EAD解决方案介绍PPT课件

1、EAD解决方案介绍,ISSUE 1.3,日期：2009-4-28,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,随着IT应用的不断发展，客户开始意识到对内网终端进行控制和管理的必要性，实施网络接入控制，确保企业网络安全，已是许多企业网客户的迫切需求。 随着EAD解决方案的不断发展，新特性新功能层出不穷。以不断提供易用性和实用性，不断提高客户满意度为出发点，EAD解决方案已经在不知不觉中发生了较大的变化。,引入,了解EAD解决方案架构 熟悉EAD解决方案的主要功能特性 熟悉EAD解决方案的相关配置,课程目标,学习完本课程，您应该能够：,EAD解决方案概述 EAD解决方案特性 桌面资

2、产管理 EAD解决方案的容灾方案,目录,EAD解决方案定义,EAD解决方案定义 终端准入控制（ End User Admission Domination ）解决方案从最终用户的安全控制入手，对接入网络的终端实施企业安全准入策略。EAD解决方案集成了网络准入、终端安全、桌面管理三大功能，帮助维护人员控制终端用户的网络使用行为，确保网络安全。,终端用户安全接入四步曲,安全检查不 合格进入隔 离区修复,隔离区,安全检查,合法用户,非法用户 拒绝入网,身份认证,接入请求,你是谁？,企业网络,动态授权,合格用户,不同用户享受不同的网络使用权限,你安全吗？,你可以做什么？,你在做什么？,安全联动设备,第

3、三方安全相关服务器,EAD解决方案的四个重要组成部分,EAD终端 准入控制 解决方案,iNode智能客户端,iMC服务器,EAD解决方案的业务架构,EAD解决方案的软件架构,所有业务组件均基于iMC平台安装，用于实现各种业务。 EAD组件基于UAM组件安装。 UAM组件包含有：RADIUS服务器、策略服务器以及策略代理服务器 EAD组件包含有：EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理,iMC智能管理平台 （网元、告警、性能、资源）,UAM组件,EAD组件,UBA组件,NTA组件,WSM组件,MVM组件,EAD基本认证流程,iNode客户端,iMC服务器,1. iNode客户端

4、发起认证请求,5. iNode客户端执行安全策略并上报安全检查结果,6. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. iNode客户端请求安全检查项,4. 服务器下发安全检查项,第三方服务器 用于修复终端安全隐患,Internet,安全联动设备,2. 身份认证成功，通知客户端进行安全检查,802.1x认证流程PAP/CHAP,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challenge,EAP-Response/MD5-Password,Acce

5、ss Success(Radius Code=2,隔离ACL),Accounting Request,Accounting Response,EAP-Success,安全检查请求,下发检查项,上报检查结果,监控/修复策略下发,iNode客户端,H3C设备,iMC EAD,安全策略服务器,EAP(code=10),EAP(code=10),Session Control (Radius code=20,安全ACL),802.1x认证流程EAP MD5,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Ac

6、cess Challenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Password,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,安全检查请求,下发检查项,上报检查结果,监控/修复策略下发,iNode客户端,第三方设备,iMC EAD,安全策略服务器,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,EAD业务的基本配置流程,基本配置流程,流量监控,为了对终端用户的

7、网络流量进行监控，EAD解决方案支持异常流量监控特性。管理员设置终端用户流量阈值，iNode客户端根据安全策略服务器的指令，打开流量监控功能，实现异常上报并根据安全策略服务器的指令对用户采取相应的动作。,防病毒软件管理,检查防病毒客户端是否正常启动运行，病毒引擎和病毒库版本是否符合要求，与高级联动类型的防病毒软件联动，还支持设置病毒查杀策略等内容。,软件补丁管理,与微软补丁服务器WSUS Server或SMS Server联动进行软件补丁检查（自动强制升级）。 自定义系统软件补丁检查，可针对系统软件的不同版本自定义补丁检查策略。,可控软件组管理,监控软件安装、进程运行和服务运行。 对于检查类型

8、为“必须安装”或“必须运行”的可控软件组，只要安全检查结果匹配组内一条策略即认为检查通过；对于检查类型为“禁止安装”或“禁止运行”的可控软件组，只要安全检查结果匹配组内的一条策略即认为检查不通过。,注册表监控,监控指定的注册表项中是否存在特性键名及键值。,操作系统密码监控,通过字典文件的方式，检查操作系统密码是否为字典文件中记录的弱密码。,远程桌面连接,提供了对在线用户进行远程登录的功能。网络管理员可以通过远程连接功能对远程终端用户的电脑进行维护和管理。,EAD的四种安全级别,监控模式 无论安全检查结果如何，都提示用户通过安全检查，不弹出安全检查结果页面，不对用户做任何限制。只在服务器一侧记录

9、检查结果以备之后审计。 提醒模式 若安全检查不通过则会提示用户存在安全隐患，但不对用户采取任何动作，不弹出安全检查结果页面。 隔离模式 若安全检查不通过，通知安全联动设备限制用户只能访问隔离区资源。 下线模式 若安全检查不通过，将用户强制下线。,安全级别,安全级别是一组安全检查项的集合 安全检查不通过时，最终执行何种模式的策略取决于未通过的检查项中最严格的模式 不安全提示阈值的功能只能与隔离模式或下线模式配合使用,安全策略,引用安全级别，使能各项安全检查策略，配置动态ACL下发 除了使能这些安全检查策略之外，需要注意同时使能实时监控的功能,服务,服务是最终用户使用网络的一个途径，它由预先定义的

10、一组网络使用特性组成，其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。 在服务配置中引用已有的安全策略。 只能在创建新服务时增加安全策略，如果一个已有的服务并未引用安全策略，则不能通过修改这个服务的方式引用安全策略。,策略服务器参数配置,策略服务器参数配置,用户分组,用户分组不再和服务关联，而是只和操作员关联。 针对特定的用户分组执行特定的策略。 与指定用户分组关联的操作员才能管理该分组内的用户以及产生的相关用户信息。,业务分组,将一些个性化策略归入指定的业务分组，只有与该业务分组关联的操作员，才能够管理该业务分组中的策略。,基于iNode客户端的ACL下发,传统

11、的基于设备的ACL下发方式： 并非所有设备都支持ACL下发 设备的ACL资源有限 用户区分的角色越多，设备上的ACL配置越复杂 无法通过服务器直接查看下发的ACL中所包含的具体规则,基于iNode客户端的ACL下发,iNode客户端,1. iNode客户端发起认证请求,7. iNode客户端执行安全策略并上报安全检查结果,8. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. iNode客户端主动请求安全检查项 声明支持ACL下发特性,4. 服务器下发安全检查项 提示客户端请求ACL,第三方服务器 用于修复终端安全隐患,Internet,安全联动设备,2. 身份认证成功，通知客户端

12、进行安全检查,5. 客户端主动请求ACL,iMC服务器,6. 同时下发隔离ACL和安全ACL（包含所有规则）,基于iNode客户端的ACL下发,配置ACL策略,基于iNode客户端的ACL下发,在安全策略中引用ACL,定制客户端启用ACL功能,打开客户端管理中，点击客户端定制，选择高级定制。在基本功能项中勾选启用ACL功能。,防内网外联,基于客户端ACL功能，实现了防内网外联功能 iNode认证前所有网卡都是逻辑上关闭的，会过滤除DHCP外的所有IP报文 认证通过后仅认证网卡放开，其他网卡仍然关闭 仅限802.1x和Portal认证方式,思考： VPN认证方式是否有必要支持此特性？ 为何不能过

13、滤DHCP报文？,定制客户端启用防内网外联,打开客户端管理中，点击客户端定制，选择高级定制。在基本功能项中勾选启用防内网外联功能。,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,DAM简介,桌面资产管理（Desktop Asset Management）主要关注于企业的信息安全，可以对终端进行全方位的监控，保证用户只能合理合法的使用公司的信息资源，并提供实时和事后的审计。,DAM软件架构,DAM Agent驻留在桌面机操作系统中，执行相关的DAM策略，采集终端的软硬件资产信息；监控一些敏感资产的变更；执行软件分发、外设管理任务。 DAM Proxy负责转

14、发iNode客户端桌面服务器的交互报文。 DAM Server 负责向客户端下发桌面安全相关策略，接受客户端上报的相关信息，并存入数据库中。,DAM功能概述,资产管理 资产注册 资产查询 资产变更管理 软件分发 FTP方式 HTTP方式 文件共享方式 外设管理 U盘的拔插、写入监控 禁用USB、光驱、软驱、串口、并口、红外、蓝牙、1394、Modem,资产注册（一）,配置资产编号的生成方式 支持手工资产编号和自动资产编号两种方式,资产注册（二）,以手工生成资产编号为例 终端第一次上线时提示输入资产编号，必须与服务器上已录入的编号一致 服务器返回该资产编号对应的资产信息，由终端确认后完成注册,资

15、产查询与统计（一）,查询已注册的资产详细信息，包括操作系统信息、硬件信息、屏保信息、分区列表、逻辑磁盘列表、软件列表、补丁列表、进程列表、服务列表以及共享列表。,资产查询与统计（二）,支持按多种分类方式统计资产信息并显示报表 支持统计资产的软件安装情况,资产变更管理,支持软硬件资产信息变更的检查和上报,软件分发（一）,配置软件分发服务器 配置软件分发任务,软件分发（二）,iNode客户端下载安装程序完成后弹出软件分发管理的提示窗口，用户也可以手工从客户端上查看 双机软件分发管理中的文件名称开始安装,USB监控,记录使用USB的时间 记录写入USB的文件,外设管理（一）,配置外设管理策略，选择需

16、要禁用的外设 将外设管理策略与资产分组关联,外设管理（二）,手工启用已经被外设管理策略禁用的设备后，将产生外设违规记录,业务参数配置,资产编号方式 资产变更扫描间隔时长 心跳相关参数 资产策略请求间隔时长,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,逃生工具,用户接入逃生工具（简称为“逃生工具”）是CAMS / iMC UAM后台的替身。当CAMS / iMC UAM出现诸如进程宕掉、数据库异常、性能下降等故障无法处理认证或计费请求时，逃生工具暂时替代CAMS / iMC UAM处理请求报文以保障用户的业务不中断。逃生工具不验证用户信息与用户口令，不做

17、绑定、授权处理，也不启用安全认证，对于请求报文都直接回应成功。 逃生工具以后台服务形式存在，操作系统重新启动后会自动启用逃生工具。,逃生工具的部署方式,逃生工具支持集中式部署（即和iMC UAM部署于同一台服务器上）和独立部署（单独部署在另一台服务器上）。 逃生工具和UAM监听同样的端口，所以当集中式部署时只能启动两者之一。 独立部署时，建议将逃生工具所在服务器配置成和原服务器一样的IP地址，并离线放置。当出现故障时直接将原服务器的网线拔到逃生工具服务器上，就好像替换备件。不建议配置不同的IP做主备切换。 独立部署的好处是首先尽量避免主机操作系统或硬件故障带来的影响，其次可以在主机出现故障时直

18、接在现网环境下定位问题，而不用为了启动逃生而将UAM停止。这样可以尽早定位问题，恢复原服务器。,逃生工具的优缺点,优点有 低成本的容灾方案，实施及维护非常简单； 一种简单易行的附加保险，即使是使用了其他容灾方案，仍然可以准备一套逃生工具以备不时之需 缺点有 需要管理员及时发现故障并手工地切换使用逃生工具； 用户业务仍然会中断； 使用逃生工具期间，将损失认证用户的所有接入信息（日志，计费信息等）； 由于逃生工具不对认证请求做任何判断，所以在使用逃生工具期间将存在一定的安全隐患,DBMAN双机备份工作流程,设备与主iMC服务器之间通讯中断，发出的认证请求或计费请求在一定时间内未收到响应； 自动将请

19、求发往备iMC服务器 ，同时将主服务器状态置为block 等待一定的时间间隔后，再次尝试将请求发往主iMC服务器，若通讯恢复则立即将主服务器状态置为active，从服务器状态不变,primary,secondary,X,DBMAN双机备份实施步骤,在接入设备上配置从认证和从计费服务器 secondary authentication *.*.*.* 1812 secondary accounting *.*.*.* 1813 iMC备服务器申请冷备License 只需在主iMC服务器上收集主机信息并申请License，拿到的唯一一个License文件同时在主备机上注册 登陆备iMC服务器的配置台时只具有查看的权限，不能修改配置 通过配置DBMAN工具实现两台iMC服务器之间的数据自动同步（每天同步一次主备服务器的数据库） 主iMC服务器上的DBMAN工具每天凌晨定时自动备份本机的数据库； 主iMC将备份出来的数据库文件通过FTP上传到备iMC服务器上； 备iMC服务器上的DBMAN工具检测到数据库备份文件后立即执行数据库还原，从而达到主备数据库同步的目的,DBMAN双机备份方案的优缺点,优点有： 双机自成一套完整的认证体系，能够解决所有的软硬件问题； 双机切换期间，在还没有自动同步数据库之前用户数据库可以保留； 实施及维护起来较方便； 缺点有： 用户的业务仍然会中断 特定环境下