终端准入控制ead解决方案

1、EAD处理方案介绍ISSUE 1.3日期：-4-28杭州华三通信技术有限企业 版权全部，未经授权不得使用与传输第1页伴随IT应用不停发展，客户开始意识到对内网终端进行控制和管理必要性，实施网络接入控制，确保企业网络安全，已是许多企业网客户迫切需求。 伴随EAD处理方案不停发展，新特征新功效层出不穷。以不停提供易用性和实用性，不停提升客户满意度为出发点，EAD处理方案已经在不知不觉中发生了较大改变。引入第2页了解EAD处理方案架构熟悉EAD处理方案主要功效特征熟悉EAD处理方案相关配置课程目标学习完本课程，您应该能够：第3页EAD处理方案概述EAD处理方案特征桌面资产管理EAD处理方案容灾方案目

2、录第4页EAD处理方案定义EAD处理方案定义终端准入控制（ End User Admission Domination ）处理方案从最终用户安全控制入手，对接入网络终端实施企业安全准入策略。EAD处理方案集成了网络准入、终端安全、桌面管理三大功效，帮助维护人员控制终端用户网络使用行为，确保网络安全。第5页终端用户安全接入四步曲安全检验不合格进入隔离区修复隔离区安全检验正当用户非法用户拒绝入网身份认证接入请求你是谁？企业网络动态授权合格用户不一样用户享受不一样网络使用权限你安全吗？你能够做什么？你在做什么？实时监控第6页安全联动设备第三方安全相关服务器EAD处理方案四个主要组成部分EAD终端准入

3、控制处理方案iNode智能客户端iMC服务器第7页EAD处理方案业务架构第8页EAD处理方案软件架构全部业务组件均基于iMC平台安装，用于实现各种业务。 EAD组件基于UAM组件安装。UAM组件包含有：RADIUS服务器、策略服务器以及策略代理服务器EAD组件包含有：EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理iMC智能管理平台（网元、告警、性能、资源）UAM组件EAD组件UBA组件NTA组件WSM组件MVM组件第9页EAD基本认证流程 iNode客户端iMC服务器1. iNode客户端发起认证请求5. iNode客户端执行安全策略并上报安全检验结果6. 服务服务器下发检验结果、

4、修复策略以及设置在线监控任务等3. iNode客户端请求安全检验项4. 服务器下发安全检验项第三方服务器用于修复终端安全隐患Internet安全联动设备2. 身份认证成功，通知客户端进行安全检验第10页802.1x认证流程PAP/CHAPEAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess Success(Radius Code=2,隔离ACL)Accounting RequestAccounting

5、ResponseEAP-Success安全检验请求下发检验项上报检验结果监控/修复策略下发iNode客户端H3C设备iMC EAD安全策略服务器EAP(code=10)EAP(code=10)Session Control (Radius code=20,安全ACL)第11页802.1x认证流程EAP MD5EAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestAccess Challenge(Proxy ip&port)EAP-Request/MD5-ChallengeEAP-Response/MD5-Passw

6、ordAccess RequestAccess SuccessAccounting RequestAccounting ResponseEAP-Success安全检验请求下发检验项上报检验结果监控/修复策略下发iNode客户端第三方设备iMC EAD安全策略服务器第12页EAD处理方案概述EAD处理方案特征桌面资产管理EAD处理方案容灾方案目录第13页EAD业务基本配置流程基本配置流程第14页流量监控 为了对终端用户网络流量进行监控，EAD处理方案支持异常流量监控特征。管理员设置终端用户流量阈值，iNode客户端依据安全策略服务器指令，打开流量监控功效，实现异常上报并依据安全策略服务器指令对用

7、户采取对应动作。第15页防病毒软件管理 检验防病毒客户端是否正常开启运行，病毒引擎和病毒库版本是否符合要求，与高级联动类型防病毒软件联动，还支持设置病毒查杀策略等内容。第16页软件补丁管理 与微软补丁服务器WSUS Server或SMS Server联动进行软件补丁检验（自动强制升级）。 自定义系统软件补丁检验，可针对系统软件不一样版本自定义补丁检验策略。第17页可控软件组管理监控软件安装、进程运行和服务运行。对于检验类型为“必须安装”或“必须运行”可控软件组，只要安全检验结果匹配组内一条策略即认为检验经过；对于检验类型为“禁止安装”或“禁止运行”可控软件组，只要安全检验结果匹配组内一条策略即

8、认为检验不经过。第18页注册表监控监控指定注册表项中是否存在特征键名及键值。第19页操作系统密码监控经过字典文件方式，检验操作系统密码是否为字典文件中统计弱密码。第20页远程桌面连接提供了对在线用户进行远程登录功效。网络管理员能够经过远程连接功效对远程终端用户电脑进行维护和管理。第21页EAD四种安全级别监控模式不论安全检验结果怎样，都提醒用户经过安全检验，不弹出安全检验结果页面，不对用户做任何限制。只在服务器一侧统计检验结果以备之后审计。提醒模式若安全检验不经过则会提醒用户存在安全隐患，但不对用户采取任何动作，不弹出安全检验结果页面。隔离模式若安全检验不经过，通知安全联动设备限制用户只能访问

9、隔离区资源。下线模式若安全检验不经过，将用户强制下线。第22页安全级别安全级别是一组安全检验项集合安全检验不经过时，最终执行何种模式策略取决于未经过检验项中最严格模式不安全提醒阈值功效只能与隔离模式或下线模式配合使用第23页安全策略引用安全级别，使能各项安全检验策略，配置动态ACL下发除了使能这些安全检验策略之外，需要注意同时使能实时监控功效第24页服务服务是最终用户使用网络一个路径，它由预先定义一组网络使用特征组成，其中详细包含基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。 在服务配置中引用已经有安全策略。只能在创建新服务时增加安全策略，假如一个已经有服务并未引用安全策略

10、，则不能经过修改这个服务方式引用安全策略。第25页策略服务器参数配置策略服务器参数配置第26页用户分组 用户分组不再和服务关联，而是只和操作员关联。 针对特定用户分组执行特定策略。与指定用户分组关联操作员才能管理该分组内用户以及产生相关用户信息。第27页业务分组将一些个性化策略归入指定业务分组，只有与该业务分组关联操作员，才能够管理该业务分组中策略。第28页基于iNode客户端ACL下发传统基于设备ACL下发方式：并非全部设备都支持ACL下发设备ACL资源有限用户区分角色越多，设备上ACL配置越复杂无法经过服务器直接查看下发ACL中所包含详细规则第29页基于iNode客户端ACL下发 iNod

11、e客户端1. iNode客户端发起认证请求7. iNode客户端执行安全策略并上报安全检验结果8. 服务服务器下发检验结果、修复策略以及设置在线监控任务等3. iNode客户端主动请求安全检验项申明支持ACL下发特征4. 服务器下发安全检验项提醒客户端请求ACL第三方服务器用于修复终端安全隐患Internet安全联动设备2. 身份认证成功，通知客户端进行安全检验5. 客户端主动请求ACLiMC服务器6. 同时下发隔离ACL和安全ACL（包含全部规则）第30页基于iNode客户端ACL下发配置ACL策略第31页基于iNode客户端ACL下发在安全策略中引用ACL第32页定制客户端启用ACL功效

12、打开客户端管理中，点击客户端定制，选择高级定制。在基本功效项中勾选启用ACL功效。第33页防内网外联基于客户端ACL功效，实现了防内网外联功效iNode认证前全部网卡都是逻辑上关闭，会过滤除DHCP外全部IP报文认证经过后仅认证网卡放开，其它网卡依然关闭仅限802.1x和Portal认证方式思索：VPN认证方式是否有必要支持此特征？为何不能过滤DHCP报文？第34页定制客户端启用防内网外联打开客户端管理中，点击客户端定制，选择高级定制。在基本功效项中勾选启用防内网外联功效。第35页混合组网特征由来使用RADIUS报文控制在线用户列表需要考虑：EAD安全认证依赖于RADIUS身份认证建立在线表，

13、而RADIUS在线表需要接入设备支持发送计费开始和计费结束报文。在没有EAP心跳机制和不支持计费更新报文环境下，轻易出现在线用户列表中用户挂死现象。即使与支持计费更新包第三方设备配合，通常也无法支持经过计费更新包下发剩下上网时长等信息，从而无法准确控制在线用户。即使在线重认证能够在一定程度上代替EAP心跳和计费更新包，但各厂家实现各不相同，难以统一处理，可能引发其它问题隐患。第36页混合组网特征原理RADIUS身份认证经过后，客户端获取到安全检验代理IP和端口后即发起安全认证。由策略服务器依据安全认证/心跳/下线报文维持在线表。UAM后台对于计费报文或重认证报文仅做检测和回应，不再更新或删除在

14、线表。经过EAD心跳回应报文返回用户剩下上网时长（接入时段限制、在线加入黑名单、用户被从在线表删除等），以准确控制在线用户。第37页配置混合组网特征该特征基于接入设备实现，同一个接入设备全部用户要么启用要么不启用仅适合用于802.1x认证方式第38页布署混合组网特征注意事项对于能够很好支持RADIUS计费（含开始、结束、更新）报文设备不提议启用该特征。网络环境复杂，而iNode又是基于操作系统安装，EAD心跳丢失可能性比RADIUS报文丢失可能性大多混合组网环境下，服务器动用老化功效来清理在线用户列表机会比传统环境下大多，所以提议在混合组网环境下适当放宽对同一帐号在线用户数量限制。第39页EA

15、D分级布署特征由来经典大型网络结构是一个总部下辖多个分支，而分支下面可能还有分支，各分支之间及与总部间网络相对独立，各自有一批网管人员在维护。总部希望能给分支机构确定安全策略，让各分支应用而不能随意修改。各分支汇总信息能以报表形式上报给总部。第40页分级布署架构第41页使用EAD分级特征前注意事项EAD分级特征是EAD组件特征，仅布署UAM组件是没有分级管理功效。EAD分级特征依赖于ETL数据分析服务器组件及报表组件。EAD分级管理实施应该是自上而下进行布署。即先布署总部,在总部iMC系统中定义其下级节点，并配置好预计下发给下级节点策略。第42页上级节点配置定制安全策略及其相关配置（防病毒软件

16、、补丁、可控软件、流量监控策略等）。定制服务并引用安全策略。配置下级节点：IP、Port、管理员帐号和密码。上下级间通信是经过WEB Service实现。第43页上级节点配置以“服务”为单元给下级节点下发配置。该服务所引用各种策略（主要指安全策略）及策略引用策略（流量监控策略、补丁、可控软件、防病毒软件等）都会下发给下级节点。第44页策略分发标准支持每日定时自动分发和手工分发。首先比较策略更新时间和上次成功下发时间，假如策略更新时间较新则下发。策略会逐层下发下去，中间一级只能将上一级策略直接下发给下级，不能跨级分发。第45页下级节点配置上级结点是在下发时自动配置上，假如上级结点IP地址发生改变

17、时才需要修改。第46页下级节点配置下级结点上报汇总数据配置。第47页分级报表管理查看安全日志汇总统计报表第48页下级节点工作和限制下级节点不能增加/删除服务、安全策略和安全级别，绝大多数配置也不能修改。下级节点不能增加/修改/删除补丁、注册表监控策略、流量监控策略、防病毒软件等信息。下级节点不能修改/删除下发可控软件组，但能够新增，而且能够对安全级别当地新增可控软件组对应处理方式进行修改。下级节点能够修改安全策略中配置ACL以及服务器地址等个性化内容。第49页下级节点工作和限制下级节点能够修改服务中授权信息，以下发VLAN信息。若最近一次下发服务中没有包含当前用户已申请服务，则该状态变为“无效

18、”，申请该服务用户无法经过认证。除服务外，其它之前曾经下发而最近一次没有下发内容（安全策略、补丁、可控软件组等）都会被删除。接入时段策略和接入区域策略不下发。同名服务、安全策略、安全级别下发后，会更新不可修改项。下级节点不再支持业务分权。第50页漫游特征由来在EAD分级环境中，不一样节点所管理用户含有流动性，当A节点用户到B节点出差时，希望能不在B节点增加相关帐号信息就能够接入到网络并能做身份认证和安全检验。即使在B节点上开始宾客帐号能够处理上面问题，但宾客帐号无法区分用户身份，给管理和审计带来不便。用户在B节点认证时，B节点依据其身份（带了A节点某种标识）将其身份认证请求发送到A节点，由A节

19、点进行身份校验。这就是所谓“漫游”。通常将B节点称之为漫游地服务器，而A节点称之为归属地服务器。第51页漫游地服务器配置使能漫游地服务器漫游功效。第52页漫游地服务器配置配置漫游域信息第53页漫游地服务器配置配置漫游域信息，同时定义认证及计费漫游第54页漫游地服务器配置配置漫游域信息下面示例表示漫游地服务器假如收到用户名携带域名后缀为roam认证请求则直接转给IP地址为0归属地服务器处理。第55页归属地服务器配置添加漫游地服务器下面示例表示将漫游地服务器07作为归属地服务器一台认证接入设备添加进来，需确保与漫游地配置密钥一致。第56页漫游中身份认证和安全认证属于A节点用户a到B节点网络中认证时

20、，接入设备将认证请求发送给B节点，B节点再经过RADIUS-proxy功效将其转给A节点校验，完成身份验证。在做身份认证漫游时，B节点将当地安全代理IP和端口下发给iNode客户端，iNode到B节点上做安全认证。因为B节点上没有用户a用户信息，所以需要在B上设置一个“缺省安全策略”，全部漫游用户都用该安全策略进行安全认证。漫游过程中2个节点都会有该用户在线信息。第57页漫游中身份认证和安全认证属于A节点用户a到B节点网络中认证时，接入设备将认证请求发送给B节点，B节点再经过RADIUS-proxy功效将其转给A节点校验，完成身份验证。在做身份认证漫游时，B节点将当地安全代理IP和端口下发给i

21、Node客户端，iNode到B节点上做安全认证。因为B节点上没有用户a用户信息，所以需要在B上设置一个“缺省安全策略”，全部漫游用户都用该安全策略进行安全认证。漫游过程中2个节点都会有该用户在线信息。第58页EAD处理方案概述EAD处理方案特征桌面资产管理EAD处理方案容灾方案目录第59页DAM介绍桌面资产管理（Desktop Asset Management）主要关注于企业信息安全，能够对终端进行全方位监控，确保用户只能合理正当使用企业信息资源，并提供实时和事后审计。第60页DAM软件架构DAM Agent驻留在桌面机操作系统中，执行相关DAM策略，采集终端软硬件资产信息；监控一些敏感资产变

22、更；执行软件分发、外设管理任务。DAM Proxy负责转发iNode客户端桌面服务器交互报文。DAM Server 负责向客户端下发桌面安全相关策略，接收客户端上报相关信息，并存入数据库中。第61页DAM功效概述资产管理资产注册资产查询资产变更管理软件分发FTP方式HTTP方式文件共享方式外设管理U盘拔插、写入监控禁用USB、光驱、软驱、串口、并口、红外、蓝牙、1394、Modem第62页资产注册（一）配置资产编号生成方式支持手工资产编号和自动资产编号两种方式第63页资产注册（二）以手工生成资产编号为例终端第一次上线时提醒输入资产编号，必须与服务器上已录入编号一致服务器返回该资产编号对应资产信

23、息，由终端确认后完成注册第64页资产查询与统计（一）查询已注册资产详细信息，包含操作系统信息、硬件信息、屏保信息、分区列表、逻辑磁盘列表、软件列表、补丁列表、进程列表、服务列表以及共享列表。第65页资产查询与统计（二）支持按各种分类方式统计资产信息并显示报表支持统计资产软件安装情况第66页资产变更管理支持软硬件资产信息变更检验和上报第67页软件分发（一）配置软件分发服务器配置软件分发任务第68页软件分发（二）iNode客户端下载安装程序完成后弹出软件分发管理提醒窗口，用户也能够手工从客户端上查看双机软件分发管理中文件名称开始安装第69页USB监控统计使用USB时间统计写入USB文件第70页外设

24、管理（一）配置外设管理策略，选择需要禁用外设将外设管理策略与资产分组关联第71页外设管理（二）手工启用已经被外设管理策略禁用设备后，将产生外设违规统计第72页业务参数配置资产编号方式资产变更扫描间隔时长心跳相关参数资产策略请求间隔时长第73页EAD处理方案概述EAD处理方案特征桌面资产管理EAD处理方案容灾方案目录第74页逃生工具用户接入逃生工具（简称为“逃生工具”）是CAMS / iMC UAM后台替身。当CAMS / iMC UAM出现诸如进程宕掉、数据库异常、性能下降等故障无法处理认证或计费请求时，逃生工具暂时替换CAMS / iMC UAM处理请求报文以保障用户业务不中止。逃生工具不验

25、证用户信息与用户口令，不做绑定、授权处理，也不启用安全认证，对于请求报文都直接回应成功。 逃生工具以后台服务形式存在，操作系统重新开启后会自动启用逃生工具。第75页逃生工具布署方式逃生工具支持集中式布署（即和iMC UAM布署于同一台服务器上）和独立布署（单独布署在另一台服务器上）。逃生工具和UAM监听一样端口，所以当集中式布署时只能开启二者之一。独立布署时，提议将逃生工具所在服务器配置成和原服务器一样IP地址，并离线放置。当出现故障时直接将原服务器网线拔到逃生工具服务器上，就好像替换备件。不提议配置不一样IP做主备切换。独立布署好处是首先尽可能防止主机操作系统或硬件故障带来影响，其次能够在主

26、机出现故障时直接在现网环境下定位问题，而不用为了开启逃生而将UAM停顿。这么能够尽早定位问题，恢复原服务器。第76页逃生工具优缺点优点有低成本容灾方案，实施及维护非常简单；一个简单易行附加保险，即使是使用了其它容灾方案，依然能够准备一套逃生工具以备不时之需缺点有需要管理员及时发觉故障并手工地切换使用逃生工具；用户业务依然会中止；使用逃生工具期间，将损失认证用户全部接入信息（日志，计费信息等）；因为逃生工具不对认证请求做任何判断，所以在使用逃生工具期间将存在一定安全隐患第77页DBMAN双机备份工作流程设备与主iMC服务器之间通讯中止，发出认证请求或计费请求在一定时间内未收到响应；自动将请求发往备iMC服务器 ，同时将主服务器状态置为block等候一定时间间隔后，再次尝试将请求发往主iMC服务器，若通讯恢复则马上将主服务器状态置为active，从服务器状态不变primarysecondaryX第78页DBMAN双机备份实施步骤在接入设备上配置从认证和从计费服务器secondary authentication *.*.*.* 1812secondary accounting *.*.*.* 1813iMC备服务器申请冷备License登陆备iMC服务器配置台时只含有查看权限，不能修改配置经过配置DBMAN