05 EAD解决方案介绍.ppt

1、EAD解决方案介绍,ISSUE 1.3,日期：2009-4-28,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,随着IT应用的不断发展，客户开始意识到对内网终端进行控制和管理的必要性，实施网络接入控制，确保企业网络安全，已是许多企业网客户的迫切需求。 随着EAD解决方案的不断发展，新特性新功能层出不穷。以不断提供易用性和实用性，不断提高客户满意度为出发点，EAD解决方案已经在不知不觉中发生了较大的变化。,引入,了解EAD解决方案架构 熟悉EAD解决方案的主要功能特性 熟悉EAD解决方案的相关配置,课程目标,学习完本课程，您应该能够：,EAD解决方案概述 EAD解决方案特性 桌面资

2、产管理 EAD解决方案的容灾方案,目录,EAD解决方案定义,EAD解决方案定义 终端准入控制（ End User Admission Domination ）解决方案从最终用户的安全控制入手，对接入网络的终端实施企业安全准入策略。EAD解决方案集成了网络准入、终端安全、桌面管理三大功能，帮助维护人员控制终端用户的网络使用行为，确保网络安全。,终端用户安全接入四步曲,安全检查不 合格进入隔 离区修复,隔离区,安全检查,合法用户,非法用户 拒绝入网,身份认证,接入请求,你是谁？,企业网络,动态授权,合格用户,不同用户享受不同的网络使用权限,你安全吗？,你可以做什么？,你在做什么？,安全联动设备,第

3、三方安全相关服务器,EAD解决方案的四个重要组成部分,EAD终端 准入控制 解决方案,iNode智能客户端,iMC服务器,EAD解决方案的业务架构,EAD解决方案的软件架构,所有业务组件均基于iMC平台安装，用于实现各种业务。 EAD组件基于UAM组件安装。 UAM组件包含有：RADIUS服务器、策略服务器以及策略代理服务器 EAD组件包含有：EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理,iMC智能管理平台 （网元、告警、性能、资源）,UAM组件,EAD组件,UBA组件,NTA组件,WSM组件,MVM组件,EAD基本认证流程,iNode客户端,iMC服务器,1. iNode客户端

4、发起认证请求,5. iNode客户端执行安全策略并上报安全检查结果,6. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. iNode客户端请求安全检查项,4. 服务器下发安全检查项,第三方服务器 用于修复终端安全隐患,Internet,安全联动设备,2. 身份认证成功，通知客户端进行安全检查,802.1x认证流程PAP/CHAP,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challenge,EAP-Response/MD5-Password,Acce

5、ss Success(Radius Code=2,隔离ACL),Accounting Request,Accounting Response,EAP-Success,安全检查请求,下发检查项,上报检查结果,监控/修复策略下发,iNode客户端,H3C设备,iMC EAD,安全策略服务器,EAP(code=10),EAP(code=10),Session Control (Radius code=20,安全ACL),802.1x认证流程EAP MD5,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Ac

6、cess Challenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Password,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,安全检查请求,下发检查项,上报检查结果,监控/修复策略下发,iNode客户端,第三方设备,iMC EAD,安全策略服务器,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,EAD业务的基本配置流程,基本配置流程,流量监控,为了对终端用户的

7、网络流量进行监控，EAD解决方案支持异常流量监控特性。管理员设置终端用户流量阈值，iNode客户端根据安全策略服务器的指令，打开流量监控功能，实现异常上报并根据安全策略服务器的指令对用户采取相应的动作。,防病毒软件管理,检查防病毒客户端是否正常启动运行，病毒引擎和病毒库版本是否符合要求，与高级联动类型的防病毒软件联动，还支持设置病毒查杀策略等内容。,软件补丁管理,与微软补丁服务器WSUS Server或SMS Server联动进行软件补丁检查（自动强制升级）。 自定义系统软件补丁检查，可针对系统软件的不同版本自定义补丁检查策略。,可控软件组管理,监控软件安装、进程运行和服务运行。 对于检查类型

8、为“必须安装”或“必须运行”的可控软件组，只要安全检查结果匹配组内一条策略即认为检查通过；对于检查类型为“禁止安装”或“禁止运行”的可控软件组，只要安全检查结果匹配组内的一条策略即认为检查不通过。,注册表监控,监控指定的注册表项中是否存在特性键名及键值。,操作系统密码监控,通过字典文件的方式，检查操作系统密码是否为字典文件中记录的弱密码。,远程桌面连接,提供了对在线用户进行远程登录的功能。网络管理员可以通过远程连接功能对远程终端用户的电脑进行维护和管理。,EAD的四种安全级别,监控模式 无论安全检查结果如何，都提示用户通过安全检查，不弹出安全检查结果页面，不对用户做任何限制。只在服务器一侧记录

9、检查结果以备之后审计。 提醒模式 若安全检查不通过则会提示用户存在安全隐患，但不对用户采取任何动作，不弹出安全检查结果页面。 隔离模式 若安全检查不通过，通知安全联动设备限制用户只能访问隔离区资源。 下线模式 若安全检查不通过，将用户强制下线。,安全级别,安全级别是一组安全检查项的集合 安全检查不通过时，最终执行何种模式的策略取决于未通过的检查项中最严格的模式 不安全提示阈值的功能只能与隔离模式或下线模式配合使用,安全策略,引用安全级别，使能各项安全检查策略，配置动态ACL下发 除了使能这些安全检查策略之外，需要注意同时使能实时监控的功能,服务,服务是最终用户使用网络的一个途径，它由预先定义的

10、一组网络使用特性组成，其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。 在服务配置中引用已有的安全策略。 只能在创建新服务时增加安全策略，如果一个已有的服务并未引用安全策略，则不能通过修改这个服务的方式引用安全策略。,策略服务器参数配置,策略服务器参数配置,用户分组,用户分组不再和服务关联，而是只和操作员关联。 针对特定的用户分组执行特定的策略。 与指定用户分组关联的操作员才能管理该分组内的用户以及产生的相关用户信息。,业务分组,将一些个性化策略归入指定的业务分组，只有与该业务分组关联的操作员，才能够管理该业务分组中的策略。,基于iNode客户端的ACL下发,传统

11、的基于设备的ACL下发方式： 并非所有设备都支持ACL下发 设备的ACL资源有限 用户区分的角色越多，设备上的ACL配置越复杂 无法通过服务器直接查看下发的ACL中所包含的具体规则,基于iNode客户端的ACL下发,iNode客户端,1. iNode客户端发起认证请求,7. iNode客户端执行安全策略并上报安全检查结果,8. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. iNode客户端主动请求安全检查项 声明支持ACL下发特性,4. 服务器下发安全检查项 提示客户端请求ACL,第三方服务器 用于修复终端安全隐患,Internet,安全联动设备,2. 身份认证成功，通知客户端

12、进行安全检查,5. 客户端主动请求ACL,iMC服务器,6. 同时下发隔离ACL和安全ACL（包含所有规则）,基于iNode客户端的ACL下发,配置ACL策略,基于iNode客户端的ACL下发,在安全策略中引用ACL,定制客户端启用ACL功能,打开客户端管理中，点击客户端定制，选择高级定制。在基本功能项中勾选启用ACL功能。,防内网外联,基于客户端ACL功能，实现了防内网外联功能 iNode认证前所有网卡都是逻辑上关闭的，会过滤除DHCP外的所有IP报文 认证通过后仅认证网卡放开，其他网卡仍然关闭 仅限802.1x和Portal认证方式,思考： VPN认证方式是否有必要支持此特性？ 为何不能过

13、滤DHCP报文？,定制客户端启用防内网外联,打开客户端管理中，点击客户端定制，选择高级定制。在基本功能项中勾选启用防内网外联功能。,混合组网特性的由来,使用RADIUS报文控制在线用户列表需要考虑： EAD安全认证依赖于RADIUS身份认证建立的在线表，而RADIUS在线表需要接入设备支持发送计费开始和计费结束报文。 在没有EAP心跳机制和不支持计费更新报文的环境下，容易出现在线用户列表中用户挂死的现象。 即使与支持计费更新包的第三方设备配合，通常也无法支持通过计费更新包下发的剩余上网时长等信息，从而无法准确控制在线用户。 虽然在线重认证可以在一定程度上代替EAP心跳和计费更新包，但各厂家实现

14、各不相同，难以统一处理，可能引发其他问题隐患。,混合组网特性原理,RADIUS身份认证通过后，客户端获取到安全检查代理的IP和端口后即发起安全认证。 由策略服务器根据安全认证/心跳/下线报文维持在线表。 UAM后台对于计费报文或重认证报文仅做检测和回应，不再更新或删除在线表。 通过EAD心跳回应报文返回用户剩余上网时长（接入时段限制、在线加入黑名单、用户被从在线表删除等），以精确控制在线用户。,配置混合组网特性,该特性基于接入设备实现，同一个接入设备的所有用户要么启用要么不启用 仅适用于802.1x认证方式,部署混合组网特性的注意事项,对于可以很好支持RADIUS计费（含开始、结束、更新）报文

15、的设备不建议启用该特性。 网络环境复杂，而iNode又是基于操作系统安装，EAD心跳丢失的可能性比RADIUS报文丢失的可能性大的多 混合组网环境下，服务器动用老化功能来清理在线用户列表的机会比传统环境下大的多，因此建议在混合组网环境下适当放宽对同一帐号的在线用户数量限制。,EAD分级部署特性的由来,典型的大型网络结构是一个总部下辖多个分支，而分支下面可能还有分支，各分支之间及与总部间网络相对独立，各自有一批网管人员在维护。 总部希望能给分支机构确定安全策略，让各分支应用而不能随意修改。 各分支的汇总信息能以报表的形式上报给总部。,分级部署架构,使用EAD分级特性前的注意事项,EAD分级特性是

16、EAD组件的特性，仅部署UAM组件是没有分级管理功能的。 EAD分级特性依赖于ETL数据分析服务器组件及报表组件。 EAD分级管理的实施应该是自上而下进行部署。即先部署总部,在总部iMC系统中定义其下级节点，并配置好预计下发给下级节点的策略。,上级节点配置,定制安全策略及其相关的配置（防病毒软件、补丁、可控软件、流量监控策略等）。 定制服务并引用安全策略。 配置下级节点：IP、Port、管理员帐号和密码。上下级间的通信是通过WEB Service实现的。,上级节点配置,以“服务”为单元给下级节点下发配置。该服务所引用的各种策略（主要指安全策略）及策略引用的策略（流量监控策略、补丁、可控软件、防

17、病毒软件等）都会下发给下级节点。,策略分发的原则,支持每日定时自动分发和手工分发。首先比较策略更新时间和上次成功下发的时间，如果策略更新时间较新则下发。 策略会逐级下发下去，中间一级只能将上一级的策略直接下发给下级，不能跨级分发。,下级节点配置,上级结点是在下发时自动配置上的，如果上级结点IP地址发生改变时才需要修改。,下级节点配置,下级结点上报汇总数据的配置。,分级报表管理,查看安全日志汇总统计报表,下级节点的工作和限制,下级节点不能增加/删除服务、安全策略和安全级别，绝大多数配置也不能修改。 下级节点不能增加/修改/删除补丁、注册表监控策略、流量监控策略、防病毒软件等信息。 下级节点不能修

18、改/删除下发的可控软件组，但可以新增，并且可以对安全级别本地新增的可控软件组对应的处理方式进行修改。 下级节点可以修改安全策略中配置的ACL以及服务器地址等个性化的内容。,下级节点的工作和限制,下级节点可以修改服务中的授权信息，如下发VLAN信息。 若最近一次下发的服务中没有包含当前用户已申请的服务，则该状态变为“无效”，申请该服务的用户无法通过认证。 除服务外，其他之前曾经下发而最近一次没有下发的内容（安全策略、补丁、可控软件组等）都会被删除。 接入时段策略和接入区域策略不下发。 同名的服务、安全策略、安全级别下发后，会更新不可修改的项。 下级节点不再支持业务分权。,漫游特性的由来,在EAD

19、分级环境中，不同节点所管理的用户具有流动性，当A节点的用户到B节点出差时，希望能不在B节点增加相关的帐号信息就可以接入到网络并能做身份认证和安全检查。 虽然在B节点上开始来宾帐号可以解决上面问题，但来宾帐号无法区分用户的身份，给管理和审计带来不便。 用户在B节点认证时，B节点根据其身份（带了A节点的某种标识）将其身份认证请求发送到A节点，由A节点进行身份校验。这就是所谓的“漫游”。 通常将B节点称之为漫游地服务器，而A节点称之为归属地服务器。,漫游地服务器配置,使能漫游地服务器的漫游功能。,漫游地服务器配置,配置漫游域信息,漫游地服务器配置,配置漫游域信息，同时定义认证及计费漫游,漫游地服务器

20、配置,配置漫游域信息 下面的示例表示漫游地服务器如果收到用户名携带域名后缀为roam的认证请求则直接转给IP地址为0的归属地服务器处理。,归属地服务器配置,添加漫游地服务器 下面的示例表示将漫游地服务器07作为归属地服务器的一台认证接入设备添加进来，需确保与漫游地配置的密钥一致。,漫游中的身份认证和安全认证,属于A节点的用户a到B节点的网络中认证时，接入设备将认证请求发送给B节点，B节点再通过RADIUS-proxy功能将其转给A节点校验，完成身份验证。 在做身份认证漫游时，B节点将本地的安全代理的IP和端口下发给iNode客户端，iNode到B

21、节点上做安全认证。 由于B节点上没有用户a的用户信息，因此需要在B上设置一个“缺省安全策略”，所有漫游用户都用该安全策略进行安全认证。 漫游过程中2个节点都会有该用户的在线信息。,漫游中的身份认证和安全认证,属于A节点的用户a到B节点的网络中认证时，接入设备将认证请求发送给B节点，B节点再通过RADIUS-proxy功能将其转给A节点校验，完成身份验证。 在做身份认证漫游时，B节点将本地的安全代理的IP和端口下发给iNode客户端，iNode到B节点上做安全认证。 由于B节点上没有用户a的用户信息，因此需要在B上设置一个“缺省安全策略”，所有漫游用户都用该安全策略进行安全认证。 漫游过程中2个

22、节点都会有该用户的在线信息。,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,DAM简介,桌面资产管理（Desktop Asset Management）主要关注于企业的信息安全，可以对终端进行全方位的监控，保证用户只能合理合法的使用公司的信息资源，并提供实时和事后的审计。,DAM软件架构,DAM Agent驻留在桌面机操作系统中，执行相关的DAM策略，采集终端的软硬件资产信息；监控一些敏感资产的变更；执行软件分发、外设管理任务。 DAM Proxy负责转发iNode客户端桌面服务器的交互报文。 DAM Server 负责向客户端下发桌面安全相关策略，接受

23、客户端上报的相关信息，并存入数据库中。,DAM功能概述,资产管理 资产注册 资产查询 资产变更管理 软件分发 FTP方式 HTTP方式 文件共享方式 外设管理 U盘的拔插、写入监控 禁用USB、光驱、软驱、串口、并口、红外、蓝牙、1394、Modem,资产注册（一）,配置资产编号的生成方式 支持手工资产编号和自动资产编号两种方式,资产注册（二）,以手工生成资产编号为例 终端第一次上线时提示输入资产编号，必须与服务器上已录入的编号一致 服务器返回该资产编号对应的资产信息，由终端确认后完成注册,资产查询与统计（一）,查询已注册的资产详细信息，包括操作系统信息、硬件信息、屏保信息、分区列表、逻辑磁盘

24、列表、软件列表、补丁列表、进程列表、服务列表以及共享列表。,资产查询与统计（二）,支持按多种分类方式统计资产信息并显示报表 支持统计资产的软件安装情况,资产变更管理,支持软硬件资产信息变更的检查和上报,软件分发（一）,配置软件分发服务器 配置软件分发任务,软件分发（二）,iNode客户端下载安装程序完成后弹出软件分发管理的提示窗口，用户也可以手工从客户端上查看 双机软件分发管理中的文件名称开始安装,USB监控,记录使用USB的时间 记录写入USB的文件,外设管理（一）,配置外设管理策略，选择需要禁用的外设 将外设管理策略与资产分组关联,外设管理（二）,手工启用已经被外设管理策略禁用的设备后，将

25、产生外设违规记录,业务参数配置,资产编号方式 资产变更扫描间隔时长 心跳相关参数 资产策略请求间隔时长,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,逃生工具,用户接入逃生工具（简称为“逃生工具”）是CAMS / iMC UAM后台的替身。当CAMS / iMC UAM出现诸如进程宕掉、数据库异常、性能下降等故障无法处理认证或计费请求时，逃生工具暂时替代CAMS / iMC UAM处理请求报文以保障用户的业务不中断。逃生工具不验证用户信息与用户口令，不做绑定、授权处理，也不启用安全认证，对于请求报文都直接回应成功。 逃生工具以后台服务形式存在，操作系统重

26、新启动后会自动启用逃生工具。,逃生工具的部署方式,逃生工具支持集中式部署（即和iMC UAM部署于同一台服务器上）和独立部署（单独部署在另一台服务器上）。 逃生工具和UAM监听同样的端口，所以当集中式部署时只能启动两者之一。 独立部署时，建议将逃生工具所在服务器配置成和原服务器一样的IP地址，并离线放置。当出现故障时直接将原服务器的网线拔到逃生工具服务器上，就好像替换备件。不建议配置不同的IP做主备切换。 独立部署的好处是首先尽量避免主机操作系统或硬件故障带来的影响，其次可以在主机出现故障时直接在现网环境下定位问题，而不用为了启动逃生而将UAM停止。这样可以尽早定位问题，恢复原服务器。,逃生工

27、具的优缺点,优点有 低成本的容灾方案，实施及维护非常简单； 一种简单易行的附加保险，即使是使用了其他容灾方案，仍然可以准备一套逃生工具以备不时之需 缺点有 需要管理员及时发现故障并手工地切换使用逃生工具； 用户业务仍然会中断； 使用逃生工具期间，将损失认证用户的所有接入信息（日志，计费信息等）； 由于逃生工具不对认证请求做任何判断，所以在使用逃生工具期间将存在一定的安全隐患,DBMAN双机备份工作流程,设备与主iMC服务器之间通讯中断，发出的认证请求或计费请求在一定时间内未收到响应； 自动将请求发往备iMC服务器 ，同时将主服务器状态置为block 等待一定的时间间隔后，再次尝试将请求发往主iMC服务器，若通讯恢复则立即将主服务器状态置为active，从服务器状态不变,primary,secondary,X,DBMAN双机备份实施步骤,在接入设备上配置从认证和从计费服务器 secondary authentication *.*.*.* 1812 secondary accounting *.*.*.* 1813 iMC备服务器申请冷备License 登陆备iMC服务器的配置台时只具有查看的权限，不能修改配置 通过配置DBMAN工具实现两台iMC服务器