《H3C EAD解决方案介绍课件》由会员分享,可在线阅读,更多相关《H3C EAD解决方案介绍课件(65页珍藏版)》请在金锄头文库上搜索。
1、EAD解决方案介绍,ISSUE 1.3,日期:2009-4-28,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,随着IT应用的不断发展,客户开始意识到对内网终端进行控制和管理的必要性,实施网络接入控制,确保企业网络安全,已是许多企业网客户的迫切需求。 随着EAD解决方案的不断发展,新特性新功能层出不穷。以不断提供易用性和实用性,不断提高客户满意度为出发点,EAD解决方案已经在不知不觉中发生了较大的变化。,引入,了解EAD解决方案架构 DOT1X PORTAL RADIUS协议介绍 了解EAD解决方案架构 熟悉EAD解决方案的主要功能特性 熟悉EAD解决方案的相关配置,课程目标,学
2、习完本课程,您应该能够:,EAD解决方案定义,EAD解决方案定义 终端准入控制( End User Admission Domination )解决方案从最终用户的安全控制入手,对接入网络的终端实施企业安全准入策略。EAD解决方案集成了网络准入、终端安全、桌面管理三大功能,帮助维护人员控制终端用户的网络使用行为,确保网络安全。,终端用户安全接入四步曲,安全检查不 合格进入隔 离区修复,隔离区,安全检查,合法用户,非法用户 拒绝入网,身份认证,接入请求,你是谁?,企业网络,动态授权,合格用户,不同用户享受不同的网络使用权限,你安全吗?,你可以做什么?,你在做什么?,安全联动设备,第三方安全相关服
3、务器,EAD解决方案的四个重要组成部分,EAD终端 准入控制 解决方案,iNode智能客户端,iMC服务器,EAD解决方案的业务架构,EAD解决方案的软件架构,所有业务组件均基于iMC平台安装,用于实现各种业务。 EAD组件基于UAM组件安装。 UAM组件包含有:RADIUS服务器、策略服务器以及策略代理服务器 EAD组件包含有:EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理,iMC智能管理平台 (网元、告警、性能、资源),UAM组件,EAD组件,UBA组件,NTA组件,WSM组件,MVM组件,EAD基本认证流程,iNode客户端,iMC服务器,1. iNode客户端发起认证请求,
4、5. iNode客户端执行安全策略并上报安全检查结果,6. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. iNode客户端请求安全检查项,4. 服务器下发安全检查项,第三方服务器 用于修复终端安全隐患,Internet,安全联动设备,2. 身份认证成功,通知客户端进行安全检查,802.1x认证流程PAP/CHAP,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challenge,EAP-Response/MD5-Password,Access Succ
5、ess(Radius Code=2,隔离ACL),Accounting Request,Accounting Response,EAP-Success,安全检查请求,下发检查项,上报检查结果,监控/修复策略下发,iNode客户端,H3C设备,iMC EAD,安全策略服务器,EAP(code=10),EAP(code=10),Session Control (Radius code=20,安全ACL),802.1x认证流程EAP MD5,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Access Ch
6、allenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Password,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,安全检查请求,下发检查项,上报检查结果,监控/修复策略下发,iNode客户端,第三方设备,iMC EAD,安全策略服务器,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,EAD业务的基本配置流程,基本配置流程,流量监控,为了对终端用户的网络流量进行监
7、控,EAD解决方案支持异常流量监控特性。管理员设置终端用户流量阈值,iNode客户端根据安全策略服务器的指令,打开流量监控功能,实现异常上报并根据安全策略服务器的指令对用户采取相应的动作。,防病毒软件管理,检查防病毒客户端是否正常启动运行,病毒引擎和病毒库版本是否符合要求,与高级联动类型的防病毒软件联动,还支持设置病毒查杀策略等内容。,软件补丁管理,与微软补丁服务器WSUS Server或SMS Server联动进行软件补丁检查(自动强制升级)。 自定义系统软件补丁检查,可针对系统软件的不同版本自定义补丁检查策略。,可控软件组管理,监控软件安装、进程运行和服务运行。 对于检查类型为“必须安装”
8、或“必须运行”的可控软件组,只要安全检查结果匹配组内一条策略即认为检查通过;对于检查类型为“禁止安装”或“禁止运行”的可控软件组,只要安全检查结果匹配组内的一条策略即认为检查不通过。,注册表监控,监控指定的注册表项中是否存在特性键名及键值。,操作系统密码监控,通过字典文件的方式,检查操作系统密码是否为字典文件中记录的弱密码。,远程桌面连接,提供了对在线用户进行远程登录的功能。网络管理员可以通过远程连接功能对远程终端用户的电脑进行维护和管理。,EAD的四种安全级别,监控模式 无论安全检查结果如何,都提示用户通过安全检查,不弹出安全检查结果页面,不对用户做任何限制。只在服务器一侧记录检查结果以备之
9、后审计。 提醒模式 若安全检查不通过则会提示用户存在安全隐患,但不对用户采取任何动作,不弹出安全检查结果页面。 隔离模式 若安全检查不通过,通知安全联动设备限制用户只能访问隔离区资源。 下线模式 若安全检查不通过,将用户强制下线。,安全级别,安全级别是一组安全检查项的集合 安全检查不通过时,最终执行何种模式的策略取决于未通过的检查项中最严格的模式 不安全提示阈值的功能只能与隔离模式或下线模式配合使用,安全策略,引用安全级别,使能各项安全检查策略,配置动态ACL下发 除了使能这些安全检查策略之外,需要注意同时使能实时监控的功能,服务,服务是最终用户使用网络的一个途径,它由预先定义的一组网络使用特
10、性组成,其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。 在服务配置中引用已有的安全策略。 只能在创建新服务时增加安全策略,如果一个已有的服务并未引用安全策略,则不能通过修改这个服务的方式引用安全策略。,策略服务器参数配置,策略服务器参数配置,用户分组,用户分组不再和服务关联,而是只和操作员关联。 针对特定的用户分组执行特定的策略。 与指定用户分组关联的操作员才能管理该分组内的用户以及产生的相关用户信息。,业务分组,将一些个性化策略归入指定的业务分组,只有与该业务分组关联的操作员,才能够管理该业务分组中的策略。,基于iNode客户端的ACL下发,传统的基于设备的A
11、CL下发方式: 并非所有设备都支持ACL下发 设备的ACL资源有限 用户区分的角色越多,设备上的ACL配置越复杂 无法通过服务器直接查看下发的ACL中所包含的具体规则,基于iNode客户端的ACL下发,iNode客户端,1. iNode客户端发起认证请求,7. iNode客户端执行安全策略并上报安全检查结果,8. 服务服务器下发检查结果、修复策略以及设置在线监控任务等,3. iNode客户端主动请求安全检查项 声明支持ACL下发特性,4. 服务器下发安全检查项 提示客户端请求ACL,第三方服务器 用于修复终端安全隐患,Internet,安全联动设备,2. 身份认证成功,通知客户端进行安全检查,
12、5. 客户端主动请求ACL,iMC服务器,6. 同时下发隔离ACL和安全ACL(包含所有规则),基于iNode客户端的ACL下发,配置ACL策略,基于iNode客户端的ACL下发,在安全策略中引用ACL,定制客户端启用ACL功能,打开客户端管理中,点击客户端定制,选择高级定制。在基本功能项中勾选启用ACL功能。,防内网外联,基于客户端ACL功能,实现了防内网外联功能 iNode认证前所有网卡都是逻辑上关闭的,会过滤除DHCP外的所有IP报文 认证通过后仅认证网卡放开,其他网卡仍然关闭 仅限802.1x和Portal认证方式,思考: VPN认证方式是否有必要支持此特性? 为何不能过滤DHCP报文
13、?,定制客户端启用防内网外联,打开客户端管理中,点击客户端定制,选择高级定制。在基本功能项中勾选启用防内网外联功能。,混合组网特性的由来,使用RADIUS报文控制在线用户列表需要考虑: EAD安全认证依赖于RADIUS身份认证建立的在线表,而RADIUS在线表需要接入设备支持发送计费开始和计费结束报文。 在没有EAP心跳机制和不支持计费更新报文的环境下,容易出现在线用户列表中用户挂死的现象。 即使与支持计费更新包的第三方设备配合,通常也无法支持通过计费更新包下发的剩余上网时长等信息,从而无法准确控制在线用户。 虽然在线重认证可以在一定程度上代替EAP心跳和计费更新包,但各厂家实现各不相同,难以
14、统一处理,可能引发其他问题隐患。,混合组网特性原理,RADIUS身份认证通过后,客户端获取到安全检查代理的IP和端口后即发起安全认证。 由策略服务器根据安全认证/心跳/下线报文维持在线表。 UAM后台对于计费报文或重认证报文仅做检测和回应,不再更新或删除在线表。 通过EAD心跳回应报文返回用户剩余上网时长(接入时段限制、在线加入黑名单、用户被从在线表删除等),以精确控制在线用户。,配置混合组网特性,该特性基于接入设备实现,同一个接入设备的所有用户要么启用要么不启用 仅适用于802.1x认证方式,部署混合组网特性的注意事项,对于可以很好支持RADIUS计费(含开始、结束、更新)报文的设备不建议启
15、用该特性。 网络环境复杂,而iNode又是基于操作系统安装,EAD心跳丢失的可能性比RADIUS报文丢失的可能性大的多 混合组网环境下,服务器动用老化功能来清理在线用户列表的机会比传统环境下大的多,因此建议在混合组网环境下适当放宽对同一帐号的在线用户数量限制。,EAD解决方案概述 EAD解决方案特性 桌面资产管理 EAD解决方案的容灾方案,目录,DAM简介,桌面资产管理(Desktop Asset Management)主要关注于企业的信息安全,可以对终端进行全方位的监控,保证用户只能合理合法的使用公司的信息资源,并提供实时和事后的审计。,DAM软件架构,DAM Agent驻留在桌面机操作系统
16、中,执行相关的DAM策略,采集终端的软硬件资产信息;监控一些敏感资产的变更;执行软件分发、外设管理任务。 DAM Proxy负责转发iNode客户端桌面服务器的交互报文。 DAM Server 负责向客户端下发桌面安全相关策略,接受客户端上报的相关信息,并存入数据库中。,DAM功能概述,资产管理 资产注册 资产查询 资产变更管理 软件分发 FTP方式 HTTP方式 文件共享方式 外设管理 U盘的拔插、写入监控 禁用USB、光驱、软驱、串口、并口、红外、蓝牙、1394、Modem,资产注册(一),配置资产编号的生成方式 支持手工资产编号和自动资产编号两种方式,资产注册(二),以手工生成资产编号为例 终端第一次上线时提示输入资产编号,必须与服务器上已录入的编号一致 服务器返回该资产编号对应的资产信息,由终端确认后完成注册,资产查询与统计(一),查询已注册的资产详细信息,包括操作系统信息、硬件信息、屏保信息、分区列表、
