ead終端準(zhǔn)入控制解決方案介紹

1、伴隨IT應(yīng)用不停發(fā)展，客戶開(kāi)始意識(shí)到對(duì)內(nèi)網(wǎng)終端進(jìn)行控制和管理必要性，實(shí)施網(wǎng)絡(luò)接入控制，確保企業(yè)網(wǎng)絡(luò)安全，已是許多企業(yè)網(wǎng)客戶迫切需求。 伴隨EAD處理方案不停發(fā)展，新特征新功效層出不窮。以不停提供易用性和實(shí)用性，不停提升客戶滿意度為出發(fā)點(diǎn)，EAD處理方案已經(jīng)在不知不覺(jué)中發(fā)生了較大改變。引入第1頁(yè)了解EAD處理方案架構(gòu)熟悉EAD處理方案主要功效特征熟悉EAD處理方案相關(guān)配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：第2頁(yè)EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第3頁(yè)EAD處理方案定義EAD處理方案定義終端準(zhǔn)入控制（ End User Admission Dominatio

2、n ）處理方案從最終用戶安全控制入手，對(duì)接入網(wǎng)絡(luò)終端實(shí)施企業(yè)安全準(zhǔn)入策略。EAD處理方案集成了網(wǎng)絡(luò)準(zhǔn)入、終端安全、桌面管理三大功效，幫助維護(hù)人員控制終端用戶網(wǎng)絡(luò)使用行為，確保網(wǎng)絡(luò)安全。第4頁(yè)終端用戶安全接入四步曲安全檢驗(yàn)不合格進(jìn)入隔離區(qū)修復(fù)隔離區(qū)安全檢驗(yàn)正當(dāng)用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請(qǐng)求你是誰(shuí)？企業(yè)網(wǎng)絡(luò)動(dòng)態(tài)授權(quán)合格用戶不一樣用戶享受不一樣網(wǎng)絡(luò)使用權(quán)限你安全嗎？你能夠做什么？你在做什么？實(shí)時(shí)監(jiān)控第5頁(yè)安全聯(lián)動(dòng)設(shè)備第三方安全相關(guān)服務(wù)器EAD處理方案四個(gè)主要組成部分EAD終端準(zhǔn)入控制處理方案iNode智能客戶端iMC服務(wù)器第6頁(yè)EAD處理方案業(yè)務(wù)架構(gòu)第7頁(yè)EAD處理方案軟件架構(gòu)全部業(yè)務(wù)組件均基

3、于iMC平臺(tái)安裝，用于實(shí)現(xiàn)各種業(yè)務(wù)。 EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS服務(wù)器、策略服務(wù)器以及策略代理服務(wù)器EAD組件包含有：EAD前臺(tái)配置頁(yè)面、桌面資產(chǎn)管理服務(wù)器以及桌面資產(chǎn)管理代理iMC智能管理平臺(tái)（網(wǎng)元、告警、性能、資源）UAM組件EAD組件UBA組件NTA組件WSM組件MVM組件第8頁(yè)EAD基本認(rèn)證流程 iNode客戶端iMC服務(wù)器1. iNode客戶端發(fā)起認(rèn)證請(qǐng)求5. iNode客戶端執(zhí)行安全策略并上報(bào)安全檢驗(yàn)結(jié)果6. 服務(wù)服務(wù)器下發(fā)檢驗(yàn)結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等3. iNode客戶端請(qǐng)求安全檢驗(yàn)項(xiàng)4. 服務(wù)器下發(fā)安全檢驗(yàn)項(xiàng)第三方服務(wù)器用于修復(fù)終端

4、安全隱患Internet安全聯(lián)動(dòng)設(shè)備2. 身份認(rèn)證成功，通知客戶端進(jìn)行安全檢驗(yàn)第9頁(yè)802.1x認(rèn)證流程PAP/CHAPEAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess Success(Radius Code=2,隔離ACL)Accounting RequestAccounting ResponseEAP-Success安全檢驗(yàn)請(qǐng)求下發(fā)檢驗(yàn)項(xiàng)上報(bào)檢驗(yàn)結(jié)果監(jiān)控/修復(fù)策略下發(fā)iNode客戶端H3C設(shè)備i

5、MC EAD安全策略服務(wù)器EAP(code=10)EAP(code=10)Session Control (Radius code=20,安全ACL)第10頁(yè)802.1x認(rèn)證流程EAP MD5EAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestAccess Challenge(Proxy ip&port)EAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess RequestAccess SuccessAccounting RequestAccounting

6、 ResponseEAP-Success安全檢驗(yàn)請(qǐng)求下發(fā)檢驗(yàn)項(xiàng)上報(bào)檢驗(yàn)結(jié)果監(jiān)控/修復(fù)策略下發(fā)iNode客戶端第三方設(shè)備iMC EAD安全策略服務(wù)器第11頁(yè)EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第12頁(yè)EAD業(yè)務(wù)基本配置流程基本配置流程第13頁(yè)流量監(jiān)控 為了對(duì)終端用戶網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，EAD處理方案支持異常流量監(jiān)控特征。管理員設(shè)置終端用戶流量閾值，iNode客戶端依據(jù)安全策略服務(wù)器指令，打開(kāi)流量監(jiān)控功效，實(shí)現(xiàn)異常上報(bào)并依據(jù)安全策略服務(wù)器指令對(duì)用戶采取對(duì)應(yīng)動(dòng)作。第14頁(yè)防病毒軟件管理 檢驗(yàn)防病毒客戶端是否正常開(kāi)啟運(yùn)行，病毒引擎和病毒庫(kù)版本是否符合要求，與高級(jí)聯(lián)動(dòng)

7、類型防病毒軟件聯(lián)動(dòng)，還支持設(shè)置病毒查殺策略等內(nèi)容。第15頁(yè)軟件補(bǔ)丁管理 與微軟補(bǔ)丁服務(wù)器WSUS Server或SMS Server聯(lián)動(dòng)進(jìn)行軟件補(bǔ)丁檢驗(yàn)（自動(dòng)強(qiáng)制升級(jí)）。 自定義系統(tǒng)軟件補(bǔ)丁檢驗(yàn)，可針對(duì)系統(tǒng)軟件不一樣版本自定義補(bǔ)丁檢驗(yàn)策略。第16頁(yè)可控軟件組管理監(jiān)控軟件安裝、進(jìn)程運(yùn)行和服務(wù)運(yùn)行。對(duì)于檢驗(yàn)類型為“必須安裝”或“必須運(yùn)行”可控軟件組，只要安全檢驗(yàn)結(jié)果匹配組內(nèi)一條策略即認(rèn)為檢驗(yàn)經(jīng)過(guò)；對(duì)于檢驗(yàn)類型為“禁止安裝”或“禁止運(yùn)行”可控軟件組，只要安全檢驗(yàn)結(jié)果匹配組內(nèi)一條策略即認(rèn)為檢驗(yàn)不經(jīng)過(guò)。第17頁(yè)注冊(cè)表監(jiān)控監(jiān)控指定注冊(cè)表項(xiàng)中是否存在特征鍵名及鍵值。第18頁(yè)操作系統(tǒng)密碼監(jiān)控經(jīng)過(guò)字典文件方式，

8、檢驗(yàn)操作系統(tǒng)密碼是否為字典文件中統(tǒng)計(jì)弱密碼。第19頁(yè)遠(yuǎn)程桌面連接提供了對(duì)在線用戶進(jìn)行遠(yuǎn)程登錄功效。網(wǎng)絡(luò)管理員能夠經(jīng)過(guò)遠(yuǎn)程連接功效對(duì)遠(yuǎn)程終端用戶電腦進(jìn)行維護(hù)和管理。第20頁(yè)EAD四種安全級(jí)別監(jiān)控模式不論安全檢驗(yàn)結(jié)果怎樣，都提醒用戶經(jīng)過(guò)安全檢驗(yàn)，不彈出安全檢驗(yàn)結(jié)果頁(yè)面，不對(duì)用戶做任何限制。只在服務(wù)器一側(cè)統(tǒng)計(jì)檢驗(yàn)結(jié)果以備之后審計(jì)。提醒模式若安全檢驗(yàn)不經(jīng)過(guò)則會(huì)提醒用戶存在安全隱患，但不對(duì)用戶采取任何動(dòng)作，不彈出安全檢驗(yàn)結(jié)果頁(yè)面。隔離模式若安全檢驗(yàn)不經(jīng)過(guò)，通知安全聯(lián)動(dòng)設(shè)備限制用戶只能訪問(wèn)隔離區(qū)資源。下線模式若安全檢驗(yàn)不經(jīng)過(guò)，將用戶強(qiáng)制下線。第21頁(yè)安全級(jí)別安全級(jí)別是一組安全檢驗(yàn)項(xiàng)集合安全檢驗(yàn)不經(jīng)過(guò)時(shí)，最

9、終執(zhí)行何種模式策略取決于未經(jīng)過(guò)檢驗(yàn)項(xiàng)中最嚴(yán)格模式不安全提醒閾值功效只能與隔離模式或下線模式配合使用第22頁(yè)安全策略引用安全級(jí)別，使能各項(xiàng)安全檢驗(yàn)策略，配置動(dòng)態(tài)ACL下發(fā)除了使能這些安全檢驗(yàn)策略之外，需要注意同時(shí)使能實(shí)時(shí)監(jiān)控功效第23頁(yè)服務(wù)服務(wù)是最終用戶使用網(wǎng)絡(luò)一個(gè)路徑，它由預(yù)先定義一組網(wǎng)絡(luò)使用特征組成，其中詳細(xì)包含基本信息、授權(quán)信息、認(rèn)證綁定信息、用戶客戶端配置和授權(quán)用戶分組等。 在服務(wù)配置中引用已經(jīng)有安全策略。只能在創(chuàng)建新服務(wù)時(shí)增加安全策略，假如一個(gè)已經(jīng)有服務(wù)并未引用安全策略，則不能經(jīng)過(guò)修改這個(gè)服務(wù)方式引用安全策略。第24頁(yè)策略服務(wù)器參數(shù)配置策略服務(wù)器參數(shù)配置第25頁(yè)用戶分組 用戶分組不再和

10、服務(wù)關(guān)聯(lián)，而是只和操作員關(guān)聯(lián)。 針對(duì)特定用戶分組執(zhí)行特定策略。與指定用戶分組關(guān)聯(lián)操作員才能管理該分組內(nèi)用戶以及產(chǎn)生相關(guān)用戶信息。第26頁(yè)業(yè)務(wù)分組將一些個(gè)性化策略歸入指定業(yè)務(wù)分組，只有與該業(yè)務(wù)分組關(guān)聯(lián)操作員，才能夠管理該業(yè)務(wù)分組中策略。第27頁(yè)基于iNode客戶端ACL下發(fā)傳統(tǒng)基于設(shè)備ACL下發(fā)方式：并非全部設(shè)備都支持ACL下發(fā)設(shè)備ACL資源有限用戶區(qū)分角色越多，設(shè)備上ACL配置越復(fù)雜無(wú)法經(jīng)過(guò)服務(wù)器直接查看下發(fā)ACL中所包含詳細(xì)規(guī)則第28頁(yè)基于iNode客戶端ACL下發(fā) iNode客戶端1. iNode客戶端發(fā)起認(rèn)證請(qǐng)求7. iNode客戶端執(zhí)行安全策略并上報(bào)安全檢驗(yàn)結(jié)果8. 服務(wù)服務(wù)器下發(fā)檢驗(yàn)

11、結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等3. iNode客戶端主動(dòng)請(qǐng)求安全檢驗(yàn)項(xiàng)申明支持ACL下發(fā)特征4. 服務(wù)器下發(fā)安全檢驗(yàn)項(xiàng)提醒客戶端請(qǐng)求ACL第三方服務(wù)器用于修復(fù)終端安全隱患Internet安全聯(lián)動(dòng)設(shè)備2. 身份認(rèn)證成功，通知客戶端進(jìn)行安全檢驗(yàn)5. 客戶端主動(dòng)請(qǐng)求ACLiMC服務(wù)器6. 同時(shí)下發(fā)隔離ACL和安全ACL（包含全部規(guī)則）第29頁(yè)基于iNode客戶端ACL下發(fā)配置ACL策略第30頁(yè)基于iNode客戶端ACL下發(fā)在安全策略中引用ACL第31頁(yè)定制客戶端啟用ACL功效 打開(kāi)客戶端管理中，點(diǎn)擊客戶端定制，選擇高級(jí)定制。在基本功效項(xiàng)中勾選啟用ACL功效。第32頁(yè)防內(nèi)網(wǎng)外聯(lián)基于客戶端ACL功

12、效，實(shí)現(xiàn)了防內(nèi)網(wǎng)外聯(lián)功效iNode認(rèn)證前全部網(wǎng)卡都是邏輯上關(guān)閉，會(huì)過(guò)濾除DHCP外全部IP報(bào)文認(rèn)證經(jīng)過(guò)后僅認(rèn)證網(wǎng)卡放開(kāi)，其它網(wǎng)卡依然關(guān)閉僅限802.1x和Portal認(rèn)證方式思索：VPN認(rèn)證方式是否有必要支持此特征？為何不能過(guò)濾DHCP報(bào)文？第33頁(yè)定制客戶端啟用防內(nèi)網(wǎng)外聯(lián)打開(kāi)客戶端管理中，點(diǎn)擊客戶端定制，選擇高級(jí)定制。在基本功效項(xiàng)中勾選啟用防內(nèi)網(wǎng)外聯(lián)功效。第34頁(yè)EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第35頁(yè)DAM介紹桌面資產(chǎn)管理（Desktop Asset Management）主要關(guān)注于企業(yè)信息安全，能夠?qū)K端進(jìn)行全方位監(jiān)控，確保用戶只能合理正當(dāng)使用企

13、業(yè)信息資源，并提供實(shí)時(shí)和事后審計(jì)。第36頁(yè)DAM軟件架構(gòu)DAM Agent駐留在桌面機(jī)操作系統(tǒng)中，執(zhí)行相關(guān)DAM策略，采集終端軟硬件資產(chǎn)信息；監(jiān)控一些敏感資產(chǎn)變更；執(zhí)行軟件分發(fā)、外設(shè)管理任務(wù)。DAM Proxy負(fù)責(zé)轉(zhuǎn)發(fā)iNode客戶端桌面服務(wù)器交互報(bào)文。DAM Server 負(fù)責(zé)向客戶端下發(fā)桌面安全相關(guān)策略，接收客戶端上報(bào)相關(guān)信息，并存入數(shù)據(jù)庫(kù)中。第37頁(yè)DAM功效概述資產(chǎn)管理資產(chǎn)注冊(cè)資產(chǎn)查詢資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設(shè)管理U盤拔插、寫入監(jiān)控禁用USB、光驅(qū)、軟驅(qū)、串口、并口、紅外、藍(lán)牙、1394、Modem第38頁(yè)資產(chǎn)注冊(cè)（一）配置資產(chǎn)編號(hào)生成方式支持手工資產(chǎn)編

14、號(hào)和自動(dòng)資產(chǎn)編號(hào)兩種方式第39頁(yè)資產(chǎn)注冊(cè)（二）以手工生成資產(chǎn)編號(hào)為例終端第一次上線時(shí)提醒輸入資產(chǎn)編號(hào)，必須與服務(wù)器上已錄入編號(hào)一致服務(wù)器返回該資產(chǎn)編號(hào)對(duì)應(yīng)資產(chǎn)信息，由終端確認(rèn)后完成注冊(cè)第40頁(yè)資產(chǎn)查詢與統(tǒng)計(jì)（一）查詢已注冊(cè)資產(chǎn)詳細(xì)信息，包含操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補(bǔ)丁列表、進(jìn)程列表、服務(wù)列表以及共享列表。第41頁(yè)資產(chǎn)查詢與統(tǒng)計(jì)（二）支持按各種分類方式統(tǒng)計(jì)資產(chǎn)信息并顯示報(bào)表支持統(tǒng)計(jì)資產(chǎn)軟件安裝情況第42頁(yè)資產(chǎn)變更管理支持軟硬件資產(chǎn)信息變更檢驗(yàn)和上報(bào)第43頁(yè)軟件分發(fā)（一）配置軟件分發(fā)服務(wù)器配置軟件分發(fā)任務(wù)第44頁(yè)軟件分發(fā)（二）iNode客戶端下載安裝程序

15、完成后彈出軟件分發(fā)管理提醒窗口，用戶也能夠手工從客戶端上查看雙機(jī)軟件分發(fā)管理中文件名稱開(kāi)始安裝第45頁(yè)USB監(jiān)控統(tǒng)計(jì)使用USB時(shí)間統(tǒng)計(jì)寫入U(xiǎn)SB文件第46頁(yè)外設(shè)管理（一）配置外設(shè)管理策略，選擇需要禁用外設(shè)將外設(shè)管理策略與資產(chǎn)分組關(guān)聯(lián)第47頁(yè)外設(shè)管理（二）手工啟用已經(jīng)被外設(shè)管理策略禁用設(shè)備后，將產(chǎn)生外設(shè)違規(guī)統(tǒng)計(jì)第48頁(yè)業(yè)務(wù)參數(shù)配置資產(chǎn)編號(hào)方式資產(chǎn)變更掃描間隔時(shí)長(zhǎng)心跳相關(guān)參數(shù)資產(chǎn)策略請(qǐng)求間隔時(shí)長(zhǎng)第49頁(yè)EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第50頁(yè)逃生工具用戶接入逃生工具（簡(jiǎn)稱為“逃生工具”）是CAMS / iMC UAM后臺(tái)替身。當(dāng)CAMS / iMC UAM

16、出現(xiàn)諸如進(jìn)程宕掉、數(shù)據(jù)庫(kù)異常、性能下降等故障無(wú)法處理認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí)，逃生工具暫時(shí)替換CAMS / iMC UAM處理請(qǐng)求報(bào)文以保障用戶業(yè)務(wù)不中止。逃生工具不驗(yàn)證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對(duì)于請(qǐng)求報(bào)文都直接回應(yīng)成功。 逃生工具以后臺(tái)服務(wù)形式存在，操作系統(tǒng)重新開(kāi)啟后會(huì)自動(dòng)啟用逃生工具。第51頁(yè)逃生工具布署方式逃生工具支持集中式布署（即和iMC UAM布署于同一臺(tái)服務(wù)器上）和獨(dú)立布署（單獨(dú)布署在另一臺(tái)服務(wù)器上）。逃生工具和UAM監(jiān)聽(tīng)一樣端口，所以當(dāng)集中式布署時(shí)只能開(kāi)啟二者之一。獨(dú)立布署時(shí)，提議將逃生工具所在服務(wù)器配置成和原服務(wù)器一樣IP地址，并離線放置。當(dāng)出現(xiàn)故障時(shí)

17、直接將原服務(wù)器網(wǎng)線拔到逃生工具服務(wù)器上，就好像替換備件。不提議配置不一樣IP做主備切換。獨(dú)立布署好處是首先盡可能防止主機(jī)操作系統(tǒng)或硬件故障帶來(lái)影響，其次能夠在主機(jī)出現(xiàn)故障時(shí)直接在現(xiàn)網(wǎng)環(huán)境下定位問(wèn)題，而不用為了開(kāi)啟逃生而將UAM停頓。這么能夠盡早定位問(wèn)題，恢復(fù)原服務(wù)器。第52頁(yè)逃生工具優(yōu)缺點(diǎn)優(yōu)點(diǎn)有低成本容災(zāi)方案，實(shí)施及維護(hù)非常簡(jiǎn)單；一個(gè)簡(jiǎn)單易行附加保險(xiǎn)，即使是使用了其它容災(zāi)方案，依然能夠準(zhǔn)備一套逃生工具以備不時(shí)之需缺點(diǎn)有需要管理員及時(shí)發(fā)覺(jué)故障并手工地切換使用逃生工具；用戶業(yè)務(wù)依然會(huì)中止；使用逃生工具期間，將損失認(rèn)證用戶全部接入信息（日志，計(jì)費(fèi)信息等）；因?yàn)樘由ぞ卟粚?duì)認(rèn)證請(qǐng)求做任何判斷，所以在使

18、用逃生工具期間將存在一定安全隱患第53頁(yè)DBMAN雙機(jī)備份工作流程設(shè)備與主iMC服務(wù)器之間通訊中止，發(fā)出認(rèn)證請(qǐng)求或計(jì)費(fèi)請(qǐng)求在一定時(shí)間內(nèi)未收到響應(yīng)；自動(dòng)將請(qǐng)求發(fā)往備iMC服務(wù)器 ，同時(shí)將主服務(wù)器狀態(tài)置為block等候一定時(shí)間間隔后，再次嘗試將請(qǐng)求發(fā)往主iMC服務(wù)器，若通訊恢復(fù)則馬上將主服務(wù)器狀態(tài)置為active，從服務(wù)器狀態(tài)不變primarysecondaryX第54頁(yè)DBMAN雙機(jī)備份實(shí)施步驟在接入設(shè)備上配置從認(rèn)證和從計(jì)費(fèi)服務(wù)器secondary authentication *.*.*.* 1812secondary accounting *.*.*.* 1813iMC備服務(wù)器申請(qǐng)冷備Lic

19、ense只需在主iMC服務(wù)器上搜集主機(jī)信息并申請(qǐng)License，拿到唯一一個(gè)License文件同時(shí)在主備機(jī)上注冊(cè)登陸備iMC服務(wù)器配置臺(tái)時(shí)只含有查看權(quán)限，不能修改配置經(jīng)過(guò)配置DBMAN工具實(shí)現(xiàn)兩臺(tái)iMC服務(wù)器之間數(shù)據(jù)自動(dòng)同時(shí)（天天同時(shí)一次主備服務(wù)器數(shù)據(jù)庫(kù)）主iMC服務(wù)器上DBMAN工具天天凌晨定時(shí)自動(dòng)備份本機(jī)數(shù)據(jù)庫(kù)；主iMC將備份出來(lái)數(shù)據(jù)庫(kù)文件經(jīng)過(guò)FTP上傳到備iMC服務(wù)器上；備iMC服務(wù)器上DBMAN工具檢測(cè)到數(shù)據(jù)庫(kù)備份文件后馬上執(zhí)行數(shù)據(jù)庫(kù)還原，從而到達(dá)主備數(shù)據(jù)庫(kù)同時(shí)目標(biāo)第55頁(yè)DBMAN雙機(jī)備份方案優(yōu)缺點(diǎn)優(yōu)點(diǎn)有：雙機(jī)自成一套完整認(rèn)證體系，能夠處理全部軟硬件問(wèn)題；雙機(jī)切換期間，在還沒(méi)有自動(dòng)同時(shí)數(shù)據(jù)庫(kù)之前用戶數(shù)據(jù)庫(kù)能夠保留；實(shí)施及維護(hù)起來(lái)較方便；缺點(diǎn)有：用戶業(yè)務(wù)依然會(huì)中止特定環(huán)境下，有可能