您的位置:360文档中心› 北信源桌面终端标准化管理系统基于8021x协议的准入控

北信源桌面终端标准化管理系统基于8021x协议的准入控

合集下载

北信源网络接入控制系统工作原理与功能对比

北信源网络接入控制系统工作原理与功能对比

北信源⽹络接⼊控制系统⼯作原理与功能对⽐北信源⽹络接⼊控制系统⼯作原理与功能北京北信源软件股份有限公司⽬录1.整体说明 (3)2.核⼼技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准⼊控制技术 (4)2.3. 旁路⼲扰准⼊控制技术 (6)2.4. 透明⽹桥准⼊控制技术 (7)2.5. 虚拟⽹关准⼊控制技术 (7)2.6. 局域⽹控制技术 (8)2.7. ⾝份认证技术 (8)2.8. 安检修复技术 (9)2.9. 桌⾯系统联动 (9)3.产品功能对⽐ (9)1.整体说明准⼊⽹关对接⼊设备进⾏访问控制,对于未注册⽤户进⾏WEB重定向进⾏注册;注册后的⽤户进⾏认证或安检后可以访问⽹络;管理员可以配置采取何种准⼊控制⽅式,如策略路由,旁路监听,透明⽹桥,虚拟⽹关等;同时可以选择使⽤不同的认证类型,如本地认证,Radius认证,AD域认证等,⽽认证途径采取⽹关强制重定向;准⼊⽹关整体上对准⼊的控制可分为两类,⼀类是⽹关⾃⼰控制数据的流通,另⼀类则是通过配置交换机,让交换机来控制数据包的流通。

⽬前准⼊⽹关实现的策略路由和旁路监听,透明⽹桥等准⼊控制均属于前者,也就是⽹关⾃⼰通过放⾏或丢弃、阻断数据包,来达到准⼊控制,对于数据包的阻断是基于tcp 实现的;⽽虚拟⽹关则是通过控制交换机VLAN来达到准⼊控制;2.核⼼技术为了适应不同业务环境下的统⼀⼊⽹控制,北信源⽹络接⼊控制系统采⽤多种核⼼技术设计,⽀持多种准⼊控制模式,实现从多⾓度多维度的终端⼊⽹安全控制。

2.1.重定向技术接⼊控制的⽬的是为了阻⽌不可信终端随意接⼊⽹络,对于不可信终端的判定需要⼀个过程,如何在判定过程中进⾏良好的提⽰,这就对产品的⼈机界⾯设计提出了较⾼的要求。

业界通常的做法是针对http性质的业务访问进⾏重定向,以往针对http的业务区分主要基于业务端⼝(主要为80端⼝),对于⾮80业务端⼝的http业务不能有效区分。

针对以上情况,北信源⽹络接⼊控制系统对http业务进⾏了深度识别,除80端⼝的http业务可以进⾏有效重定向之外,针对⾮80端⼝的http业务也能进⾏有效的识别和重定向。

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password 和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

北信源法院系统终端安全管理系统解决方案2015

北信源法院系统终端安全管理系统解决方案2015

北信源法院系统终端安全管理系统解决方案北京北信源软件股份有限公司2015年3月目录1. 前言 (4)1.1. 概述 (4)1.2. 应对策略 (5)2. 终端安全防护理念 (6)2.1. 安全理念 (6)2.2. 安全体系 (7)3. 终端安全管理解决方案 (8)3.1. 终端安全管理建设目标 (8)3.2. 终端安全管理方案设计原则 (8)3.3. 终端安全管理方案设计思路 (9)3.4. 终端安全管理解决方案实现 (11)3.4.1. 网络接入管理设计实现 (11)3.4.1.1. 网络接入管理概述 (11)3.4.1.2. 网络接入管理方案及思路 (11)3.4.2. 补丁及软件自动分发管理设计实现 (16)3.4.2.1. 补丁及软件自动分发管理概述 (16)3.4.2.2. 补丁及软件自动分发管理方案及思路 (16)3.4.3. 移动存储介质管理设计实现 (20)3.4.3.1. 移动存储介质管理概述 (20)3.4.3.2. 移动存储介质管理方案及思路 (20)3.4.4. 桌面终端管理设计实现 (23)3.4.4.1. 桌面终端管理概述 (23)3.4.4.2. 桌面终端管理方案及思路 (24)3.4.5. 终端安全审计设计实现 (35)3.4.5.1. 终端安全审计概述 (35)3.4.5.2. 终端安全审计方案及思路 (36)4. 方案总结 (41)1.前言1.1.概述随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。

为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。

由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程

北信源终端安全管理系统802.1x准入流程北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。

如果成功,携带协商参数,以及用户的相关业务属性给用户授权。

如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。

802.1X和准入控制简介

802.1X和准入控制简介


Cisco NAC (Network Admission Control )
Cisco Network Admission Control Hosts Attempting Network Access AntiVirus Client Cisco Security Agent Cisco Network Access Device Cisco Policy/ AAA Server AV Vendor Policy Server
NAC Program Overview
• • Cisco® is driving the architectures, specifications, and guidelines of NAC Initial NAC co-sponsors include the major antivirus vendors: Network Associates, Symantec, and Trend Micro Cisco Security Agent and NAC co-sponsor AV solutions will use Cisco Trust Agent for intelligent admission control Initial NAC capability to be delivered in Q2 CY04 in Cisco routers Future NAC extensions: • More Cisco network devices • More endpoint security software and endpoint platforms (OSs) • More industry co-sponsors • Solution “opened”, timing and extent TBD

常见准入控制技术分析

常见准入控制技术分析

常见准入控制技术分析网络准入控制NAC(Network Access control)的简称,准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查,准入控制让接入你网络的每一个人,每个终端都具有合法性,合规性,是可信的,主要是认证+授权,无计费(更加后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件)。

网络准入控制技术通常包括:根据分类网络准入控制技术主要包含以下三大类:一、基于网络设备的准入控制技术802.1X准入控制技术:IEEE 802.1X是IEEE制定关于用户接入网络的认证标准,二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;常用到EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;由于是IEEE标准所以被许多交换机厂家广泛支持,而且在国内许多的准入控制软件厂商中也得到广泛应用。

但很遗憾的是很多软件厂商做得很差,客户端维护麻烦,还需要修改网卡属性。

而且802.1X虽然是IEEE标准,但是各个交换机厂商在采用认证加密的算法可能不一样,很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的802.1X认证。

802.1X主要采用VLAN 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。

802.1X目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透3层网络环境。

而且在HUB的情况下.VLAN无法切换。

更有很多厂商无法解决HUB环境认证的问题。

CISCO EOU 准入控制技术:EAP OVER UDP ,是思科公司私有的准入控制技术;CISCO 3550 以上设备支持,传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的,当然不可能是仅限于此目的;EOU技术工作在3层,采用UDP 封装,客户端开放UDP 21862 端口,由于是3层所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活。

北信源桌面终端标准化系统内网端口使用说明

北信源桌面终端标准化系统内网端口使用说明
UDP
双向
双向
22105
区域扫描器和客户端通信使用,包括策略下发,文件、补丁分发,客户端上报信息等,均要通过该端口实现
TCP
双向
22106
捕获数据的侦听端口。网络拓扑功能和Snmp扫描功能通过该端口实现
TCP
双向
22108
使用点对点控制中的数据包分析支持工具时使用,数据包分析使用需先与被控端建立通讯后,接受相关的数据包
TCP
双向
2388
区域管理器数据接收端口,一般接收注册率、操作系统信息等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
TCP
双向(一级管理器只流入)
2399
区域管理器数据接收端口,一般接收报警等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
桌面终端标准化管数据方向
80
标准的http协议端口,Web管理界面使用,几乎所有的网页浏览通过此端口
TCP
双向
88
区域管理器使用
TCP
双向
161
SNMP扫描使用
TCP
双向
188
当88端口被占用时,区域管理器启用188端口
TCP
双向
288
报告区域管理器存活端口
TCP
TCP
双向(一级管理器只流入)
8889
报警中心和区域管理器通信通过该端口实现
TCP
双向
8900
使用点对点控制中,屏幕支持工具使用
TCP
双向
8901
使用点对点控制中,屏幕支持中的文件传输功能使用。

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制系统管理系统白皮书v3.0

北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。

免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。

目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。

通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。

北信源网络接入控制系统用户使用手册

北信源网络接入控制系统用户使用手册
北信源网络接入控制系统
用户使用手册
北京北信源软件股份有限公司 2012 年 10 月
北信源网络接入控制系统用户使用手册
版权声明 本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北
信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。 本手册没有任何形式的担保、立场倾向或其他暗示。 商标声明
2.1 丰富的部署模式,适应性强------------------------------------------------------------------------- 7 2.2 流程化入网规范,统一性强------------------------------------------------------------------------- 7 2.3 人性化入网提醒,可用性强------------------------------------------------------------------------- 7 2.4 基于角色的访问控制,控制力强 ------------------------------------------------------------------ 8 2.5 访客自助入网,操作性强 ---------------------------------------------------------------------------- 8 3 产品安装 ........................................................................................................................... 8 3.1 硬件安装 --------------------------------------------------------------------------------------------------- 8 3.2 产品实施 --------------------------------------------------------------------------------------------------- 8 3.3 工作模式 --------------------------------------------------------------------------------------------------- 8 3.4 系统登录 --------------------------------------------------------------------------------------------------- 9 4 系统监控 ......................................................................................................................... 10 4.1 整个系统 ------------------------------------------------------------------------------------------------- 10

网络准入控制系统对比分析

网络准入控制系统对比分析

与北信源网络准入控制系统的对比分析:1、管理服务器部署:北信源管理服务器部署时,需要分别安装多个服务器部件,并需严格按顺序安装。

操作比较繁琐,部署效率较低。

联软科技Leagview管理服务器部署时,仅一个安装包+一个SP补丁包即可,操作简便,简单易懂,部署效率高。

2、Radius认证服务器部署北信源安全准入管理中并无自己的Radius服务器,启用802.1x准入控制需安装第三方免费的Radius服务器(如IAS或者ACS的RADIUS认证服务器)才能实现802.1x准入控制。

北信源完全没有对Radius认证服务器的任何开发、维护能力,借助第三方Radius认证服务器,一旦出现网络准入故障,较难排查故障原因,而且对于终端接入的状态检查能力也较弱。

第三方Radius服务器单独部署配置,操作较为繁琐。

联软科技LeagView网络准入控制系统,采用独立自主研发的Radius认证服务器,能够支持802.1x、EoU等多种方式的网络准入控制检查认证,除了能够检查终端接入网络的用户帐号身份,还能够进一步检查终端自身的安全状态是否合规,能够检查接入终端硬件信息,对终端接入检查进行更为严格的绑定检查。

单台Radius最大能够支持2万终端用户认证,能够与管理服务器整合在一个平台下集中部署,也能够独立部署,安装和配置都十分简单。

3、网络准入控制接入方式北信源仅支持基于802.1x协议的准入控制方式,结合北信源自己的硬件VRV-BMG,还能够实现基于强制注册网关:在不完全支持802.1x的网络中可完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。

联软科技LeagView网络准入控制系统能支持基于802.1x协议的网络准入控制,还支持Cisco NAC架构中的EoU协议网络准入控制方式,同时联软科技还提供LeagView® UniAccess TM NAC Controller准入控制器(简称“NACC”),是一种基于Cisco EAP over UDP协议技术的硬件网关型设备,专为解决非802.1X 网络环境下(接入层交换机不支持802.1X )的网络准入控制问题而设计。

常见准入控制技术分析

常见准入控制技术分析

常见准入控制技术分析常见准入控制技术分析网络准入控制NAC(Network Access control)的简称,准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查,准入控制让接入你网络的每一个人,每个终端都具有合法性,合规性,是可信的,主要是认证+授权,无计费(更加后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件)。

网络准入控制技术通常包括:根据分类网络准入控制技术主要包含以下三大类:一、基于网络设备的准入控制技术802.1X准入控制技术:IEEE 802.1X是IEEE制定关于用户接入网络的认证标准,二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;常用到EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;由于是IEEE标准所以被许多交换机厂家广泛支持,而且在国内许多的准入控制软件厂商中也得到广泛应用。

但很遗憾的是很多软件厂商做得很差,客户端维护麻烦,还需要修改网卡属性。

而且802.1X虽然是IEEE 标准,但是各个交换机厂商在采用认证加密的算法可能不一样,很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的802.1X认证。

802.1X主要采用VLAN 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。

802.1X目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透3层网络环境。

而且在HUB 的情况下.VLAN无法切换。

更有很多厂商无法解决HUB环境认证的问题。

CISCO EOU 准入控制技术:EAP OVER UDP ,是思科公司私有的准入控制技术;CISCO 3550 以上设备支持,传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的,当然不可能是仅限于此目的;EOU技术工作在3层,采用UDP 封装,客户端开放UDP 21862 端口,由于是3层所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活。

802.1x准入控制技术使用手册(北信源).

802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

北信源-终端准入控制系统

北信源-终端准入控制系统

北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。

与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。

通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。

网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。

北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。

有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。

主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。

通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。

深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。

由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。

继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。

北信源网络接入控制系统用户使用手册

北信源网络接入控制系统用户使用手册
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失, 北信源公司及其员工均不承担任何责任。
2
北...................................................................................................................... 6 2 产品特性 ........................................................................................................................... 7
4.1.1 全网接入状况 ...................................................................................................... 11 4.1.2 网关接口状态信息和联动、认证信息 .............................................................. 15 4.1.3 在线设备趋势图(最近一小时) ...................................................................... 17 4.2 在线设备 ------------------------------------------------------------------------------------------------- 17 4.2.1 在线设备 .............................................................................................................. 17 5 注册管理 ......................................................................................................................... 19 5.1 参数配置 ------------------------------------------------------------------------------------------------- 19 5.2 设备注册列表 ------------------------------------------------------------------------------------------ 19 5.2.1 注册设备 .............................................................................................................. 19 5.2.2 设备注册列表 ...................................................................................................... 21 5.3 设备注册日志 ------------------------------------------------------------------------------------------ 22 6 认证管理 ......................................................................................................................... 24 6.1 参数配置 ------------------------------------------------------------------------------------------------- 24

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统用户使用手册

北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!热线支持:400-8188-110客户服务电话:在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!正文目录第一章概述 ................................................................................................................特别说明 ............................................................................................................................ 产品构架 ............................................................................................................................ 应用构架 ............................................................................................................................第二章北信源内网安全管理系统 ..............................................................................策略中心 ............................................................................................................................策略管理中心 .................................................................................................................网关接入认证配置 .........................................................................................................阻断违规接入管理 ......................................................................................................... 补丁分发 ............................................................................................................................ 数据查询 ............................................................................................................................本地注册情况统计 .........................................................................................................本地设备资源统计 .........................................................................................................本地设备类型统计 .........................................................................................................USB标签信息查询 .........................................................................................................设备信息查询 .................................................................................................................审计数据查询 .................................................................................................................分发数据查询 .................................................................................................................非Windows操作系统设备............................................................................................ 终端管理 ............................................................................................................................终端管理 .........................................................................................................................行为控制 .........................................................................................................................远程协助 ......................................................................................................................... 运维监控 ............................................................................................................................ 报表管理 ............................................................................................................................ 报警管理 ............................................................................................................................报警数据查询 .................................................................................................................本地区域报警数据统计 .................................................................................................本地报警数据汇总 ......................................................................................................... 级联总控 ............................................................................................................................级联注册情况统计 .........................................................................................................级联设备资源统计 .........................................................................................................级联设备类型统计 .........................................................................................................级联管理控制 .................................................................................................................区域管理器状态查询 .....................................................................................................区域扫描器状态查询 .....................................................................................................级联上报数据 .................................................................................................................级联报警数据 .................................................................................................................系统用户分配与管理 .....................................................................................................用户设置 .........................................................................................................................数据重整 .........................................................................................................................审计用户 .........................................................................................................................第三章北信源补丁及文件分发管理系统 ...................................................................区域管理器补丁管理设置 ................................................................................................补丁下载配置 .................................................................................................................文件分发策略配置 ......................................................................................................... 策略中心 ............................................................................................................................补丁分发策略 .................................................................................................................软件分发策略 .................................................................................................................其他策略 ......................................................................................................................... 补丁分发 ............................................................................................................................ 补丁自动下载分发 ............................................................................................................补丁下载服务器 .............................................................................................................补丁库分类 .....................................................................................................................补丁下载转发代理 ......................................................................................................... 客户端补丁检测(一) .................................................................................................... 客户端补丁检测(二) ....................................................................................................第四章北信源主机监控审计系统 ..............................................................................策略中心 ............................................................................................................................行为管理及审计 .............................................................................................................涉密检查策略 .................................................................................................................其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................第五章北信源移动存储介质使用管理系统 ...............................................................策略中心 ............................................................................................................................可移动存储管理 .............................................................................................................其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................第六章北信源网络接入控制管理系统.......................................................................网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................接入认证策略 .................................................................................................................其他策略 ......................................................................................................................... 环境准备方法 ....................................................................................................................安装RADIUS (windows IAS)............................................................................................Cisco2950配置方法........................................................................................................华为3COM 3628配置....................................................................................................锐捷RGS21配置 .............................................................................................................第七章北信源接入认证网关......................................................................................网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................第八章系统备份及系统升级......................................................................................系统数据库数据备份及还原 ............................................................................................ 系统组件升级 ....................................................................................................................区域管理器、扫描器模块升级 .....................................................................................升级网页管理平台 .........................................................................................................客户端注册程序升级 .....................................................................................................检查系统是否升级成功 ................................................................................................. 级联管理模式升级及配置 ................................................................................................附录 ..............................................................................................................................附录(一)北信源内网安全管理系统名词注释 ............................................................ 附录(二)移动存储设备认证工具操作说明 ................................................................USB标签制作 .................................................................................................................USB标签制作工具 .........................................................................................................USB标签制作历史查询 .................................................................................................移动存储审计策略 .........................................................................................................移动存储审计数据 ......................................................................................................... 附录(三)主机保护工具操作说明 ................................................................................ 附录(四)组态报表管理系统操作说明 ........................................................................模版制定 .........................................................................................................................报表输出 ......................................................................................................................... 附录(五)报警平台操作说明 ........................................................................................设置 .................................................................................................................................日志查询 .........................................................................................................................窗口 .................................................................................................................................更换界面 .........................................................................................................................帮助 ................................................................................................................................. 附录(六)漫游功能说明 ................................................................................................漫游功能介绍 .................................................................................................................漫游功能配置 ................................................................................................................. 附录(七)IIS服务器配置说明 .......................................................................................WIN2003-32位IIS配置说明..........................................................................................WIN2003-64位IIS配置说明..........................................................................................WIN2008-64位IIS配置说明..........................................................................................图目录图1-1北信源终端安全管理应用拓扑 ............................................................................... 图2-1创建新策略 ............................................................................................................... 图2-2下发策略 ................................................................................................................... 图2-3策略控制 ................................................................................................................... 图2-4硬件设备控制 ........................................................................................................... 图2-5软件安装监控策略 ................................................................................................... 图2-6进程执行监控策略 ................................................................................................... 图2-7进程保护策略 ........................................................................................................... 图2-8协议防火墙策略 ....................................................................................................... 图2-9注册表 ....................................................................................................................... 图2-10IP与MAC绑定策略 ................................................................................................ 图2-11防违规外联策略 ..................................................................................................... 图2-12违规提示 ................................................................................................................. 图2-13文件备份路径设置 ................................................................................................. 图2-14注册码配置 ............................................................................................................. 图2-15阻断违规接入控制设置 ......................................................................................... 图2-16本地注册情况信息 ................................................................................................. 图2-17本地设备资源信息 ................................................................................................. 图2-18本地设备类型统计 ................................................................................................. 图2-19软件变化信息 ......................................................................................................... 图2-20注册日志信息 ......................................................................................................... 图2-21交换机扫描管理配置 ............................................................................................. 图2-22设备信息统计图表 ................................................................................................. 图2-23级联设备信息 ......................................................................................................... 图2-24级联设备系统类型统计 ...................................................................................... 图2-25级联管理控制 ......................................................................................................... 图2-26下级级联区域管理器信息 ..................................................................................... 图2-27区域管理器状态信息 ............................................................................................. 图2-28区域扫描器状态信息 ............................................................................................. 图2-29级联上报数据 ......................................................................................................... 图2-30系统用户列表 ......................................................................................................... 图2-31添加系统用户界面 ................................................................................................. 图2-32用户管理列表 ......................................................................................................... 图2-33终端控制权限 ......................................................................................................... 图2-34屏幕监控权限 ......................................................................................................... 图2-35密码初始化提示框 ................................................................................................. 图2-36密码初始化完成提示框 ......................................................................................... 图2-37修改ADMIN用户密码..............................................................................................图2-39审计用户登录 ......................................................................................................... 图3-1区域管理器补丁管理设置 ....................................................................................... 图3-2分发参数设置 ........................................................................................................... 图3-3补丁自动分发 ........................................................................................................... 图3-4补丁下载服务器界面 ............................................................................................... 图3-5补丁下载服务器设置 ............................................................................................... 图3-6补丁代理传发支持 ................................................................................................... 图3-7补丁下载设置 ........................................................................................................... 图3-8登录页面 ................................................................................................................... 图3-9工具下载页面 ........................................................................................................... 图3-10补丁检测中心 ......................................................................................................... 图3-11客户端补丁漏打检测 ............................................................................................. 图6-1网关接入认证 ........................................................................................................... 图6-2重定向配置 ............................................................................................................... 图6-3用户添加 ................................................................................................................... 图6-4补丁与杀毒软件认证策略 ....................................................................................... 图6-5接入认证策略 ........................................................................................................... 图6-6802.1X认证界面..................................................................................................... 图6-7802.1X认证界面..................................................................................................... 图6-8安全检查没有通过,802.1X不启动认证 ............................................................... 图6-9认证失败 ................................................................................................................... 图6-10添加I NTERNET验证服务组件 .................................................................................. 图6-11IAS配置界面 ........................................................................................................... 图6-12新建RADIUS客户端............................................................................................... 图6-13新建RADIUS客户端............................................................................................... 图6-14新建远程访问策略 ................................................................................................. 图6-15设置远程访问策略 ................................................................................................. 图6-16设置远程访问策略 ................................................................................................. 图6-17设置远程访问策略选择用户 ................................................................................. 图6-18设置远程访问策略使用MD5质询 ....................................................................... 图6-19设置远程访问策略新建的策略 ............................................................................. 图6-20选择D AY-A ND-T IME-R ESTRICTIONS.............................................................................. 图6-21选择允许 ................................................................................................................. 图6-22设置属性 ................................................................................................................. 图6-23添加属性值VLAN..................................................................................................... 图6-24添加属性值802 ...................................................................................................... 图6-25添加属性值600 ...................................................................................................... 图6-26添加属性值600 ...................................................................................................... 图6-27编辑拨入配置文件 ................................................................................................. 图6-28新建连接请求策略 .................................................................................................图6-30策略配置 ................................................................................................................. 图6-31添加远程登录用户 ................................................................................................. 图6-32设置用户属性 ......................................................................................................... 图6-33设置TEST用户 ......................................................................................................... 图6-34设置启用 ................................................................................................................. 图6-35VRV EDP A GENT认证成功 ........................................................................................ 图6-36创建用户界面 ......................................................................................................... 图6-37用户添加 ................................................................................................................. 图6-38设置用户密码 ......................................................................................................... 图6-39进入N ETWORK C ONFIGURATION ..................................................................................... 图6-40AAA C LIENT 配置 ..................................................................................................... 图6-41AAA S ERVER 配置 ..................................................................................................... 图6-42进入I NTERFACE C ONFIGURATION .................................................................................. 图6-43进入RADIUS(IETF) ................................................................................................ 图6-44进入G ROUP S ETUP...................................................................................................... 图6-45进入E DIT S ETTINGSP................................................................................................. 图7-1网关接入认证 ........................................................................................................... 图7-2重定向配置 ............................................................................................................... 图7-3用户添加 ................................................................................................................... 图7-4网关接入认证策略 ................................................................................................... 图8-1级联管理配置 ........................................................................................................... 附图-1修改用户 ADMIN USB标签 ..................................................................................... 附图-2下载D EVICE N UMBER.EXE............................................................................................. 附图-3全局参数 .................................................................................................................. 附图-4U SB T OOL登录 ............................................................................................................ 附图-5U SB T OOL界面............................................................................................................. 附图-6分区格式化 .............................................................................................................. 附图-7制作移动硬盘标签1 ............................................................................................... 附图-8制作移动硬盘标签2 ............................................................................................... 附图-9制作移动硬盘标签3 ............................................................................................... 附图-10制作移动硬盘标签4 ............................................................................................. 附图-11制作移动硬盘标签5 ............................................................................................. 附图-12制作移动硬盘标签6 ............................................................................................. 附图-13制作移动硬盘标签7 ............................................................................................. 附图-14制作移动硬盘标签8 ............................................................................................. 附图-15制作移动硬盘标签9 ............................................................................................. 附图-16制作移动硬盘标签10 ........................................................................................... 附图-17制作移动硬盘标签11 ........................................................................................... 附图-183个分区的优盘和移动硬盘内网登录界面 ......................................................... 附图-19整盘加密的优盘和移动硬盘内网登录界面 ........................................................附图-20外网插入3个分区的优盘或移动硬盘盘符 ........................................................ 附图-21交换区登录界面 .................................................................................................... 附图-22外网插入整盘加密优盘或移动盘符 .................................................................... 附图-23信息提示 ................................................................................................................ 附图-24U SB T OOL登录........................................................................................................... 附图-25U SB T OOL界面 .......................................................................................................... 附图-26初始化密码 ............................................................................................................ 附图-27标签历史查询 ........................................................................................................ 附图-28访问控制配置说明 ................................................................................................ 附图-29DOS/DDOS配置说明 ............................................................................................. 附图-30创建模板 ................................................................................................................ 附图-31确定报表标题及报表尾 ........................................................................................ 附图-32定义报表输入项 .................................................................................................... 附图-33确定输出条件 ........................................................................................................ 附图-34确定关联 ................................................................................................................ 附图-35保存模板 ................................................................................................................ 附图-36修改模板名称 ........................................................................................................ 附图-37修改模版的输出标题和表尾 ................................................................................ 附图-38修改输出列选项 .................................................................................................... 附图-39修改关联选项 ........................................................................................................ 附图-40修改时间范围统计 ................................................................................................ 附图-41模板预览 ................................................................................................................ 附图-42输出EXCEL报表模板信息 ...................................................................................... 附图-43时间定义 ................................................................................................................ 附图-44模板导入 ................................................................................................................ 附图-45模板导出 ................................................................................................................ 附图-46报警平台设置 ........................................................................................................ 附图-47高级设置 ................................................................................................................ 附图-48报警设置上 ............................................................................................................ 附图-49报警设置下 ............................................................................................................ 附图-50日志查询 ................................................................................................................ 附图-51报警中心界面 ........................................................................................................ 附图-52漫游示意 ................................................................................................................ 附图-53结合接入认证漫游示意图 .................................................................................... 附图-54CA服务器界面 ....................................................................................................... 附图-55区域管理器配置界面 ............................................................................................ 附图-56客户端迁移策略配置界面 .................................................................................... 附图-57重原管理区漫游出去的客户端 ............................................................................ 附图-58漫游到新管理器的客户端 .................................................................................... 附图-59进去漫游组中的漫游客户端 ................................................................................ 附图-60漫游回原管理器的客户端 ....................................................................................。

802.1x准入控制技术使用手册(北信源).

802.1x准入控制技术使用手册(北信源).

北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。

802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。

1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。

此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。

北信源-内网安全管理系统产品组合及技术参数

北信源-内网安全管理系统产品组合及技术参数
分组(域)管理
系统支持终端电脑的分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。
单独的权限分配体系
提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
灵活的策略对象
可根据时间段和时间点定制策略使用或禁止使用的触发条件;并可根据创建区域、自定义组、操作系统、IP范围、用户名、注册部门和按照条件搜索的设备进行策略分组分发管理。
打印信息审计
系统支持对主机打印行为进行监控审计,防止非授权的信息被打印。
文件涉密信息检查
系统支持对设定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容。
用户权限审计
能够对用户权限更改及用户增加和删除的行为审计。
操作系统日志审计
系统支持管理员远程读取终端电脑的日志(系统日志、应用日志、安全日志等)。
软件资产管理
自动收集网络中所有注册终端的安装软件信息,并可以以WORD、EXCEL表导出软件资产信息。
软、硬件资产信息变更报警管理
软硬件资产信息发生变化时,系统自动上报报警信息到服务器。
事件报表及报警管理
终端审计信息数据统计分类管理
系统将收集上来的终端信息按不同类别分类存储,管理员可以按不同类别检索信息。
补丁库建立和分类
系统根据补丁索引文件自动生成补丁库,并根据索引信息,将补丁类型进行分类。
终端漏洞自动检测
受控终端能够自动检测本身需要安装哪些补丁。
补丁策略制定分类和自动分发
补丁策略分补丁自动分发策略和人工选择补丁分发策略,根据不同需要制定不同策略实现全网补丁的自动分发。
终端补丁流量控制及代理转发技术
安全信息审计
文档授权审计
系统支持授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询。

网络管理培训之桌面准入控制

网络管理培训之桌面准入控制
• 采用带外(Out-Of-Band)模式时候对于Post-Admission设备的 监视较差 反方观点 • 采用带内(In-Band)模式时候可能影响网路的吞吐量
准入控制相关技术介绍
桌面安全管理中的准入方案推介
桌面安全管理中的准入方案推介


基于设备+客户端 除了准入还有管理功能 技术为802.1x+ARP或主机防火墙
反方观点
• 对于没有安装Agent的设备控制较弱 • 对于来宾设备的友好性欠缺
基于网络设备
原理概要
• 和网路设备(交换机、路由器和防火墙等)联动,由设备进行控制 • 采用的联动技术有802.1X,EOU,PORTAL,IPSEC • 一般包含有客户端进行安全检查和修复
正方观点
• 部署的安全性比较好 • 可以进行分网路范围的部署
• 部署的周期比较长 • 部署比较复杂 反方观点 • 部署对网路的要求比较高
基于应用设备
• 本身就是一个网路设备,是对现有网路设备的一个补充 • 采用的工作方式主要有虚拟网关,网桥等模式 原理概要 • 一般通过SNMP,CLI命令等方式提供带外的操作
• 对网路环境的要求低,网路改没有或者很小 • 通过采用带外的模式,可以提高设备的吞吐量 正方观点 • 可以做到Agentless的设备健康状况检查
网络管理培训之 桌面准入控制802.
基于端点
原理概要
• 基于端点的客户端进行准入控制 • 通过在端点安装agent,进行互相访问的控制 • 采用的技术一般有主机防火墙(基于TDI,NDIS等),ARP控制等
正方观点
• 最具有伸缩性的部署方案 • 价格最便宜的准入控制 • 可以时时刻刻监控终端的合法性和安全性
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

北信源桌面终端标准化治理系统的准进操纵方案一、〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口;认证通过以后,正常的数据能够顺利地通过以太网端口。

网络访咨询技术的核心局部是PAE〔端口访咨询实体〕。

在访咨询操纵流程中,端口访咨询实体包含3局部:认证者--对接进的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证效劳器--依据认证者的信息,对请求访咨询网络资源的用户/设备进行实际认证功能的设备。

二、基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,能够有效落低建网本钞票;借用了在RAS系统中常用的EAP〔扩展认证协议〕,能够提供良好的扩展性和习惯性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能,从而能够实现业务与认证的不离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵,报文直截了当承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;能够使用现有的后台认证系统落低部署的本钞票,并有丰富的支持;能够映射不同的用户认证等级到不同的VLAN;能够使交换端口和无线LAN具有平安的认证接进功能。

三、a.一台安装IAS或者ACS的RADIUS认证效劳器;b.一台安装VRVEDP效劳器;c.一个应用可网管交换机的网络环境;效劳器配置如下:进进添加/删除程序中的添加/删除Windows组件,选择网络效劳中的Internet 验证效劳2.安装IAS后,进进IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。

客户端地址为验证交换机的治理地址,点击下一步。

4.选择RADIUSStandard,共享机密为交换机中所配置的key。

点击完成。

注:接进层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进往。

是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码相同〔这是思科交换机命令输进共享密码的命令:radius-serverhost效劳器地址〕。

5.右键点击远程访咨询策略,单击新建远程访咨询策略。

注:1.建立远程访咨询策略为了使进行跟交换机进行联动,那个策略的建立为以后的用户成功认证打下坚实的根底。

2.那个策略一个公共策略,在一个网络中可能有几百个用户名密码进行认证,那个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能够认证通过。

3.公司支持多种加密认证方式,在IAS中我们建议使用MD5加密算法来进行认证。

6.为策略取一个名字,点击下一步7.选择以太网,点击下一步8.选择用户,点击下一步9.使用MD5质询,点击下一步,并完成。

10.在右面板中右键点击所新建的策略,选择属性。

11.点击添加,选择Day-And-Time-Restrictions12.选择添加,选择答应,单击确定。

〞Ethernet〞,并选择授予访咨询权限14.右键点击连接请求策略,选择新建连接请求策略。

注:1.连接请求策略是与修复VLAN有关系的配置,假如在实施中没有设置修复VLAN,这一步骤能够不进行配置。

2.连接请求策略中添加user-name与用户名匹配,公司客户端软件临时只支持与repair那个用户名联动。

假如不使用repair用户名匹配,客户端没有通过安检时也会跳进修复VLAN,然而在客户端可不能提示差不多进进修复VLAN。

3.IAS中设置修复VLAN设置方法有几种,建议使用文档中的操作方式。

15.选择自定义策略,并为该策略取个名字16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。

〞Ethernet〞,并选择授予访咨询权限18.点击添加,并选择user-name,点击添加19.那个地方repair是指repair子用户名〔即需要跳转的子用户名字〕,点击确定并应用20.单击编辑配置文件,选择高级-------添加选择添加[64]Tunnel-Type:VLAN[65]Tunnel-Medium-Type:802[81]Tunnel-Pvt-Group-ID:VLANID〔修复VLAN的vlan号〕。

22.添加远程登录用户。

在本地用户和组中新建一个用户。

注:在建立认证账户之前,首先检查“用可复原的加密来存储密码〞是否启用。

23.右键点击新建的用户,进进属性,选择隶属于,删除默认的USERS组24.点击拨进,设置为答应访咨询25.IAS配置完成。

效劳器关于802.1x策略的配置及解释:123456798密码认证方式:1、“单用户名密码认证〞:所接进的客户端会以该策略中指定的用户名和密码认证,不需要用户手工输进用户名和密码2、“多用户密码认证〞:所接进的客户端需要手工输进在Radius中建立的认证用户名和密码进行认证3、“域用户名认证〞:所接进的客户端假如是域环境,使用此功能能够在用户登陆域时自动认证。

4、认证程序在托盘显示认证状态的图标,绿色为认证成功,黄色为未认证状态,红色那么为认证失败。

并能够规定认证失败特定次数后就不再认证,自动进进GUESTVLAN5、密码验证类型:分为MD5验证和受保卫的EAP(PEAP)两种模式。

6、安检失败处理方式:配合补丁与杀毒软件策略和进程效劳注册表策略使用,当客户端违反以上策略并选择了依据802.1X策略处理时,那么可对其执行以下3种处操作:不处理〔〕;进进正常工作VLAN;进进修复VLAN。

7、假如客户端环境为DHCP动态网络,那么勾选DHCP动态IP环境认证;并当认证失败后,那个地方能够填进另外一个用户名密码再认证一次〔配合单用户认证方式使用〕;当碰到网络意外断开的情况,勾选网络恢复连接后主动发起认证,客户端在恢复网络时就会主动发起认证;支持华为认证效劳器的IP绑定功能:配合华为公司产品中的IP 与端口绑定的功能。

8、认证数据包传输模式:分为组播和播送两种模式,默认为组播,在不支持组播的交换上使用播送模式。

9、超级认证帐户:即认证成功后就会进进正常工作VLAN ,不受安检策略限制。

黑名单认证帐户:即使用那个帐户认证的客户端始终都不能认证通过。

策略中心->接进认证策略->补丁与杀毒软件认证设置讲明:杀毒软件平安检测“杀毒软件平安检测〞:对接进网络的计算机进行杀毒软件的平安检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装开启了杀毒软件。

2.“未运行杀毒软件时提示〞:当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息。

3.“未运行杀毒软件执行〔URL 地址〕〞:当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL 地址,例如某个能够下载或者运行杀毒软件的地址。

4.“对上述URL 执行〞1 2 3 4 5 6 7 89101).选择“翻开/下载URL地址〞:当检测到计算机没有运行杀毒软件的时候直截了当翻开或者下载上边填写的URL地址。

2).选择“下载URL地址指定文件并安装〞:当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装,一般为杀毒软件。

5.“未运行杀毒软件时〞:当检测到计算机没有运行杀毒软件的时候执行以下操作1).“限制网络访咨询〞:计算机在网内只能与平安效劳器列表中的IP地址通讯,禁止与其他计算机通讯。

2).“〞:当未运行杀毒软件时,客户端将注销正常登录并进进修复vlan。

6.系统补丁平安检测1).启用“系统补丁平安检测〞:对接进网络的计算机进行系统补丁的平安检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装了指定系统补丁。

2).“漏安装列表中指定的补丁时提示〞:当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息。

3).“漏安装列表中指定的补丁是翻开〔URL地址〕〞:当检测到计算机没有安装列不中指定的补丁的时候给计算机定向到指定的URL地址,例如某个能够下载到指定补丁的地址。

7.“漏安装列表中补丁时〞:当检测到计算机没有安装列表中的补丁时执行以下操作:1).“限制网络访咨询〞:计算机在网内只能与平安效劳器列表中的IP地址通讯,禁止与其他计算机通讯2).“〞:当未安装指定平安补丁时,客户端将注销正常登录并进进修复vlan。

8.“检测补丁列表〞:通过补丁号添加补丁检测列表,当计算机接进网络的时候会检测计算机是否安装了此列表中列出的补丁9.“限制网络访咨询后,答应平安效劳器连通列表〞:填写EDPserver、补丁效劳器等平安服务器,当计算机被限制网络访咨询后只能与那个列表中的IP地址通讯10.“DHCP与静态IP切换〞:在安检失败进进访客隔离区后,假如当时的IP为静态IP,那么将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式复原为往常设置的静态IP(选择了"注销802.1认证"后,该选项才生效)。

策略中心->接进认证策略->进程效劳注册表认证12 345671、添加认证模块(见1.1)2、“以上列表认证模块认证失败时提示〞:当接进网络的计算机在进行认证时,认证失败那么在计算机显示此信息3、“以上列表认证模块认证失败时翻开〔URL地址〕〞:当接进网络的计算机在进行认证时,认证失败那么将计算机定向到此URL地址4、“对上述URL执行〞〔1〕选择“翻开/下载URL地址〞:当检测到计算机认证失败的时候直截了当翻开或者下载上边填写的URL地址〔2〕选择“下载URL地址指定文件并安装〞:当检测到计算机认证失败的时候下载上边URL地址指定文件并安装5、“以上列表认证模块认证失败时〞:当认证失败时执行以下操作〔1〕“限制网络访咨询〞:计算机在网内只能与平安效劳器列表中的IP地址通讯,禁止与其他计算机通讯〔2〕“〞:注销本次认证,使计算机重新进行认证6、“DHCP与静态IP切换〞:在安检失败进进访客隔离区后,假如当时的IP为静态IP,那么将其转换为DHCP 方式,直到安检成功后返回正常工作区时再将DHCP 方式复原为静态IP(选择了"注销802.1认证"后,该选项才生效)。

7、“限制网络访咨询后,答应平安效劳器连通列表〞:填写EDPserver 、补丁效劳器等平安服务器,当计算机被限制网络访咨询后只能与那个列表中的IP 地址通讯〞。

2.1、文件存在认证选择“编辑认证模块〞进进编辑认证模块页面,填写一个新的认证模块名字,单击“新建模板〞,例如新建认证模块名为“ceshi 〞。

〔1〕在“文件名〞处填写要认证的文件名和路径例如:C:\vrvclient\vrv.exe ,表示当计算机接进网络后要对此计算机进行平安检测,监测计算机是否存在“文件存在认证列表〞中的文件。

相关文档
最新文档