Download - EAD 解决方案培训

Transcript

EAD解决方案培训

www.h3c.com 2

EAD解决方案定义

EAD 解决方案定义终端准入控制（ End User Admission Domination ）解

决方案从最终用户的安全控制入手，对接入网络的终端实施安全准入策略，确保网络安全。

www.h3c.com 3

终端用户安全接入四步曲

安全检查不安全检查不合格进入隔合格进入隔离区修复离区修复

隔离区隔离区

安全检查安全检查

合法用户合法用户

非法用户非法用户拒绝入网拒绝入网

身份认证身份认证接入请求接入请求

你是谁？

企业网络企业网络

动态授权动态授权

合格用户合格用户

不同用户享不同用户享受不同的网受不同的网络使用权限络使用权限

你安全吗？你可以做什么

？

你在做什么？实时监控实时监控

www.h3c.com 4

EAD 基本认证流程

iNode 客户端

iMC 服务器1. iNode 客户端发起认证请求

5. iNode 客户端执行安全策略并上报安全检查结果

6. 服务服务器下发检查结果、修复策略以及设置在线监控任务等

3. iNode 客户端请求安全检查项

4. 服务器下发安全检查项

第三方服务器用于修复终端安全隐患

Internet

安全联动设备

2. 身份认证成功，通知客户端进行安全检查

www.h3c.com 5

安全联动设备安全联动设备第三方安全相关服务器第三方安全相关服务器

EAD 解决方案的四个重要组成部分

EAD终端准入控制解决方案

iNode 智能客户端iNode 智能客户端

iMC 服务器iMC 服务器

www.h3c.com 6

EAD方案的四个组成部分

一、 IMC 服务器（核心）

处理认证信息，安全检查，授权。是业务的核心

www.h3c.com 7

EAD方案的四个组成部分

二、交换机（中介、关卡）

在客户端和服务器之间转达消息，控制需要认证的地址信息。

www.h3c.com 8

EAD方案的四个组成部分

三、第三方安全联动服务器第三方安全相关服务器

安装微软补丁服务器、杀毒软件 Server 端，用于补丁升级或者杀毒软件病毒库版本升级

www.h3c.com 9

EAD方案的四个组成部分

四、客户端（个人电脑）1. 安装了客户端的个人电脑，通过客户端发起访问，把系统的相关安全信息送到服务器上进行检查。

2. 根据检查的结果，服务器规定了客户端的访问权限。

www.h3c.com 10

跟客户端相关的内容

个人电脑笔记本电脑

www.h3c.com 11

客户端的作用

1. 发起认证，将用户名 / 密码发到服务器进行认证

2. 收集系统的安全信息，包括系统补丁情况 / 杀毒软件的病毒库信息，发给服务器。

3. 根据服务器反馈的消息，允许上线或者下线

4. 假如安全检查不通过，触发第三方软件去升级。比如触发微软 WSUS 客户端向 WSUS 服务器下载补丁、提示杀毒软件升级病毒库

www.h3c.com 12

客户端下载2

www.h3c.com 13

客户端的安装

1. 点击安装程序 iNodeSetup3.60-6206.exe

2. 根据情况选择下一步，直到开始安装

www.h3c.com 14

客户端的安装

3. 等待软件自动安装

www.h3c.com 15

客户端的安装

4. 安装完成之后，需重启电脑

www.h3c.com 16

客户端的安装

5. 重启之后，点击桌面或者开始菜单的 iNode 快捷方式，开始认证

www.h3c.com 17

客户端的安装

6. 安装完成之后，需重启电脑

www.h3c.com 18

客户端的安装

7. 如果是第一次认证，软件会提示

新建链接，点击确认

8. 开始新建链接过程

www.h3c.com 19

客户端的安装

9. 选择“ Portal 协议”

10. 选择“普通链接”

www.h3c.com 20

客户端的安装

11. 输入用户名和密码，勾选“上传客户端版本”，默认已经勾选

12. 点击下一步完成

www.h3c.com 21

客户端的安装

13. 这样一个链接就建立好了，

www.h3c.com 22

客户端的安装

14. 双击链接或者右键选择“连接”，或者点中链接后

点击工具栏的连接，开始发起认证。跳出窗口，确认用户名密码后点击连接

www.h3c.com 23

客户端的安装

16. 最终检查完成，根据提示进行访问。可以点击工具栏右上方的叹号图标，查看安全检查结果

www.h3c.com 24

客户端的安装

17. 结果里面有关于各个检查项的检查结果，根据检查结果去做相应的完善。

www.h3c.com 25

客户端的安装

18. 认证之后，可以关掉 iNode 客户端界面，让它保留在任务栏的右下角。但不能退出，如果不需要上网了，再退出。

www.h3c.com 26

使用过程的一些说明－操作系统

操作系统的要求：Windows 2000

Windows XP （简体中文版）

Windows Server 2003

Windows Vista

iNode支持在以上操作系统上安装。

注：如果操作系统存在问题， iNode可能无法安装。

www.h3c.com 27

使用过程的一些说明－杀毒软件

inode支持联动的杀毒软件以及杀毒引擎的版本要求见《 EAD 实施说明 .doc 》，如果不是支持列表中的杀毒软件和版本，将不会检测出来。

注：建议安装支持列表中的杀毒软件，并将版本升级到配套版本

建议安装正版的杀毒软件

www.h3c.com 28

使用过程的一些说明－系统补丁

系统补丁检查的流程：

1.iNode 客户端触发 WSUS 客户端到 WSUS 服务器上进行检查；

2. 如果检查到的有补丁需要安装，下载补丁；

3. 补丁自动安装

检查补丁失败和无法下载安装补丁的原因：

1.由于网络不可达，或者防火墙阻挡客户端与补丁服务器的通信故障和服务器出现异常（例如死机）导致。

2. WSUS update （微软系统更新进程）进程未运行。

3. 如果操作系统是非正版或者是剪切版的，可能存在部分补丁无法安装的问题。可以上网搜索相应的补丁安装说明，采用手工的方式安装。

www.h3c.com 29

使用过程的一些说明－客户端认证

客户端认证过程中，可能存在认证失败的问题的原因

1. 客户端与 EAD 服务器通信问题即之间的网络出现异常，网络中断2.inode 客户端服务器地址填写有误或未填写。3.由于某些原因，直接在 inode 客户端未下线的情况下，修改自己 IP 地址，再进行认证，则会出现在线数量限制导致认证失败问题的提示。 4.多个人共用一个账号，用户在线数量达到上限。

解决办法：1. 保证网络正常。2.inode 客户端属性的“网络”选项框里面填写正确的 EAD 服务器地址，在网络正常情况下进行认证。3. 下线时，尽量在 inode 客户端里，点击下线处理。也尽量不要随意修改自己的 IP 地址，若修改 IP 地址，请先 inode 客户端正确下线后，再进行修改 IP 地址操作。4. 对于公共机，请用完资源后，进行 inode 客户端正确下线处理，保证后续人员可以正常认证上线，访问资源。