ead終端準入控制解決方案介紹

1、伴隨IT應用不停發(fā)展，客戶開始意識到對內網終端進行控制和管理必要性，實施網絡接入控制，確保企業(yè)網絡安全，已是許多企業(yè)網客戶迫切需求。 伴隨EAD處理方案不停發(fā)展，新特征新功效層出不窮。以不停提供易用性和實用性，不停提升客戶滿意度為出發(fā)點，EAD處理方案已經在不知不覺中發(fā)生了較大改變。引入第1頁了解EAD處理方案架構熟悉EAD處理方案主要功效特征熟悉EAD處理方案相關配置課程目標學習完本課程，您應該能夠：第2頁EAD處理方案概述EAD處理方案特征桌面資產管理EAD處理方案容災方案目錄第3頁EAD處理方案定義EAD處理方案定義終端準入控制（ End User Admission Dominatio

2、n ）處理方案從最終用戶安全控制入手，對接入網絡終端實施企業(yè)安全準入策略。EAD處理方案集成了網絡準入、終端安全、桌面管理三大功效，幫助維護人員控制終端用戶網絡使用行為，確保網絡安全。第4頁終端用戶安全接入四步曲安全檢驗不合格進入隔離區(qū)修復隔離區(qū)安全檢驗正當用戶非法用戶拒絕入網身份認證接入請求你是誰？企業(yè)網絡動態(tài)授權合格用戶不一樣用戶享受不一樣網絡使用權限你安全嗎？你能夠做什么？你在做什么？實時監(jiān)控第5頁安全聯(lián)動設備第三方安全相關服務器EAD處理方案四個主要組成部分EAD終端準入控制處理方案iNode智能客戶端iMC服務器第6頁EAD處理方案業(yè)務架構第7頁EAD處理方案軟件架構全部業(yè)務組件均基

3、于iMC平臺安裝，用于實現(xiàn)各種業(yè)務。 EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS服務器、策略服務器以及策略代理服務器EAD組件包含有：EAD前臺配置頁面、桌面資產管理服務器以及桌面資產管理代理iMC智能管理平臺（網元、告警、性能、資源）UAM組件EAD組件UBA組件NTA組件WSM組件MVM組件第8頁EAD基本認證流程 iNode客戶端iMC服務器1. iNode客戶端發(fā)起認證請求5. iNode客戶端執(zhí)行安全策略并上報安全檢驗結果6. 服務服務器下發(fā)檢驗結果、修復策略以及設置在線監(jiān)控任務等3. iNode客戶端請求安全檢驗項4. 服務器下發(fā)安全檢驗項第三方服務器用于修復終端

4、安全隱患Internet安全聯(lián)動設備2. 身份認證成功，通知客戶端進行安全檢驗第9頁802.1x認證流程PAP/CHAPEAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess Success(Radius Code=2,隔離ACL)Accounting RequestAccounting ResponseEAP-Success安全檢驗請求下發(fā)檢驗項上報檢驗結果監(jiān)控/修復策略下發(fā)iNode客戶端H3C設備i

5、MC EAD安全策略服務器EAP(code=10)EAP(code=10)Session Control (Radius code=20,安全ACL)第10頁802.1x認證流程EAP MD5EAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestAccess Challenge(Proxy ip&port)EAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess RequestAccess SuccessAccounting RequestAccounting

6、 ResponseEAP-Success安全檢驗請求下發(fā)檢驗項上報檢驗結果監(jiān)控/修復策略下發(fā)iNode客戶端第三方設備iMC EAD安全策略服務器第11頁EAD處理方案概述EAD處理方案特征桌面資產管理EAD處理方案容災方案目錄第12頁EAD業(yè)務基本配置流程基本配置流程第13頁流量監(jiān)控 為了對終端用戶網絡流量進行監(jiān)控，EAD處理方案支持異常流量監(jiān)控特征。管理員設置終端用戶流量閾值，iNode客戶端依據安全策略服務器指令，打開流量監(jiān)控功效，實現(xiàn)異常上報并依據安全策略服務器指令對用戶采取對應動作。第14頁防病毒軟件管理 檢驗防病毒客戶端是否正常開啟運行，病毒引擎和病毒庫版本是否符合要求，與高級聯(lián)動

7、類型防病毒軟件聯(lián)動，還支持設置病毒查殺策略等內容。第15頁軟件補丁管理 與微軟補丁服務器WSUS Server或SMS Server聯(lián)動進行軟件補丁檢驗（自動強制升級）。 自定義系統(tǒng)軟件補丁檢驗，可針對系統(tǒng)軟件不一樣版本自定義補丁檢驗策略。第16頁可控軟件組管理監(jiān)控軟件安裝、進程運行和服務運行。對于檢驗類型為“必須安裝”或“必須運行”可控軟件組，只要安全檢驗結果匹配組內一條策略即認為檢驗經過；對于檢驗類型為“禁止安裝”或“禁止運行”可控軟件組，只要安全檢驗結果匹配組內一條策略即認為檢驗不經過。第17頁注冊表監(jiān)控監(jiān)控指定注冊表項中是否存在特征鍵名及鍵值。第18頁操作系統(tǒng)密碼監(jiān)控經過字典文件方式，

8、檢驗操作系統(tǒng)密碼是否為字典文件中統(tǒng)計弱密碼。第19頁遠程桌面連接提供了對在線用戶進行遠程登錄功效。網絡管理員能夠經過遠程連接功效對遠程終端用戶電腦進行維護和管理。第20頁EAD四種安全級別監(jiān)控模式不論安全檢驗結果怎樣，都提醒用戶經過安全檢驗，不彈出安全檢驗結果頁面，不對用戶做任何限制。只在服務器一側統(tǒng)計檢驗結果以備之后審計。提醒模式若安全檢驗不經過則會提醒用戶存在安全隱患，但不對用戶采取任何動作，不彈出安全檢驗結果頁面。隔離模式若安全檢驗不經過，通知安全聯(lián)動設備限制用戶只能訪問隔離區(qū)資源。下線模式若安全檢驗不經過，將用戶強制下線。第21頁安全級別安全級別是一組安全檢驗項集合安全檢驗不經過時，最

9、終執(zhí)行何種模式策略取決于未經過檢驗項中最嚴格模式不安全提醒閾值功效只能與隔離模式或下線模式配合使用第22頁安全策略引用安全級別，使能各項安全檢驗策略，配置動態(tài)ACL下發(fā)除了使能這些安全檢驗策略之外，需要注意同時使能實時監(jiān)控功效第23頁服務服務是最終用戶使用網絡一個路徑，它由預先定義一組網絡使用特征組成，其中詳細包含基本信息、授權信息、認證綁定信息、用戶客戶端配置和授權用戶分組等。 在服務配置中引用已經有安全策略。只能在創(chuàng)建新服務時增加安全策略，假如一個已經有服務并未引用安全策略，則不能經過修改這個服務方式引用安全策略。第24頁策略服務器參數配置策略服務器參數配置第25頁用戶分組 用戶分組不再和

10、服務關聯(lián)，而是只和操作員關聯(lián)。 針對特定用戶分組執(zhí)行特定策略。與指定用戶分組關聯(lián)操作員才能管理該分組內用戶以及產生相關用戶信息。第26頁業(yè)務分組將一些個性化策略歸入指定業(yè)務分組，只有與該業(yè)務分組關聯(lián)操作員，才能夠管理該業(yè)務分組中策略。第27頁基于iNode客戶端ACL下發(fā)傳統(tǒng)基于設備ACL下發(fā)方式：并非全部設備都支持ACL下發(fā)設備ACL資源有限用戶區(qū)分角色越多，設備上ACL配置越復雜無法經過服務器直接查看下發(fā)ACL中所包含詳細規(guī)則第28頁基于iNode客戶端ACL下發(fā) iNode客戶端1. iNode客戶端發(fā)起認證請求7. iNode客戶端執(zhí)行安全策略并上報安全檢驗結果8. 服務服務器下發(fā)檢驗

11、結果、修復策略以及設置在線監(jiān)控任務等3. iNode客戶端主動請求安全檢驗項申明支持ACL下發(fā)特征4. 服務器下發(fā)安全檢驗項提醒客戶端請求ACL第三方服務器用于修復終端安全隱患Internet安全聯(lián)動設備2. 身份認證成功，通知客戶端進行安全檢驗5. 客戶端主動請求ACLiMC服務器6. 同時下發(fā)隔離ACL和安全ACL（包含全部規(guī)則）第29頁基于iNode客戶端ACL下發(fā)配置ACL策略第30頁基于iNode客戶端ACL下發(fā)在安全策略中引用ACL第31頁定制客戶端啟用ACL功效 打開客戶端管理中，點擊客戶端定制，選擇高級定制。在基本功效項中勾選啟用ACL功效。第32頁防內網外聯(lián)基于客戶端ACL功

12、效，實現(xiàn)了防內網外聯(lián)功效iNode認證前全部網卡都是邏輯上關閉，會過濾除DHCP外全部IP報文認證經過后僅認證網卡放開，其它網卡依然關閉僅限802.1x和Portal認證方式思索：VPN認證方式是否有必要支持此特征？為何不能過濾DHCP報文？第33頁定制客戶端啟用防內網外聯(lián)打開客戶端管理中，點擊客戶端定制，選擇高級定制。在基本功效項中勾選啟用防內網外聯(lián)功效。第34頁EAD處理方案概述EAD處理方案特征桌面資產管理EAD處理方案容災方案目錄第35頁DAM介紹桌面資產管理（Desktop Asset Management）主要關注于企業(yè)信息安全，能夠對終端進行全方位監(jiān)控，確保用戶只能合理正當使用企

13、業(yè)信息資源，并提供實時和事后審計。第36頁DAM軟件架構DAM Agent駐留在桌面機操作系統(tǒng)中，執(zhí)行相關DAM策略，采集終端軟硬件資產信息；監(jiān)控一些敏感資產變更；執(zhí)行軟件分發(fā)、外設管理任務。DAM Proxy負責轉發(fā)iNode客戶端桌面服務器交互報文。DAM Server 負責向客戶端下發(fā)桌面安全相關策略，接收客戶端上報相關信息，并存入數據庫中。第37頁DAM功效概述資產管理資產注冊資產查詢資產變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設管理U盤拔插、寫入監(jiān)控禁用USB、光驅、軟驅、串口、并口、紅外、藍牙、1394、Modem第38頁資產注冊（一）配置資產編號生成方式支持手工資產編

14、號和自動資產編號兩種方式第39頁資產注冊（二）以手工生成資產編號為例終端第一次上線時提醒輸入資產編號，必須與服務器上已錄入編號一致服務器返回該資產編號對應資產信息，由終端確認后完成注冊第40頁資產查詢與統(tǒng)計（一）查詢已注冊資產詳細信息，包含操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補丁列表、進程列表、服務列表以及共享列表。第41頁資產查詢與統(tǒng)計（二）支持按各種分類方式統(tǒng)計資產信息并顯示報表支持統(tǒng)計資產軟件安裝情況第42頁資產變更管理支持軟硬件資產信息變更檢驗和上報第43頁軟件分發(fā)（一）配置軟件分發(fā)服務器配置軟件分發(fā)任務第44頁軟件分發(fā)（二）iNode客戶端下載安裝程序

15、完成后彈出軟件分發(fā)管理提醒窗口，用戶也能夠手工從客戶端上查看雙機軟件分發(fā)管理中文件名稱開始安裝第45頁USB監(jiān)控統(tǒng)計使用USB時間統(tǒng)計寫入USB文件第46頁外設管理（一）配置外設管理策略，選擇需要禁用外設將外設管理策略與資產分組關聯(lián)第47頁外設管理（二）手工啟用已經被外設管理策略禁用設備后，將產生外設違規(guī)統(tǒng)計第48頁業(yè)務參數配置資產編號方式資產變更掃描間隔時長心跳相關參數資產策略請求間隔時長第49頁EAD處理方案概述EAD處理方案特征桌面資產管理EAD處理方案容災方案目錄第50頁逃生工具用戶接入逃生工具（簡稱為“逃生工具”）是CAMS / iMC UAM后臺替身。當CAMS / iMC UAM

16、出現(xiàn)諸如進程宕掉、數據庫異常、性能下降等故障無法處理認證或計費請求時，逃生工具暫時替換CAMS / iMC UAM處理請求報文以保障用戶業(yè)務不中止。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權處理，也不啟用安全認證，對于請求報文都直接回應成功。 逃生工具以后臺服務形式存在，操作系統(tǒng)重新開啟后會自動啟用逃生工具。第51頁逃生工具布署方式逃生工具支持集中式布署（即和iMC UAM布署于同一臺服務器上）和獨立布署（單獨布署在另一臺服務器上）。逃生工具和UAM監(jiān)聽一樣端口，所以當集中式布署時只能開啟二者之一。獨立布署時，提議將逃生工具所在服務器配置成和原服務器一樣IP地址，并離線放置。當出現(xiàn)故障時

17、直接將原服務器網線拔到逃生工具服務器上，就好像替換備件。不提議配置不一樣IP做主備切換。獨立布署好處是首先盡可能防止主機操作系統(tǒng)或硬件故障帶來影響，其次能夠在主機出現(xiàn)故障時直接在現(xiàn)網環(huán)境下定位問題，而不用為了開啟逃生而將UAM停頓。這么能夠盡早定位問題，恢復原服務器。第52頁逃生工具優(yōu)缺點優(yōu)點有低成本容災方案，實施及維護非常簡單；一個簡單易行附加保險，即使是使用了其它容災方案，依然能夠準備一套逃生工具以備不時之需缺點有需要管理員及時發(fā)覺故障并手工地切換使用逃生工具；用戶業(yè)務依然會中止；使用逃生工具期間，將損失認證用戶全部接入信息（日志，計費信息等）；因為逃生工具不對認證請求做任何判斷，所以在使

18、用逃生工具期間將存在一定安全隱患第53頁DBMAN雙機備份工作流程設備與主iMC服務器之間通訊中止，發(fā)出認證請求或計費請求在一定時間內未收到響應；自動將請求發(fā)往備iMC服務器 ，同時將主服務器狀態(tài)置為block等候一定時間間隔后，再次嘗試將請求發(fā)往主iMC服務器，若通訊恢復則馬上將主服務器狀態(tài)置為active，從服務器狀態(tài)不變primarysecondaryX第54頁DBMAN雙機備份實施步驟在接入設備上配置從認證和從計費服務器secondary authentication *.*.*.* 1812secondary accounting *.*.*.* 1813iMC備服務器申請冷備Lic

19、ense只需在主iMC服務器上搜集主機信息并申請License，拿到唯一一個License文件同時在主備機上注冊登陸備iMC服務器配置臺時只含有查看權限，不能修改配置經過配置DBMAN工具實現(xiàn)兩臺iMC服務器之間數據自動同時（天天同時一次主備服務器數據庫）主iMC服務器上DBMAN工具天天凌晨定時自動備份本機數據庫；主iMC將備份出來數據庫文件經過FTP上傳到備iMC服務器上；備iMC服務器上DBMAN工具檢測到數據庫備份文件后馬上執(zhí)行數據庫還原，從而到達主備數據庫同時目標第55頁DBMAN雙機備份方案優(yōu)缺點優(yōu)點有：雙機自成一套完整認證體系，能夠處理全部軟硬件問題；雙機切換期間，在還沒有自動同時數據庫之前用戶數據庫能夠保留；實施及維護起來較方便；缺點有：用戶業(yè)務依然會中止特定環(huán)境下，有可能