分組管理、LDAP業(yè)務(wù)分組管理、Portal業(yè)務(wù)分組管理，從而支持管理員的業(yè)務(wù)分權(quán)

14、管理能力。提供多種統(tǒng)計報表：休眠帳號統(tǒng)計、帳號數(shù)月統(tǒng)計、平均在線用戶數(shù)統(tǒng)計、認(rèn)證失敗類型統(tǒng)計、下線原因分類統(tǒng)計、服務(wù)的用戶數(shù)統(tǒng)計，滿足日常運營維護的需要。提供二次開發(fā)接口，便于客戶第三方系統(tǒng)與UAM系統(tǒng)對接。提供將用戶相關(guān)信息，例如用戶上線信息，通過UDP方式發(fā)送給第三方系統(tǒng)，第三方系統(tǒng)可以將信息轉(zhuǎn)化為短信或電子郵件發(fā)送給特定管理員。提供報修管理功能。當(dāng)終端用戶網(wǎng)絡(luò)出現(xiàn)故障時，可通過自助平臺提交網(wǎng)絡(luò)報修單。網(wǎng)絡(luò)管理員則通過報修管理

15、對用戶報修單進行集中處理，并可針對常見問題進行FAQ發(fā)布。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,組網(wǎng)能力說明,基于802.1x的組網(wǎng)：接入層802.1x組網(wǎng)、第三方802.1x接入設(shè)備混合組網(wǎng)；基于Portal的組網(wǎng)：分支機構(gòu)出口Portal組網(wǎng)、認(rèn)證網(wǎng)關(guān)旁掛的Portal組網(wǎng)、總部入口的Portal組網(wǎng)、穿越NAT的Portal組網(wǎng)；基于VPN的組網(wǎng)；基于

16、WLAN的Portal組網(wǎng)。,主要的網(wǎng)絡(luò)接口、協(xié)議及兼容性說明,iMC UAM主要與H3C設(shè)備共同組網(wǎng)，與第三方支持802.1x的接入設(shè)備混合組網(wǎng)具有較好的兼容性。iMC UAM中主要的網(wǎng)絡(luò)協(xié)議包括：RADIUS 1.1 (H3C擴展)PAPCHAPEAP-MD5 EAP-PAPEAP-TLSEAP-PEAP,基于802.1x組網(wǎng),接入層的802.1x組網(wǎng)設(shè)計在這種組網(wǎng)方案中，接入交換機啟用802.1x功能，并實現(xiàn)基于用

17、戶MAC地址或用戶接入端口的準(zhǔn)入控制。該組網(wǎng)中，準(zhǔn)入控制的執(zhí)行點在接入層交換機上，具有對不滿足身份認(rèn)證的用戶隔離嚴(yán)格的特點，可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。這種組網(wǎng)方案要求接入交換機支持802.1x功能。,基于802.1x組網(wǎng),第三方802.1x接入設(shè)備混合組網(wǎng) 主要是通過H3C接入設(shè)備與第三方支持標(biāo)準(zhǔn)802.1x接入設(shè)備混合組網(wǎng)的方式。在此組網(wǎng)方案中，接入交換機啟用802.1x功能，iMC UAM主要是針對用戶進行標(biāo)準(zhǔn)的80

18、2.1x認(rèn)證功能，由于各廠家的設(shè)備差異，無法提供完整的ACL、VLAN下發(fā)隔離功能。若第三方設(shè)備支持802.1x的guest-VLAN特性，可通過guest-VLAN特性控制用戶的認(rèn)證前后訪問權(quán)限。,基于Portal組網(wǎng) （一）,,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,基于Portal組網(wǎng) （二）,,,,,Portal BAS,L3 Switch,Gateway,iMC Server,

19、,基于Portal組網(wǎng) （三）,,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,,,,,,,,,基于Portal組網(wǎng) （四）,,,,,ACPortal BAS,AP,iMC Server,Gateway,Trunk,,VLAN 1,,,VLAN 2,VLAN 10,Portal認(rèn)證與802.1x認(rèn)證的比較,Portal認(rèn)證相對于802.1x認(rèn)證的優(yōu)勢支持網(wǎng)頁方式認(rèn)證，免客戶端安裝部署方式

20、靈活、快捷，適合舊網(wǎng)改造Portal認(rèn)證的不足之處沒有802.1x認(rèn)證對客戶端的控制嚴(yán)格,EAD解決方案定義,EAD解決方案定義終端準(zhǔn)入控制（ End User Admission Domination ）解決方案從最終用戶的安全控制入手，對接入網(wǎng)絡(luò)的終端實施企業(yè)安全準(zhǔn)入策略。EAD解決方案集成了網(wǎng)絡(luò)準(zhǔn)入、終端安全、桌面管理三大功能，幫助維護人員控制終端用戶的網(wǎng)絡(luò)使用行為，確保網(wǎng)絡(luò)安全。,終端用戶安全接入四步曲,安全檢查不合格進

21、入隔離區(qū)修復(fù),隔離區(qū),,安全檢查,,合法用戶,非法用戶拒絕入網(wǎng),,,,,身份認(rèn)證,接入請求,你是誰？,企業(yè)網(wǎng)絡(luò),,動態(tài)授權(quán),合格用戶,不同用戶享受不同的網(wǎng)絡(luò)使用權(quán)限,你安全嗎？,你可以做什么？,你在做什么？,EAD解決方案的業(yè)務(wù)架構(gòu),,,,,,EAD解決方案的軟件架構(gòu),所有業(yè)務(wù)組件均基于iMC平臺安裝，用于實現(xiàn)各種業(yè)務(wù)。 EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS服務(wù)器、策略服務(wù)器以及策略代理服務(wù)器、Porta

22、l組件EAD組件包含有：EAD前臺配置頁面、桌面資產(chǎn)管理服務(wù)器以及桌面資產(chǎn)管理代理,iMC智能管理平臺（網(wǎng)元、告警、性能、資源）,UAM組件,EAD組件,UBA組件,NTA組件,WSM組件,MVM組件,EAD基本認(rèn)證流程,,iNode客戶端,,iMC服務(wù)器,1. iNode客戶端發(fā)起認(rèn)證請求,5. iNode客戶端執(zhí)行安全策略并上報安全檢查結(jié)果,6. 服務(wù)服務(wù)器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等,3. iNode客戶端請求

23、安全檢查項,4. 服務(wù)器下發(fā)安全檢查項,,,第三方服務(wù)器用于修復(fù)終端安全隱患,Internet,安全聯(lián)動設(shè)備,,,,,,,,,2. 身份認(rèn)證成功，通知客戶端進行安全檢查,802.1x認(rèn)證流程－PAP/CHAP,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challeng

24、e,EAP-Response/MD5-Password,Access Success(Radius Code=2,隔離ACL),Accounting Request,Accounting Response,EAP-Success,,安全檢查請求,下發(fā)檢查項,上報檢查結(jié)果,監(jiān)控/修復(fù)策略下發(fā),iNode客戶端,H3C設(shè)備,iMC EAD,安全策略服務(wù)器,,,,EAP(code=10),EAP(code=10),Session Contro

25、l (Radius code=20,安全ACL),802.1x認(rèn)證流程－EAP MD5,,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Access Challenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Passwo

26、rd,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,,安全檢查請求,下發(fā)檢查項,上報檢查結(jié)果,監(jiān)控/修復(fù)策略下發(fā),iNode客戶端,第三方設(shè)備,iMC EAD,安全策略服務(wù)器,EAD業(yè)務(wù)的基本配置流程,基本配置流程如下，按照箭頭方向依次配置即可,流量監(jiān)控,為了對終端用戶的網(wǎng)絡(luò)流量進行監(jiān)控，EAD解決方案支持異常流量監(jiān)控特性

27、。管理員設(shè)置終端用戶流量閾值，iNode客戶端根據(jù)安全策略服務(wù)器的指令，打開流量監(jiān)控功能，實現(xiàn)異常上報并根據(jù)安全策略服務(wù)器的指令對用戶采取相應(yīng)的動作。,終端安全軟件策略管理,終端安全軟件策略包括：防病毒軟件策略、防間諜軟件策略、防火墻軟件策略、防釣魚軟件策略、硬盤加密軟件策略。設(shè)置接入用戶需要安裝和運行的終端安全軟件的種類，以確保終端用戶接入網(wǎng)絡(luò)后最大限度的免受攻擊和侵害。,終端安全軟件策略管理（1）,防病毒軟件策略,終端安全軟件策略管

28、理（2）,防間諜軟件策略,終端安全軟件策略管理（3）,防火墻軟件策略,終端安全軟件策略管理（4）,防釣魚軟件策略,終端安全軟件策略管理（5）,硬盤加密軟件策略,軟件補丁管理,與微軟補丁服務(wù)器WSUS Server或SMS Server聯(lián)動進行軟件補丁檢查（自動強制升級）。 自定義系統(tǒng)軟件補丁檢查，可針對系統(tǒng)軟件的不同版本自定義補丁檢查策略?？蛻舳松暇€后定期檢測補丁，此時間間隔由策略服務(wù)器參數(shù)“補丁檢查間隔時長”確定,軟件補丁管理,i

29、MC EAD補丁管理提供了另外一種分級的管理方式，即iMC EAD僅負(fù)責(zé)檢查終端用戶的計算機上是否安裝和運行了專業(yè)的補丁管理軟件，再由補丁管理軟件負(fù)責(zé)檢查計算機的補丁是否合格。iMC EAD目前不支持管理員自定義補丁管理軟件，即只支持列表中缺省羅列的幾款軟件。,可控軟件組管理,監(jiān)控軟件安裝、進程運行、服務(wù)運行和特定文件。對于同一軟件組內(nèi)的多條內(nèi)容，只要其中有一條符合檢查要求，則認(rèn)為整個組檢查成功。,注冊表監(jiān)控,監(jiān)控指定的注冊表項中是否

30、存在特性鍵名及鍵值。,操作系統(tǒng)密碼監(jiān)控,通過字典文件的方式，檢查操作系統(tǒng)密碼是否為字典文件中記錄的弱密碼。,目錄共享策略管理,該功能用于對本地共享進行監(jiān)控。,遠程桌面連接,提供了對在線用戶進行遠程登錄的功能。網(wǎng)絡(luò)管理員可以通過遠程連接功能對遠程終端用戶的電腦進行維護和管理。,EAD的五種安全級別,監(jiān)控模式無論安全檢查結(jié)果如何，都提示用戶通過安全檢查，不彈出安全檢查結(jié)果頁面，不對用戶做任何限制。只在服務(wù)器一側(cè)記錄檢查結(jié)果以備之后審計。

31、VIP模式若安全檢查不通過則會提示用戶存在安全隱患，但不對用戶采取任何動作，不彈出安全檢查結(jié)果頁面。隔離模式若安全檢查不通過，通知安全聯(lián)動設(shè)備限制用戶只能訪問隔離區(qū)資源。下線模式若安全檢查不通過，將用戶強制下線。訪客模式特殊的下線模式，缺省設(shè)置了“不安全提示閾值”。,安全級別,安全級別是一組安全檢查項的集合安全檢查不通過時，最終執(zhí)行何種模式的策略取決于未通過的檢查項中最嚴(yán)格的模式不安全提示閾值的功能只能與隔離模式或下線

32、模式配合使用,安全策略,引用安全級別，使能各項安全檢查策略，配置動態(tài)ACL下發(fā)除了使能這些安全檢查策略之外，需要注意同時使能實時監(jiān)控的功能,服務(wù),服務(wù)是最終用戶使用網(wǎng)絡(luò)的一個途徑，它由預(yù)先定義的一組網(wǎng)絡(luò)使用特性組成，其中具體包括基本信息、授權(quán)信息、認(rèn)證綁定信息、用戶客戶端配置和授權(quán)用戶分組等。 在服務(wù)配置中引用已有的安全策略。,策略服務(wù)器參數(shù)配置,在“業(yè)務(wù)”?“EAD業(yè)務(wù)”?“系統(tǒng)參數(shù)配置”中修改策略服務(wù)器參數(shù)配置,用戶分組,用戶分

33、組不再和服務(wù)關(guān)聯(lián)，而是只和操作員關(guān)聯(lián)。 針對特定的用戶分組執(zhí)行特定的策略。與指定用戶分組關(guān)聯(lián)的操作員才能管理該分組內(nèi)的用戶以及產(chǎn)生的相關(guān)用戶信息。,業(yè)務(wù)分組,將一些個性化策略歸入指定的業(yè)務(wù)分組，只有與該業(yè)務(wù)分組關(guān)聯(lián)的操作員，才能夠管理該業(yè)務(wù)分組中的策略。,基于iNode客戶端的ACL下發(fā),傳統(tǒng)的基于設(shè)備的ACL下發(fā)方式：并非所有設(shè)備都支持ACL下發(fā)設(shè)備的ACL資源有限用戶區(qū)分的角色越多，設(shè)備上的ACL配置越復(fù)雜無法通過服務(wù)器

34、直接查看下發(fā)的ACL中所包含的具體規(guī)則,基于iNode客戶端的ACL下發(fā),,iNode客戶端,,1. iNode客戶端發(fā)起認(rèn)證請求,7. iNode客戶端執(zhí)行安全策略并上報安全檢查結(jié)果,8. 服務(wù)服務(wù)器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等,3. iNode客戶端主動請求安全檢查項聲明支持ACL下發(fā)特性,4. 服務(wù)器下發(fā)安全檢查項提示客戶端請求ACL,,,第三方服務(wù)器用于修復(fù)終端安全隱患,Internet,安全聯(lián)動設(shè)備,,,

35、,,,,,,2. 身份認(rèn)證成功，通知客戶端進行安全檢查,,5. 客戶端主動請求ACL,iMC服務(wù)器,,6. 同時下發(fā)隔離ACL和安全ACL（包含所有規(guī)則）,基于iNode客戶端的ACL下發(fā),配置ACL策略,基于iNode客戶端的ACL下發(fā),在安全策略中引用ACL,部署客戶端ACL特性的條件,客戶端必須為支持此特性的iNode版本且定制時啟用了該特性僅限802.1X和Portal認(rèn)證,防內(nèi)網(wǎng)外聯(lián),基于客戶端ACL功能，實現(xiàn)了防內(nèi)網(wǎng)外聯(lián)功

36、能iNode認(rèn)證前所有網(wǎng)卡都是邏輯上關(guān)閉的，會過濾除DHCP外的所有IP報文認(rèn)證通過后僅認(rèn)證網(wǎng)卡放開，其他網(wǎng)卡仍然關(guān)閉僅限802.1x和Portal認(rèn)證方式,思考：VPN認(rèn)證方式是否有必要支持此特性？為何不能過濾DHCP報文？,混合組網(wǎng)特性的由來,使用RADIUS報文控制在線用戶列表需要考慮：EAD安全認(rèn)證依賴于RADIUS身份認(rèn)證建立的在線表，而RADIUS在線表需要接入設(shè)備支持發(fā)送計費開始和計費結(jié)束報文。在沒有EAP

37、心跳機制和不支持計費更新報文的環(huán)境下，容易出現(xiàn)在線用戶列表中用戶掛死的現(xiàn)象。即使與支持計費更新包的第三方設(shè)備配合，通常也無法支持通過計費更新包下發(fā)的剩余上網(wǎng)時長等信息，從而無法準(zhǔn)確控制在線用戶。雖然在線重認(rèn)證可以在一定程度上代替EAP心跳和計費更新包，但各廠家實現(xiàn)各不相同，難以統(tǒng)一處理，可能引發(fā)其他問題隱患。,混合組網(wǎng)特性原理,RADIUS身份認(rèn)證通過后，客戶端獲取到安全檢查代理的IP和端口后即發(fā)起安全認(rèn)證。由策略服務(wù)器根據(jù)

38、安全認(rèn)證/心跳/下線報文維持在線表。UAM后臺對于計費報文或重認(rèn)證報文僅做檢測和回應(yīng)，不再更新或刪除在線表。通過EAD心跳回應(yīng)報文返回用戶剩余上網(wǎng)時長（接入時段限制、在線加入黑名單、用戶被從在線表刪除等），以精確控制在線用戶。,配置混合組網(wǎng)特性,該特性基于接入設(shè)備實現(xiàn)，同一個接入設(shè)備的所有用戶要么啟用要么不啟用僅限802.1X認(rèn)證思考：為什么portal認(rèn)證不能使用混合組網(wǎng)？,部署混合組網(wǎng)特性的注意事項,對于可

39、以很好支持RADIUS計費（含開始、結(jié)束、更新）報文的設(shè)備不建議啟用該特性。網(wǎng)絡(luò)環(huán)境復(fù)雜，而iNode又是基于操作系統(tǒng)安裝，EAD心跳丟失的可能性比RADIUS報文丟失的可能性大的多混合組網(wǎng)環(huán)境下，服務(wù)器動用老化功能來清理在線用戶列表的機會比傳統(tǒng)環(huán)境下大的多，因此建議在混合組網(wǎng)環(huán)境下適當(dāng)放寬對同一帳號的在線用戶數(shù)量限制。,EAD分級部署特性的由來,典型的大型網(wǎng)絡(luò)結(jié)構(gòu)是一個總部下轄多個分支，而分支下面可能還有分支，各分支之間及與總部

40、間網(wǎng)絡(luò)相對獨立，各自有一批網(wǎng)管人員在維護?？偛肯Ｍ芙o分支機構(gòu)確定安全策略，讓各分支應(yīng)用而不能隨意修改。各分支的匯總信息能以報表的形式上報給總部。,分級部署架構(gòu),使用EAD分級特性前的注意事項,EAD分級特性是EAD組件的特性，僅部署UAM組件是沒有分級管理功能的。EAD分級特性依賴于ETL數(shù)據(jù)分析服務(wù)器組件及報表組件。EAD分級管理的實施應(yīng)該是自上而下進行部署。即先部署總部,在總部iMC系統(tǒng)中定義其下級節(jié)點，并配置好預(yù)

41、計下發(fā)給下級節(jié)點的策略。,上級節(jié)點配置,定制安全策略及其相關(guān)的配置（防病毒軟件、補丁、可控軟件、流量監(jiān)控策略等）。定制服務(wù)并引用安全策略。配置下級節(jié)點：IP、Port、管理員帳號和密碼。上下級間的通信是通過WEB Service實現(xiàn)的。,上級節(jié)點配置,以“服務(wù)”為單元給下級節(jié)點下發(fā)配置。該服務(wù)所引用的各種策略（主要指安全策略）及策略引用的策略（流量監(jiān)控策略、補丁、可控軟件、防病毒軟件等）都會下發(fā)給下級節(jié)點。,策略分發(fā)的原則,支持每日

42、定時自動分發(fā)和手工分發(fā)。首先比較策略更新時間和上次成功下發(fā)的時間，如果策略更新時間較新則下發(fā)。策略會逐級下發(fā)下去，中間一級只能將上一級的策略直接下發(fā)給下級，不能跨級分發(fā)。,下級節(jié)點配置,上級結(jié)點是在下發(fā)時自動配置上的，如果上級結(jié)點IP地址發(fā)生改變時才需要修改。,下級節(jié)點配置,下級結(jié)點上報匯總數(shù)據(jù)的配置。,分級報表管理,查看安全日志匯總統(tǒng)計報表,下級節(jié)點的工作和限制,下級節(jié)點不能增加/刪除服務(wù)、安全策略和安全級別，絕大多數(shù)配置也不能修改

43、。下級節(jié)點不能增加/修改/刪除補丁、注冊表監(jiān)控策略、流量監(jiān)控策略、防病毒軟件等信息。下級節(jié)點不能修改/刪除下發(fā)的可控軟件組，但可以新增，并且可以對安全級別本地新增的可控軟件組對應(yīng)的處理方式進行修改。下級節(jié)點可以修改安全策略中配置的ACL以及服務(wù)器地址等個性化的內(nèi)容。,下級節(jié)點的工作和限制,下級節(jié)點可以修改服務(wù)中的授權(quán)信息，如下發(fā)VLAN信息。若最近一次下發(fā)的服務(wù)中沒有包含當(dāng)前用戶已申請的服務(wù)，則該狀態(tài)變?yōu)椤盁o效”，申請該

44、服務(wù)的用戶無法通過認(rèn)證。除服務(wù)外，其他之前曾經(jīng)下發(fā)而最近一次沒有下發(fā)的內(nèi)容（安全策略、補丁、可控軟件組等）都會被刪除。接入時段策略和接入?yún)^(qū)域策略不下發(fā)。同名的服務(wù)、安全策略、安全級別下發(fā)后，會更新不可修改的項。下級節(jié)點不再支持業(yè)務(wù)分權(quán)。,漫游特性的由來,在EAD分級環(huán)境中，不同節(jié)點所管理的用戶具有流動性，當(dāng)A節(jié)點的用戶到B節(jié)點出差時，希望能不在B節(jié)點增加相關(guān)的帳號信息就可以接入到網(wǎng)絡(luò)并能做身份認(rèn)證和安全檢查。雖然在B

45、節(jié)點上開始來賓帳號可以解決上面問題，但來賓帳號無法區(qū)分用戶的身份，給管理和審計帶來不便。用戶在B節(jié)點認(rèn)證時，B節(jié)點根據(jù)其身份（帶了A節(jié)點的某種標(biāo)識）將其身份認(rèn)證請求發(fā)送到A節(jié)點，由A節(jié)點進行身份校驗。這就是所謂的“漫游”。通常將B節(jié)點稱之為漫游地服務(wù)器，而A節(jié)點稱之為歸屬地服務(wù)器。,漫游地服務(wù)器配置,使能漫游地服務(wù)器的漫游功能。,漫游地服務(wù)器配置,配置漫游域信息,漫游地服務(wù)器配置,配置漫游域信息，同時定義認(rèn)證及計費漫游,漫游地服

46、務(wù)器配置,配置漫游域信息下面的示例表示漫游地服務(wù)器如果收到用戶名攜帶域名后綴為roam的認(rèn)證請求則直接轉(zhuǎn)給IP地址為10.153.128.90的歸屬地服務(wù)器處理。,歸屬地服務(wù)器配置,添加漫游地服務(wù)器下面的示例表示將漫游地服務(wù)器10.153.128.107作為歸屬地服務(wù)器的一臺認(rèn)證接入設(shè)備添加進來，需確保與漫游地配置的密鑰一致。,漫游中的身份認(rèn)證和安全認(rèn)證,屬于A節(jié)點的用戶a到B節(jié)點的網(wǎng)絡(luò)中認(rèn)證時，接入設(shè)備將認(rèn)證請求發(fā)送給B節(jié)點，B節(jié)

47、點再通過RADIUS-proxy功能將其轉(zhuǎn)給A節(jié)點校驗，完成身份驗證。在做身份認(rèn)證漫游時，B節(jié)點將本地的安全代理的IP和端口下發(fā)給iNode客戶端，iNode到B節(jié)點上做安全認(rèn)證。由于B節(jié)點上沒有用戶a的用戶信息，因此需要在B上設(shè)置一個“缺省安全策略”，所有漫游用戶都用該安全策略進行安全認(rèn)證。漫游過程中2個節(jié)點都會有該用戶的在線信息。Portal和802.1X都可以實現(xiàn)漫游,安全檢查相關(guān)參數(shù)（一）,在“接入業(yè)務(wù)”?“業(yè)務(wù)

48、參數(shù)配置”?“系統(tǒng)配置”中可以修改系統(tǒng)運行的各項參數(shù),安全檢查相關(guān)參數(shù)（二）,“系統(tǒng)參數(shù)配置”中的客戶端防破解主要解決破解客戶端問題，需要接入設(shè)備，客戶端配合，一般推薦禁用,安全檢查相關(guān)參數(shù)（三）,運行參數(shù)可以修改UAM組件的日志級別，在問題定位處理時需要調(diào)整由于調(diào)試日志對系統(tǒng)性能消耗較大，一般情況下建議恢復(fù)為警告級別,安全檢查相關(guān)參數(shù)（四）,“EAD業(yè)務(wù)”?“業(yè)務(wù)參數(shù)配置”下可以調(diào)整策略服務(wù)器的運行參數(shù)修改完畢后須選擇“系統(tǒng)配置手

49、工生效”，以使修改生效,DAM簡介,桌面資產(chǎn)管理（Desktop Asset Management）主要關(guān)注于企業(yè)的信息安全，可以對終端進行全方位的監(jiān)控，保證用戶只能合理合法的使用公司的信息資源，并提供實時和事后的審計。,DAM軟件架構(gòu),DAM Agent駐留在桌面機操作系統(tǒng)中，執(zhí)行相關(guān)的DAM策略，采集終端的軟硬件資產(chǎn)信息；監(jiān)控一些敏感資產(chǎn)的變更；執(zhí)行軟件分發(fā)、外設(shè)管理任務(wù)。DAM Proxy負(fù)責(zé)轉(zhuǎn)發(fā)iNode客戶端桌面服務(wù)器的交互

50、報文。DAM Server 負(fù)責(zé)向客戶端下發(fā)桌面安全相關(guān)策略，接受客戶端上報的相關(guān)信息，并存入數(shù)據(jù)庫中。,DAM功能概述,資產(chǎn)管理資產(chǎn)注冊資產(chǎn)查詢資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設(shè)管理U盤的拔插、寫入監(jiān)控禁用USB、光驅(qū)、軟驅(qū)、串口、并口、紅外、藍牙、1394、Modem,資產(chǎn)注冊（一）,配置資產(chǎn)編號的生成方式支持手工資產(chǎn)編號和自動資產(chǎn)編號兩種方式,資產(chǎn)注冊（二）,以手工生成資產(chǎn)編號為例

51、終端第一次上線時提示輸入資產(chǎn)編號，必須與服務(wù)器上已錄入的編號一致服務(wù)器返回該資產(chǎn)編號對應(yīng)的資產(chǎn)信息，由終端確認(rèn)后完成注冊,資產(chǎn)查詢與統(tǒng)計（一）,查詢已注冊的資產(chǎn)詳細信息，包括操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補丁列表、進程列表、服務(wù)列表以及共享列表。,資產(chǎn)查詢與統(tǒng)計（二）,支持按多種分類方式統(tǒng)計資產(chǎn)信息并顯示報表支持統(tǒng)計資產(chǎn)的軟件安裝情況,資產(chǎn)變更管理,支持軟硬件資產(chǎn)信息變更的檢查和上報,軟件分發(fā)（

52、一）,配置軟件分發(fā)服務(wù)器配置軟件分發(fā)任務(wù),軟件分發(fā)（二）,iNode客戶端下載安裝程序完成后彈出軟件分發(fā)管理的提示窗口，用戶也可以手工從客戶端上查看雙機軟件分發(fā)管理中的文件名稱開始安裝,USB監(jiān)控,記錄使用USB的時間記錄寫入USB的文件,外設(shè)管理（一）,配置外設(shè)管理策略，選擇需要禁用的外設(shè)將外設(shè)管理策略與資產(chǎn)分組關(guān)聯(lián),外設(shè)管理（二）,手工啟用已經(jīng)被外設(shè)管理策略禁用的設(shè)備后，將產(chǎn)生外設(shè)違規(guī)記錄,業(yè)務(wù)參數(shù)配置,資產(chǎn)編號方式資產(chǎn)變

53、更掃描間隔時長心跳相關(guān)參數(shù)資產(chǎn)策略請求間隔時長,桌面資產(chǎn)管理相關(guān)參數(shù),“桌面資產(chǎn)業(yè)務(wù)”?“業(yè)務(wù)參數(shù)配置”可以對桌面資產(chǎn)業(yè)務(wù)的參數(shù)進行調(diào)整,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,與思科設(shè)備配合的注意事項（一）,當(dāng)前Cisco版本不支持基于MAC地址的802.1X認(rèn)證方式，僅支持基于端口的802.1X認(rèn)證方式；需要注意一點，Cisco設(shè)備基于端口的802.1X認(rèn)證方

54、式下，接入端口可以配置兩種Dot1x主機模式（single-host和multi-host）；默認(rèn)配置為single-host模式時，同一接入端口不允許下掛有多臺主機，否則Cisco設(shè)備會自動檢測并關(guān)閉端口；當(dāng)配置為multi-host模式時，同一接入端口可以下掛多臺主機，但只要有一臺主機上的用戶通過802.1X認(rèn)證及EAD安全檢查，則該端口下掛的其他所有主機將擁有訪問網(wǎng)絡(luò)的同等權(quán)限，網(wǎng)絡(luò)安全存在隱患；,與思科設(shè)備配合的注意事項（二）,

55、目前Cisco設(shè)備必須支持aaa accounting dot1x default start-stop group radius命令才能夠支持EAD，否則無法實現(xiàn)安全檢查（包括其他與策略服務(wù)器相關(guān)的功能）Cisco設(shè)備可以通過配置aaa accounting update periodic命令來啟用/設(shè)置計費報文的更新時間，但大部分早期版本的Cisco交換機并不支持該命令。缺少計費更新包的交互，缺省情況下將導(dǎo)致在線用戶列表老化后刪除

56、。必須在添加接入設(shè)備時將設(shè)備類型選為“思科”,與思科設(shè)備配合的注意事項（三）,當(dāng)認(rèn)證客戶端上線后，Cisco設(shè)備不提供與802.1X客戶端的EAP握手?？蛻舳水惓Ｍ顺觯ū热鏟C機掉電）后，交換機無法感知。即使依靠EAD心跳，服務(wù)器能夠感知到客戶端異常，但服務(wù)器仍無法通知交換機將用戶下線處理，并且也無法自行清除在線用戶列表。目前存在一定的安全隱患。,與思科設(shè)備配合的注意事項（四）,Cisco接入交換機上可以通過配置多臺RADIUS服務(wù)器進

57、行備份，按照配置順序從上到下依次查找可用的RADIUS服務(wù)器。除此之外，必須進行額外的配置，否則無法實現(xiàn)主備切換。如下兩種解決方案選其一：配置radius-server deadtime，或者通過調(diào)整RADIUS請求重試間隔的參數(shù)，將RADIUS服務(wù)器之間的切換時間控制在4秒內(nèi)： radius-server retransmit 0 //Radius報文只重試一次 radius-server tim

58、eout 2 //每次重試間隔2秒鐘,與思科設(shè)備配合的注意事項（五）,Guest-vlan的切換時間由端口下的dot1x timeout tx-period命令來控制，為提高用戶體驗，經(jīng)常將該參數(shù)改小，比如改為5秒； 端口下的dot1x timeout quiet-period命令用來控制終端認(rèn)證失敗后，該交換機端口靜默多長時間才處理下一次認(rèn)證。為提高用戶體驗，經(jīng)常將該參數(shù)改小，比如改為3秒。,與思科設(shè)備配合的注意事項（六）,在

59、配置客戶端802.1x連接參數(shù)時需要注意以下幾項：更改報文類型為“多播報文”取消勾選“超時重播90S”如果客戶端IP地址的四段十進制數(shù)中，若有任何一段為0，則不能夠勾選“上傳IP地址”。但包含0沒有問題的，比如1.0.1.1不能夠上傳，但1.10.1.1則可以。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,逃生工具,用戶接入逃生工具（簡稱為“逃生工具”）是CAMS

60、/ iMC UAM后臺的替身。當(dāng)CAMS / iMC UAM出現(xiàn)諸如進程宕掉、數(shù)據(jù)庫異常、性能下降等故障無法處理認(rèn)證或計費請求時，逃生工具暫時替代CAMS / iMC UAM處理請求報文以保障用戶的業(yè)務(wù)不中斷。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對于請求報文都直接回應(yīng)成功。 逃生工具以后臺服務(wù)形式存在，操作系統(tǒng)重新啟動后會自動啟用逃生工具。,逃生工具的部署方式,逃生工具支持集中式部署（即和iMC U

61、AM部署于同一臺服務(wù)器上）和獨立部署（單獨部署在另一臺服務(wù)器上）。逃生工具和UAM監(jiān)聽同樣的端口，所以當(dāng)集中式部署時只能啟動兩者之一。獨立部署時，建議將逃生工具所在服務(wù)器配置成和原服務(wù)器一樣的IP地址，并離線放置。當(dāng)出現(xiàn)故障時直接將原服務(wù)器的網(wǎng)線拔到逃生工具服務(wù)器上，就好像替換備件。不建議配置不同的IP做主備切換。獨立部署的好處是首先盡量避免主機操作系統(tǒng)或硬件故障帶來的影響，其次可以在主機出現(xiàn)故障時直接在現(xiàn)網(wǎng)環(huán)境下定位問題，而不用

62、為了啟動逃生而將UAM停止。這樣可以盡早定位問題，恢復(fù)原服務(wù)器。,逃生工具的優(yōu)缺點,優(yōu)點有低成本的容災(zāi)方案，實施及維護非常簡單；一種簡單易行的附加保險，即使是使用了其他容災(zāi)方案，仍然可以準(zhǔn)備一套逃生工具以備不時之需缺點有需要管理員及時發(fā)現(xiàn)故障并手工地切換使用逃生工具；用戶業(yè)務(wù)仍然會中斷；使用逃生工具期間，將損失認(rèn)證用戶的所有接入信息（日志，計費信息等）；由于逃生工具不對認(rèn)證請求做任何判斷，所以在使用逃生工具期間將存在一定的