hcie-security内容修订17套第二部分hc agile controller产品概述

修订记录课程编码适用产品产品版本课程版本ISSUEHC13031091AgileControllerV100R0011.00开发/优化者时间审核人开发类型（新开发/优化）陈炎雄2014-6-30莫雯新开发丁祖贤2015-4-21优化本页不打印HC13031091

AgileController产品概述

前言在企业网络中对于接入用户的策略管理和网络的安全监控是很重要的工作，但是基于传统的网络管理无法精确、统一管理用户策略和监控网络安全。为解决这些问题，华为公司推出了AgileController产品。AgileController产品具有操作简单、功能齐全等特点。本课程介绍AgileController软硬件组成和常见应用场景。目标学完本课程后，您将能够:列举AgileController的亮点描述AgileController的软硬件组成描述AgileController的应用场景目录AgileController产品定位AgileController产品概述AgileController应用场景移动化势不可挡2011年，移动智能终端出货量首次超过PC；Gartner预测：2015年，Tablets销量达3.26亿台，智能手机销量达10亿台（占手机市场比重50%），企业办公人群使用比例为最高。Sales(millionsofunites)20082009201020115004003002001000Source:Gartner,iSuppliMarketIntelligenceYearComputingDevices–YearlySalesTabletsSmartphonesPCs如何快速在企业实现移动化有线无线接入管理在移动化时代，有线无线同时存在，用户可能同时拥有移动或者固定终端，需要实现统一管理。一致体验保障移动化，追求随时随地，一致的体验，网络策略需要能够随着用户、应用快速调整。移动应用快速推广当企业需要部署新的应用，网络能够快速、灵活调整，以适应变化。移动化趋势，呼唤一致的业务体验网络现状静态网络通常由管理员手动配置。当开通新业务时，网络无法快速变更，以适应新业务诉求。虚拟化要求高度自动化移动化要求策略灵活调整移动化、虚拟化趋势不可阻挡UserA移动移动AP1AP2PolicyVMotion迁移服务器服务器数据中心网络架构网络配置策略如何随着虚拟机的迁移而快速变更？整网安全策略及接入策略如何随用户接入位置的改变而快速变更？用户权限用户带宽安全策略应用策略工作组…14万条用户配置，怎么办呀？新业务部署周期，关系企业能否抢得先机传统网络接入方式、位置固定，攻击点和攻击手段单一。移动化后，办公场所无限扩展，接入终端非常丰富，导致攻击点和攻击手段也多样化。WAN/Internet单点有效防御外部攻击WAN/Internet防火墙单点防御失效移动终端攻击APAP外部传统攻击AP无线窃听攻击移动网络攻击传统边界消失，导致防火墙单点防御失效AgileController,智慧的园区大脑

APAPLSW核心接入汇聚LSW出口分支网L2SWAR分支网L2SWAR互联网接入WAN/InternetNGFW/SVNAgileController安全资源中心NGFWLSWLSW功能组件功能描述接入控制组件提供基于5W1H的策略管理，支持MAC/802.1x/Portal/SACG认证。访客管理组件提供访客账号自助注册管理，

支持Portal页面内容自定义和页面推送。业务随行组件基于安全组的策略矩阵与VIP体验保障，让网络资源跟随人移动，保障策略一致，体验一致。业务编排组件将原来物理设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态和位置，针对具体的业务，引流至这些业务的需要处理的服务结点。安全协防组件收集安全日志与事件，通过大数据关联分析，识别高危资产和区域，评估全网安全态势，帮助用户实施全网防护和主动防御。终端安全组件提供丰富的安全策略，提升终端安全等级，阻止不安全的终端以及不满足企业安全策略的终端接入网络。统一策略平台AgileControllerUsersUsersUsersUsers有线无线Whose:谁的设备(公司标配、BYOD设备)What:什么设备接入(PC、iOS、Andorid)How:如何接入(有线、无线、VPN)Who:谁接入了网络(员工、访客)Where:从什么地方接入(公司、家里)When:什么时间接入(上班时间、下班时间)123456有线AgileController：基于5W1H情景感知敏捷交换机/随板AC数据中心AgileControllerWAN/InternetWAN/InternetVIP员工远程接入出差用户企业分支企业园区VIP优先级保障权限策略带宽保障执行点设备NGFWSVN业务流策略VIP远程接入资源保障1、组/策略定义和下发同步2、用户认证上线，用户组识别3、策略执行交换机：S12700/S9700/S7700/S5720HINGFW：USG6300/6500/6600系列SVN：SVN5800系列安全保障认证点设备AgileController：全网策略统一管理WAN/Internet财务员工访问财务数据数据中心敏捷交换机/随板ACStep1业务流策略安全资源中心Step1业务流策略结合敏捷园区中的安全资源动态分配方案，可以实现在认证点交换机上对特定组流量按照指定的编排顺序进行流量调度。在Controller中配置基于组的安全资源调用策略，规定流量需要被哪些安全设备处理，以及处理的先后顺序。例子：财务员工访问财务数据的流量须要引到安全资源中心进行安全控制；其它流量不进行流策略。Step2应用安全策略NGFW根据接收到的业务流进行深度应用识别（6000+应用识别能力），并基于用户组和应用进行安全策略控制，包括：阻断、IPS、防病毒、内容过滤。例子：研发员工BYOD工作时间的流量引到安全资源中心，对其非工作应用（比如社交应用、游戏）进行过滤。Step2应用安全策略业务流路径AgileController：基于用户组的业务流安全策略安全设备网络设备终端管理主机设备数据库……扫描器数据压缩数据归并格式标准化日志日志关联分析数据采集

数据处理SNMPTrap第三方接口安全响应AgileController通过对全网设备上报海量日志进行关联分析，快速发现安全事件并做出响应。AgileController支持160多类设备的日志采集和识别关联分析

强大的关联分析引擎：跨设备、跨类型、多条事件进行关联分析能力；基于规则、分组、时间、计数多维度分析。常用关联规则(usercase):内网接入威胁类网络和业务威胁类安全运维类可定制化

事件处理建议SMSE-Mail安全策略下发AgileController：基于大数据的全网安全日志采集、关联分析与响应目录AgileController产品定位AgileController产品概述AgileController应用场景AgileController产品架构服务器侧网络接入设备用户侧业务管理器(SM)业务控制器(SC)安全态势管理器(SV)客户端WebPortal系统自带802.1x客户端(windows/linux/MAC/Android/iOS)防火墙AR交换机AP网络资源物理网络接入控制组件访客管理组件业务随行组件业务编排组件安全协防组件终端安全组件网络拓扑用户信息位置信息权限AgileControllerAgileController软件功能全景图接入控制MAC认证用户终端以MAC地址作为身份凭据到认证服务器进行认证。主要用于IP电话、打印机等哑终端设备。802.1X认证使用EAP（ExtensibleAuthenticationProtocol）认证协议，实现客户端、设备端和认证服务器之间认证信息的交换。

可与华为全系列交换机、路由器及Wlan设备以及第三方标准802.1x交换机联动。Portal认证也称为WEB认证，用户可以通过Web认证页面，输入用户帐号信息，实现对终端用户身份的认证。可与华为全系列交换机、路由器及Wlan设备联动。SACG认证采用USG防火墙旁挂在路由器或者交换机，通过策略路由控制终端访问。MAC认证802.1X认证Portal认证SACG认证访客区域办公区域哑终端VLAN1SSID1SSID2VLAN2全面的准入控制技术，适用各种网络丰富的用户管理特性数字证书第三方认证系统普通账号研发财务市场访客场景：企业无身份数据系统，采用AgileController自身的数据库；普通账号是管理员创建的账号（包括用户名密码账号、MAC地址账号、访客账号等）。场景：适用于企业已有身份数据系统，可与AD/LDAP联动；身份数据源储存在MicrosoftAD域控制器或者LDAP服务器上。可以同时支持多个AD/LDAP数据源。场景：强认证场景，企业已有数字证书认证；支持CSP(CryptographicServiceProvider)接口的USBKey，利用USBKey的签名和加密功能，完成对终端用户身份的确认和验证。如：大明五洲ESAFE上海维豪、Welhop、浙江汇信。灵活动态授权策略员工组AgileController123访客组AP交换机AC游客组策略配置带宽授权：30~50Kbps；ACL授权：拒绝访问内部资源；业务VLAN：游客业务VLAN；用户隔离：用户间禁止通信。员工组策略配置带宽授权：2Mbps；ACL授权：可以访问公司业务平台；业务VLAN：员工业务VLAN；用户隔离：允许组内用户通信，禁止组间用户通信。账号、用户组绑定访客账号----游客组策略；员工账号----员工组策略；VIP账号----VIP组策略。用户认证Radius下发用户组至AC\SWAC\SW执行用户组策略VIP组策略配置带宽授权：3Mbps；ACL授权：可以访问公司业务平台；业务VLAN：VIP业务VLAN；用户隔离：允许组内用户通信，允许组间用户通信。VIP组访客管理PCsPhones注册审批分发认证审计注销账号申请用户认证审计及注销访客InternetWirelessWired

NetworkACSwitchASG注册

员工申请

自助申请审批

自动审批

管理员审批接待人审批分发手机SMSEmail

Web审计及注销

用户上下线审计上网行为审计

到期后自动注销

定时清理账号认证

用户名/密码认证passcode认证

vlan/acl权限隔离L3层GRE全生命周期访客管理定制化企业门户展示方案简述：通过Portal自定义方式，为企业提供个性化的展示界面。企业可自主定制Portal界面展示信息。方案亮点：企业界面风格统一。企业形象展示。相关产品：WLAN无线网络。Portal&认证服务器：AgileController注册页面定制认证页面定制页面模板管理基于位置的信息推送用户名密码欢迎访问XX本店提供的免费WLAN网络注册这里有Wi-Fi，太好了！速度加入！Portal&认证&Web服务器这里有促销啊，马上去逛逛！AP相关产品:WLAN无线网络。Portal&认证服务器：AgileController。Web服务器：提供定制化的广告内容。方案简述:通过Portal认证方式向无线智能终端提供网络接入和互联网服务。在Portal重定向消息中携带SSID和APMAC。Web服务器根据AP信息获取关联此AP的广告内容，在Portal认证界面上推送此广告信息。方案亮点:基于位置的广告推送，广告效果佳。精细的业务广告运营，吸引商户的加盟合作，增加盈利方式。在Portal重定向消息中携带SSID和APMAC，推送此AP关联景点的信息。安全协防CampusController支持130多类设备的日志采集和识别，包括主流的主机系统、数据库、网络设备、安全设备和存储设备等。支持多种日志采集方式：Syslog、ODBC/JDBC、SNMP、通用文件和专用日志采集接口。安全响应日志采集关联分析安全态势日志采集——多类设备日志采集

安全响应日志采集关联分析安全态势准备工作：熟悉安全威胁产生流程的专家，针对某安全事件梳理出事件触发网络和安全设备上产生的日志和顺序。关联流程：

用户创建一个关联规则（Correlationrule）。

用户将一个或多个动作关联到该关联规则。

用户在关联引擎上部署该规则。

关联引擎自动处理实时事件流中的事件，判断这些事件是否触发处于激活状态的规则，并触发规则的关联动作。

如果事件符合该规则对应的条件，系统产生关联事件并执行关联动作。管理员①管理员在iRadarWeb上创建一个关联规则。②将动作关联到关联规则上。③将关联规则部署到关联分析引擎上。采集日志④监控事件⑤触发规则产生安全事件动作执行安防专家针对某安全事件梳理出网络和安全设备产生的日志和发生顺序。专家CampusController-iRadarCampusController-SecurityView交换机管理员关联分析——关联流程原理

安全响应日志采集关联分析安全态势整网安全态势：基于地理位置和关键资产的安全态势展示，通过威胁度清晰直观展示存在风险的区域和资产。多维度威胁展示：基于拓扑展示威胁源及攻击路线；TOP10高位资产、TOPN告警、TOPN设备阻断等。实时安全事件列表：安全事件分级，安全事件的处理状态等详情展示。整网安全态势某区域关键资产安全态势安全态势——多维度安全展示

安全响应日志采集关联分析安全态势安全响应方式：告警：向管理员发送邮件或短信对实时发生的安全事件进行告警信息通知；策略联动：对交换机下发阻断或引流策略。安全响应接口：邮件告警：Controller通过邮件服务器发送告警邮件；短信告警：Controller通过短信猫或短信网关发送告警短信；策略联动：Controller通过SSH接口下发联动策略命令。安全设备网络设备策略中心第三方系统交换机管理员SSH接口日志采集模块Syslog接口iRadar主机CampusController-SecurityView关联分析模块告警接口邮件服务器短信网关邮件告警短信告警CampusController-iRadar原始日志数据流格式日志数据流安全事件安全响应安全响应——多种安全事件响应方式

终端安全管理终端安全加固与桌面管理及防泄密一体化信息泄密防护终端安全加固桌面管理网络身份识别终端安全加固防病毒检查，可疑进程/注册项；补丁管理、安全加固。桌面管理软件分发+资产管理+远程协助；终端防泄密移动存储管理+网络访问监控+非法外联监控+文件操作审计。关键特性目录AgileController产品定位AgileController产品概述AgileController应用场景接入控制&访客管理无线接入推荐部署方案InternetAP员工笔记本分支AC总部园区EDCASGWAN访客AP员工访客SSIDEmployeeSSIDGuestACGREGREAgileController员工CAPWAP访客CAPWAPGRE隧道1234SSIDEmployeeSSIDGuest部署方案：AP空口侧分别给予访客、员工独立的SSID；员工SSID实施802.1X接入控制方案，启用WPA，在无线链路上开启安全加密功能，保障员工对企业数据访问的安全性；访客SSID实施Portal接入控制方案，为了简化访客接入，无线链路侧不开启WPA，不提供无线链路的加密功能；对于需要在无线设备上部署NAC客户端的PC设备，推荐通过访客SSID接入网络，并且通过访客SSID下载和部署NAC客户端；在访客能够访问的开放区域，部署PolicyCenter的独立Portal服务器，提供给访客申请访客账号，以及进行访客身份认证；为了防止访客对企业内部网络的访问，在AC和AP之间建立独立的隧道，以及在AC和互联网出口上建立隧道，是的访客流量只能通过WIFI访问互联网。约束：当前不支持单SSID做1X接入和下载NAC客户端。已有有线网络的接入推荐部署方案核心层汇聚层接入层访客区域研发区域财务区域市场区域NAC认证点园区出口21NAC认证点AgileController服务器认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域部署方案：核心层交换机旁路部署SACG网关，通过策略路由将用户的上行流量引流到SACG网关进行控制。依赖：通常要求部署NAC客户端。约束：SACG不支持对哑终端实施控制，该方案不适合用于终端区域使用IPPHONE的场景；如果网络中实施了IPPHONE，则需要把SACG部署在数据中心前，避免因为SACG隔离了IPPHONE的流量。新建园区二层接入推荐部署方案核心层汇聚层接入层PC/哑终端研发区域PC/哑终端市场区域园区出口21认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域L3路由L2交换AgileController服务器部署方案一：在接入层交换机开启802.1X功能，提供基于端口的准入控制；开启802.1X的时候，启用其上的GUESTVLAN功能，是的终端在安装NAC客户端之前能够接入/下线客户端；网络中部署DHCP，给不同的VLAN分配不同的IP地址，并且在三层交换机上针对GUESTVLAN配置ACL，限制GUESTVLAN能够访问的网络范围；哑终端采用MAC旁路认证的方式接入网络。依赖：客户的二层交换机均支持802.1X，并且支持GUESTVLAN的802.1X；目前哑终端的MAC旁路认证，仅支持HW的交换机。新建园区二层接入推荐部署方案(续)部署方案二：在接入层/汇聚交换机开启802.1X功能，提供基于端口的准入控制（接入控制点可以是接入侧二层交换机，也可以是网关位置的三层交换机）；在交换机上配置FREE-RULE和WEB推送功能，支持NAC客户端快速安装；哑终端采用MAC旁路认证的方式，接入网络。依赖：实施802.1X的交换机支持FREE-RULE和WEB推送功能；目前了解的情况：1)H3C的802.1X交换机支持该功能；2)HW的802.1X交换机支持该功能。目前哑终端的MAC旁路认证，仅支持HW的交换机。核心层汇聚层接入层PC/哑终端研发区域PC/哑终端市场区域园区出口21认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域L3路由L2交换AgileController服务器安全协防IPSecVPN企业内网第三方域管理服务器Local认证后域1认证前域Local核心网络VPNGateway运维区企业外网Partner日志服务器研发区BranchIPSecVPNSSLVPN服务器办公区数据中心ASGDMZE-mailWebApplication办公区FWFWFWFWFWFWFWFWFW认证后域2

业务服务器堡垒主机内网接入威胁某员工电脑病毒扩散终端网络攻击地址篡改冲突区域网络攻击交换机遭受可疑攻击网络和业务威胁服务器DDOS/DOS服务器渗透攻击边界防火墙资源告警安全运维不同设备登陆密码猜解（网络版敲门）运维违规（绕过堡垒机）关键资产日志长期未上报对企业园区面临的3类常见威胁设计了11个usecase内置在Controller中典型场景——通过内置usecase发现网络安全威胁场景举例：终端网络攻击

场景描述：终端有异常网络行为，存在中毒或恶意风险阻断：阻断该终端IP的访问发送告警：终端IP地址（saddr）有扫描行为告警：终端的DHCP等报文速率超过阈值（IP地址：saddr）引流：该IP地址流量从交换机引流到NGFW处理响应动作可选动作事件阀值匹配条件事件源关联缓冲值事件阀值匹配条件事件源关联缓冲值事件类型ID为超过整机arp-miss限速值Everyone恶意IP=saddrfromanyAll交换机事件类型ID为收到DHCP、ARP、IGMP攻击Everyone恶意IP=saddrfromanyAll交换机响应动作交换机单一事件设备受到攻击时，打印攻击源信息（DHCP、ARP、IGMP）(接入或汇聚）超过了整机arp-miss限速值（网关）翻译为关联规则外联前置系统核心业务系统一般业务系统普通业务终端对外服务系统核心业务区边界普通业务区边界外联前置区边界DMZ区边界网管区终端接入边界核心业务终端CampusController

某机构的办公网，一台终端访问恶意网站后感染新型0-Day蠕虫病

毒，然后迅速通过各子网扩散，终端上所安装的杀毒软件和安全设备无法识别。Process01终端攻击过程中产生的数据报文导致交换机发送“超过了整机arp-miss限速值”日志，对机构办公网的可用性造成严重影响。Process02Process03交换机上的出现报文超过arp-miss限速值日志或设备受到攻击日志，日志上送至CampusController，通过关联分析产生安全事件并产生告警。Process04安全管理员收到邮件和短信告警后，在CampusController确认安全事件并下发预定义的联动策略。场景举例：终端网络攻击

终端安全终端安全加固确保接入终端满足企业要求

保护AV等安全产品的投资价值。减少恶意代码传播，提升资源可用性，减少服务中断风险。减少信息泄密风险。降低终端威胁网络的风险。提供准确实时的企业遵从信息。业界最丰富的安全检查策略针对不同的用户角色或部门定义不同安全规则。支持企业安全管理制度的演进。基于角色的动态策略