IT管理成就价值(准入认证及无线运营产品)

1IT管理，成就价值－－H3C准入认证及无线运营产品分享H3C业务软件产品线贾晓巍2目录EAD终端准入控制TAM设备认证管理WSM无线运营管理3云时代接入网络终端的挑战园区网无线网络有线网络广域网1、安全性终端安全漏洞的威胁（病毒、木马、后门）应用的可控性，资产、外设的管理接入网络后的监控、审计2、多样化终端形态的多样化、操作系统的多样化接入方式的多样化、安全策略的多样化4云时代网络接入角色的挑战企业职员访客出差职员无人值守•如何对不同部门、不同级别的职员的网络访问进行权限控制？•如何确保企业职员口令的安全以及身份的唯一性？•企业职员使用终端是否安全，是否符合企业既定安全策略？•企业职员的访问行为是否符合企业规范？•如何管理访客的网络访问？•如何限定访客的访问范围？•是否需要安全检查？检查客户端的形态？•如何监控访客的行为？•如何保证摄像头、IP电话等哑终端接入安全？•服务器区如何保证接入安全？•如何控制这些终端的访问？•如何防止无人值守终端被仿冒？•出差职员接入网络的方式？•分支机构的人员出差时的认证策略处理？•出差、在家办公时的终端安全检查？•人员调动的处理？5云时代接入网络的挑战局域网接入无线接入远程VPN接入广域网接入园区网核心InternetIntranet网关接入WindowsADOA办公服务器证书服务器防病毒服务器有线、无线、VPN接入方式如何统一管理？无线接入安全问题？如何防止MAC地址仿冒、内网外联行为的发生？如何让接入认证与现有域或应用共用一套用户名、口令？上下级分支机构策略如何统一管理？如何对付网络中存在Hub的难题？如何应对IPv6网络？6“准”•接入网络的身份•接入网络的位置、时间•接入网络的设备•接入网络的权限“控”•防病毒软件、补丁管理•可控软件的使用•资产管理•外设管理“管”•统一的安全策略•统一的身份管理•分级分权分域的管理•全方位的日志审计网络准入+桌面管理=终端准入解决方案如何解决终端安全管理的问题7终端准入解决方案的范畴帐号管理访问权限控制接入策略管理分级管理访客管理准入控制流量监控资产管理桌面资产管理软件分发桌面安全4防软件管理补丁管理黑白软件管理防内网外联防ARP攻击客户端ACL8终端管理方式的演进第一阶段：分散管理绑定IP、MAC物理防护单机版管理软件……1终端管理方式变迁第二阶段：集中管理防病毒、防木马补丁管理软件桌面管理软件AAA、802.1X2第三阶段：终端准入终端准入管理资产、外设管理存储介质管理……3第四阶段：“云”准入桌面云虚拟化BYOD……49802.1X协议简介客户端PAE设备端提供的服务设备端PAE认证服务器客户端设备端认证服务器受控端口非受控端口端口非授权LAN/WLAN802.1X系统为典型的C/S结构包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）端口接入控制方式：基于端口、基于MAC1095核心交换机RADIUS服务器Internet汇聚交换机802.1X典型组网802.1X控制802.1X控制802.1X控制亮11用户终端接入设备Portal服务器RADIUS认证服务器1、用户直接使用IE7、Firefox进行URL访问请求4、Portal服务器获取用户输入信息后，与接入设备、认证服务器进行交互，完成对用户的身份认证。3、推送Portal认证页面，要求用户输入认证用户名、密码、服务类型登录界面Internet2、接入设备将用户的HTTP请求重定向到Portal服务器认证登录页面；WebPortal认证5、认证成功后，接入设备向终端用户发送身份认证成功结果，终端用户可接入Internet。支持IPv4和IPv6网络12S7502E核心交换机Internet汇聚交换机汇聚交换机接入交换机接入交换机接入交换机AgentAgentAgentRADIUS服务器Portal典型组网13终端用户准入控制四部曲不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求你是谁？企业网络动态授权合格用户不同用户享受不同的网络使用权限你安全吗？你可以做什么？你在做什么？行为审计与桌面管理14EAD解决方案整体架构服务器区准入设备iNode客户端第三方服务器隔离区OA服务器区EAD服务器iNode客户端iNode客户端接入接入接入管理管理管理EAD终端管理解决方案由iNode客户端、准入设备、第三方服务器、EAD服务器配合，完成准入认证、安全评估、权限控制、行为审计、协助管理五大功能。15实践是检验真理的标准H3CEAD解决方案于2005年推出。截止2012年4月底，在网用户数超过245万。CCID报告显示H3CEAD在品牌评价、市场份额等方面均位列中国终端准入市场第一名。大型企业案例：民生银行、辽宁建行、山西电力、山东电力、东北电网、用友软件、太原钢铁、三一重工、福建农林大学、辽宁地税、新华社、成都市政府、青岛市政府其他典型案例：中国银行、中国建设银行、华夏银行、国家电网、中国外运集团、酒泉钢铁、国务院办公厅、国家人事部、国家统计局、辽宁地税、上海财税、江西宜春移动、上海电信研究院。16EAD解决方案所获得国家级奖项2000-2005年中国最具价值网络安全领域解决方案2005年度中国最佳电子金融解决方案2007金融行业优秀网络信息安全解决方案2009“中国软件产业25年”金软件奖第十五届、十六届（2011-2012）中国国际软件博览会金奖17联动开放以用户管理业务为牵引，才能真正应用管理工具联动客户管理业务开放架构融合客户业务，提升价值WindowsAD、证书、LDAP用户管理系统、企业门户、企业应用防病毒、补丁、第三方桌面软件服务器用户用户iMC平台、NTA、UBA、WSM与iMC多组件联动，提供行为审计、拓扑定位等功能与LDAP、证书、AD等企业管理系统深度集成，数据共享与主流防病毒、补丁管理及桌面安全产品联动融合，统一管理通过二次开发接口、单点登录与用户管理系统、应用系统集成，保护投资18EAD合作伙伴19EAD应用于中国银行总行C6509楼层2楼层3楼层NH3C3600EAD主服务器楼层1C2950C3750C4507补丁服务器防病毒服务器隔离区Notes服务器Proxy代理服务器应用服务器区网络管理区UBAS行为审计NTA流量分析EAD客户端EAD客户端EAD客户端EAD客户端C6509GEEAD从服务器补丁管理、病毒管理、AD域统一认证，双机安全备份，用户上网行为审计20中信银行办公网iMC服务器总行办公网办公网逃生服务器办公网病毒、补丁服务器生产网iMC服务器生产网逃生服务器生产网病毒、补丁服务器总行生产网分行病毒、补丁服务器逃生服务器总行办公网总行生产网办公网LDAP服务器防病毒软件检查，系统补丁检查，黑白软件检查（趋势科技软件）；客户端ACL；哑终端认证；服务器准入认证；开启多MAC地址绑定；21全国税务系统H3C12518H3C12518T160G1T160G21楼南半区堆叠5228100.16.31.x100.16.139.x100.16.140.x522852289楼南1楼北半区5228522852286楼北半区100.16.121.x100.16.122.x100.16.126.x东小楼交通处房产处......100.16.143.x100.16.141.x100.16.142.x第二办T160G北电100.16.151-155...呼叫中心H3C75E开发测试中心Huawei8512接入Huawei31802.1x802.1x802.1x802.1x802.1x802.1x802.1x802.1x802.1x802.1x802.1x802.1x网络准入主服务器网络准入备服务器S31005228Portal华鹰802.1x5228开启了病毒管理；黑白软件检查，VRV是必须运行的桌面软件；内部人员和外部人员两套客户端，外部人员不能记录用户名口令和密码；访问权限控制；防卸载功能；绑定MAC地址22EAD解决方案成功案例－H3C办公区接入设备、总部入口防火墙、无线控制器均作为EAD安全联动设备综合采用802.1x、Portal、VPN、无线等多种认证方式，全网共6000用户23EAD主要功能一览软硬件资产管理软件分发U盘监控U盘外设控制远程控制防病毒管理补丁管理黑白软件管理防ARP攻击注册表管理操作系统密码管理客户端ACL帐号管理灵活权限接入区域管理接入设备管理接入服务管理高可用管理分级管理接入时间管理访客管理准入认证终端安全桌面管理打印机监控防内网外联24EAD主要功能——6AAuthentication1、准入认证Assessment2、安全评估Authorization3、权限控制Audit4、行为审计Assistance5、协助管理6AAvailability6、高可用性25适应各种组网环境局域网接入无线接入远程VPN接入广域网接入园区网核心InternetIntranet网关接入WindowsADOA办公服务器证书服务器防病毒服务器26融合多种功能的客户端在一个终端软件里面同时支持多种认证接入方式，同时支持安全评估、桌面管理等功能，实现管理的无缝融合27在各种认证协议下，各种操作系统下，进行网络接入认证，使用的客户端有不同的形态对应。（支持Windowsxpe—广州、四川建行）802.1xPortalVPNWindowsXP/2000/Vista/Windows7iNode客户端iNode客户端Web认证可溶解客户端iNode客户端LinuxiNode客户端(Linux)Web认证Java可溶解客户端暂无MACOSiNode客户端(MAC)Web认证Java可溶解客户端暂无协议操作系统多操作系统下的客户端对于EAD认证，Linux下支持对SymantecAntiVirus进行检测，MACOS下支持PCToolsSoftware公司的防病毒软件iAntiVirus；Linux、MACOS下也能防代理，检查补丁管理软件可溶解客户端防病毒、防火墙、打补丁、查进程、看服务、可控软件、检测双网卡……28移动智能终端iNode认证客户端企业网为满足iPhone、iPad、Android等移动智能客户端接入企业无线网络办公的需求，iNode推出iOS、Android版本的WebPortal认证客户端：更强的安全保障-----限制只有安装客户端的移动终端才能接入无线网络；精细的分类管理-----在线用户信息显示为iPhone或Android接入；便捷的故障排查-----提供客户端日志收集下载，便于排查网络接入认证故障。29智能终端免认证—首次认证AP/ACMAC认证模块(1)并打开浏览器上网(2)AC发现HTTP流量，发起MAC地址查询(3)判断MAC地址是否绑定或在黑名单，将MAC预绑定，返回未绑定(4)AC将http请求重定向到Portal认证页面，输入用户名密码认证，发起Portal认证(6)AC发起RADIUS认证短信猫(10)用户收到知会短信RADIUS服务器Portal服务器(7)RADIUS认证，按照普通绑定，快速认证正式绑定，快速认证预绑定，普通MAC地址自学习顺序进行绑定判断。(9)如果启用发送短信功能，则有定时任务定时查询是否有用户新绑定MAC地址，并发送知会短信(8)AC发送上线通知报文，根据UA，IP/MAC地址进行正式绑定。(5)根据UA判断是否为智能终端，留智能终端的预绑定，删除非智能终端的预绑定。30智能终端免认证—第二次上线AP/ACMAC认证模块(1)并打开浏览器上网(2)AC发现HTTP流量，发起MAC地址查询(3)判断MAC地址已经绑定，并且不在黑名单中(4)Portal根据MAC地址反查出用户名/密码，组成Portal认证报文发起认证(5)AC发起RADIUS认证RADIUS服务器Portal服务器(6)RADIUS认证，按照普通绑定，快速认证正式绑定，快速认证预绑