終端準(zhǔn)入控制ead解決方案

1、EAD處理方案介紹ISSUE 1.3日期：-4-28杭州華三通信技術(shù)有限企業(yè) 版權(quán)全部，未經(jīng)授權(quán)不得使用與傳輸?shù)?頁伴隨IT應(yīng)用不停發(fā)展，客戶開始意識到對內(nèi)網(wǎng)終端進(jìn)行控制和管理必要性，實施網(wǎng)絡(luò)接入控制，確保企業(yè)網(wǎng)絡(luò)安全，已是許多企業(yè)網(wǎng)客戶迫切需求。 伴隨EAD處理方案不停發(fā)展，新特征新功效層出不窮。以不停提供易用性和實用性，不停提升客戶滿意度為出發(fā)點，EAD處理方案已經(jīng)在不知不覺中發(fā)生了較大改變。引入第2頁了解EAD處理方案架構(gòu)熟悉EAD處理方案主要功效特征熟悉EAD處理方案相關(guān)配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：第3頁EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目

2、錄第4頁EAD處理方案定義EAD處理方案定義終端準(zhǔn)入控制（ End User Admission Domination ）處理方案從最終用戶安全控制入手，對接入網(wǎng)絡(luò)終端實施企業(yè)安全準(zhǔn)入策略。EAD處理方案集成了網(wǎng)絡(luò)準(zhǔn)入、終端安全、桌面管理三大功效，幫助維護(hù)人員控制終端用戶網(wǎng)絡(luò)使用行為，確保網(wǎng)絡(luò)安全。第5頁終端用戶安全接入四步曲安全檢驗不合格進(jìn)入隔離區(qū)修復(fù)隔離區(qū)安全檢驗正當(dāng)用戶非法用戶拒絕入網(wǎng)身份認(rèn)證接入請求你是誰？企業(yè)網(wǎng)絡(luò)動態(tài)授權(quán)合格用戶不一樣用戶享受不一樣網(wǎng)絡(luò)使用權(quán)限你安全嗎？你能夠做什么？你在做什么？實時監(jiān)控第6頁安全聯(lián)動設(shè)備第三方安全相關(guān)服務(wù)器EAD處理方案四個主要組成部分EAD終端準(zhǔn)入

3、控制處理方案iNode智能客戶端iMC服務(wù)器第7頁EAD處理方案業(yè)務(wù)架構(gòu)第8頁EAD處理方案軟件架構(gòu)全部業(yè)務(wù)組件均基于iMC平臺安裝，用于實現(xiàn)各種業(yè)務(wù)。 EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS服務(wù)器、策略服務(wù)器以及策略代理服務(wù)器EAD組件包含有：EAD前臺配置頁面、桌面資產(chǎn)管理服務(wù)器以及桌面資產(chǎn)管理代理iMC智能管理平臺（網(wǎng)元、告警、性能、資源）UAM組件EAD組件UBA組件NTA組件WSM組件MVM組件第9頁EAD基本認(rèn)證流程 iNode客戶端iMC服務(wù)器1. iNode客戶端發(fā)起認(rèn)證請求5. iNode客戶端執(zhí)行安全策略并上報安全檢驗結(jié)果6. 服務(wù)服務(wù)器下發(fā)檢驗結(jié)果、

4、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等3. iNode客戶端請求安全檢驗項4. 服務(wù)器下發(fā)安全檢驗項第三方服務(wù)器用于修復(fù)終端安全隱患Internet安全聯(lián)動設(shè)備2. 身份認(rèn)證成功，通知客戶端進(jìn)行安全檢驗第10頁802.1x認(rèn)證流程PAP/CHAPEAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestEAP-Request/MD5-ChallengeEAP-Response/MD5-PasswordAccess Success(Radius Code=2,隔離ACL)Accounting RequestAccounting

5、ResponseEAP-Success安全檢驗請求下發(fā)檢驗項上報檢驗結(jié)果監(jiān)控/修復(fù)策略下發(fā)iNode客戶端H3C設(shè)備iMC EAD安全策略服務(wù)器EAP(code=10)EAP(code=10)Session Control (Radius code=20,安全ACL)第11頁802.1x認(rèn)證流程EAP MD5EAPoL-StartEAP-Request/identityEAP-Responset/identityAccess RequestAccess Challenge(Proxy ip&port)EAP-Request/MD5-ChallengeEAP-Response/MD5-Passw

6、ordAccess RequestAccess SuccessAccounting RequestAccounting ResponseEAP-Success安全檢驗請求下發(fā)檢驗項上報檢驗結(jié)果監(jiān)控/修復(fù)策略下發(fā)iNode客戶端第三方設(shè)備iMC EAD安全策略服務(wù)器第12頁EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第13頁EAD業(yè)務(wù)基本配置流程基本配置流程第14頁流量監(jiān)控 為了對終端用戶網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，EAD處理方案支持異常流量監(jiān)控特征。管理員設(shè)置終端用戶流量閾值，iNode客戶端依據(jù)安全策略服務(wù)器指令，打開流量監(jiān)控功效，實現(xiàn)異常上報并依據(jù)安全策略服務(wù)器指令對用

7、戶采取對應(yīng)動作。第15頁防病毒軟件管理 檢驗防病毒客戶端是否正常開啟運行，病毒引擎和病毒庫版本是否符合要求，與高級聯(lián)動類型防病毒軟件聯(lián)動，還支持設(shè)置病毒查殺策略等內(nèi)容。第16頁軟件補(bǔ)丁管理 與微軟補(bǔ)丁服務(wù)器WSUS Server或SMS Server聯(lián)動進(jìn)行軟件補(bǔ)丁檢驗（自動強(qiáng)制升級）。 自定義系統(tǒng)軟件補(bǔ)丁檢驗，可針對系統(tǒng)軟件不一樣版本自定義補(bǔ)丁檢驗策略。第17頁可控軟件組管理監(jiān)控軟件安裝、進(jìn)程運行和服務(wù)運行。對于檢驗類型為“必須安裝”或“必須運行”可控軟件組，只要安全檢驗結(jié)果匹配組內(nèi)一條策略即認(rèn)為檢驗經(jīng)過；對于檢驗類型為“禁止安裝”或“禁止運行”可控軟件組，只要安全檢驗結(jié)果匹配組內(nèi)一條策略即

8、認(rèn)為檢驗不經(jīng)過。第18頁注冊表監(jiān)控監(jiān)控指定注冊表項中是否存在特征鍵名及鍵值。第19頁操作系統(tǒng)密碼監(jiān)控經(jīng)過字典文件方式，檢驗操作系統(tǒng)密碼是否為字典文件中統(tǒng)計弱密碼。第20頁遠(yuǎn)程桌面連接提供了對在線用戶進(jìn)行遠(yuǎn)程登錄功效。網(wǎng)絡(luò)管理員能夠經(jīng)過遠(yuǎn)程連接功效對遠(yuǎn)程終端用戶電腦進(jìn)行維護(hù)和管理。第21頁EAD四種安全級別監(jiān)控模式不論安全檢驗結(jié)果怎樣，都提醒用戶經(jīng)過安全檢驗，不彈出安全檢驗結(jié)果頁面，不對用戶做任何限制。只在服務(wù)器一側(cè)統(tǒng)計檢驗結(jié)果以備之后審計。提醒模式若安全檢驗不經(jīng)過則會提醒用戶存在安全隱患，但不對用戶采取任何動作，不彈出安全檢驗結(jié)果頁面。隔離模式若安全檢驗不經(jīng)過，通知安全聯(lián)動設(shè)備限制用戶只能訪問

9、隔離區(qū)資源。下線模式若安全檢驗不經(jīng)過，將用戶強(qiáng)制下線。第22頁安全級別安全級別是一組安全檢驗項集合安全檢驗不經(jīng)過時，最終執(zhí)行何種模式策略取決于未經(jīng)過檢驗項中最嚴(yán)格模式不安全提醒閾值功效只能與隔離模式或下線模式配合使用第23頁安全策略引用安全級別，使能各項安全檢驗策略，配置動態(tài)ACL下發(fā)除了使能這些安全檢驗策略之外，需要注意同時使能實時監(jiān)控功效第24頁服務(wù)服務(wù)是最終用戶使用網(wǎng)絡(luò)一個路徑，它由預(yù)先定義一組網(wǎng)絡(luò)使用特征組成，其中詳細(xì)包含基本信息、授權(quán)信息、認(rèn)證綁定信息、用戶客戶端配置和授權(quán)用戶分組等。 在服務(wù)配置中引用已經(jīng)有安全策略。只能在創(chuàng)建新服務(wù)時增加安全策略，假如一個已經(jīng)有服務(wù)并未引用安全策略

10、，則不能經(jīng)過修改這個服務(wù)方式引用安全策略。第25頁策略服務(wù)器參數(shù)配置策略服務(wù)器參數(shù)配置第26頁用戶分組 用戶分組不再和服務(wù)關(guān)聯(lián)，而是只和操作員關(guān)聯(lián)。 針對特定用戶分組執(zhí)行特定策略。與指定用戶分組關(guān)聯(lián)操作員才能管理該分組內(nèi)用戶以及產(chǎn)生相關(guān)用戶信息。第27頁業(yè)務(wù)分組將一些個性化策略歸入指定業(yè)務(wù)分組，只有與該業(yè)務(wù)分組關(guān)聯(lián)操作員，才能夠管理該業(yè)務(wù)分組中策略。第28頁基于iNode客戶端ACL下發(fā)傳統(tǒng)基于設(shè)備ACL下發(fā)方式：并非全部設(shè)備都支持ACL下發(fā)設(shè)備ACL資源有限用戶區(qū)分角色越多，設(shè)備上ACL配置越復(fù)雜無法經(jīng)過服務(wù)器直接查看下發(fā)ACL中所包含詳細(xì)規(guī)則第29頁基于iNode客戶端ACL下發(fā) iNod

11、e客戶端1. iNode客戶端發(fā)起認(rèn)證請求7. iNode客戶端執(zhí)行安全策略并上報安全檢驗結(jié)果8. 服務(wù)服務(wù)器下發(fā)檢驗結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等3. iNode客戶端主動請求安全檢驗項申明支持ACL下發(fā)特征4. 服務(wù)器下發(fā)安全檢驗項提醒客戶端請求ACL第三方服務(wù)器用于修復(fù)終端安全隱患Internet安全聯(lián)動設(shè)備2. 身份認(rèn)證成功，通知客戶端進(jìn)行安全檢驗5. 客戶端主動請求ACLiMC服務(wù)器6. 同時下發(fā)隔離ACL和安全ACL（包含全部規(guī)則）第30頁基于iNode客戶端ACL下發(fā)配置ACL策略第31頁基于iNode客戶端ACL下發(fā)在安全策略中引用ACL第32頁定制客戶端啟用ACL功效

12、打開客戶端管理中，點擊客戶端定制，選擇高級定制。在基本功效項中勾選啟用ACL功效。第33頁防內(nèi)網(wǎng)外聯(lián)基于客戶端ACL功效，實現(xiàn)了防內(nèi)網(wǎng)外聯(lián)功效iNode認(rèn)證前全部網(wǎng)卡都是邏輯上關(guān)閉，會過濾除DHCP外全部IP報文認(rèn)證經(jīng)過后僅認(rèn)證網(wǎng)卡放開，其它網(wǎng)卡依然關(guān)閉僅限802.1x和Portal認(rèn)證方式思索：VPN認(rèn)證方式是否有必要支持此特征？為何不能過濾DHCP報文？第34頁定制客戶端啟用防內(nèi)網(wǎng)外聯(lián)打開客戶端管理中，點擊客戶端定制，選擇高級定制。在基本功效項中勾選啟用防內(nèi)網(wǎng)外聯(lián)功效。第35頁混合組網(wǎng)特征由來使用RADIUS報文控制在線用戶列表需要考慮：EAD安全認(rèn)證依賴于RADIUS身份認(rèn)證建立在線表，

13、而RADIUS在線表需要接入設(shè)備支持發(fā)送計費開始和計費結(jié)束報文。在沒有EAP心跳機(jī)制和不支持計費更新報文環(huán)境下，輕易出現(xiàn)在線用戶列表中用戶掛死現(xiàn)象。即使與支持計費更新包第三方設(shè)備配合，通常也無法支持經(jīng)過計費更新包下發(fā)剩下上網(wǎng)時長等信息，從而無法準(zhǔn)確控制在線用戶。即使在線重認(rèn)證能夠在一定程度上代替EAP心跳和計費更新包，但各廠家實現(xiàn)各不相同，難以統(tǒng)一處理，可能引發(fā)其它問題隱患。第36頁混合組網(wǎng)特征原理RADIUS身份認(rèn)證經(jīng)過后，客戶端獲取到安全檢驗代理IP和端口后即發(fā)起安全認(rèn)證。由策略服務(wù)器依據(jù)安全認(rèn)證/心跳/下線報文維持在線表。UAM后臺對于計費報文或重認(rèn)證報文僅做檢測和回應(yīng)，不再更新或刪除在

14、線表。經(jīng)過EAD心跳回應(yīng)報文返回用戶剩下上網(wǎng)時長（接入時段限制、在線加入黑名單、用戶被從在線表刪除等），以準(zhǔn)確控制在線用戶。第37頁配置混合組網(wǎng)特征該特征基于接入設(shè)備實現(xiàn)，同一個接入設(shè)備全部用戶要么啟用要么不啟用僅適合用于802.1x認(rèn)證方式第38頁布署混合組網(wǎng)特征注意事項對于能夠很好支持RADIUS計費（含開始、結(jié)束、更新）報文設(shè)備不提議啟用該特征。網(wǎng)絡(luò)環(huán)境復(fù)雜，而iNode又是基于操作系統(tǒng)安裝，EAD心跳丟失可能性比RADIUS報文丟失可能性大多混合組網(wǎng)環(huán)境下，服務(wù)器動用老化功效來清理在線用戶列表機(jī)會比傳統(tǒng)環(huán)境下大多，所以提議在混合組網(wǎng)環(huán)境下適當(dāng)放寬對同一帳號在線用戶數(shù)量限制。第39頁EA

15、D分級布署特征由來經(jīng)典大型網(wǎng)絡(luò)結(jié)構(gòu)是一個總部下轄多個分支，而分支下面可能還有分支，各分支之間及與總部間網(wǎng)絡(luò)相對獨立，各自有一批網(wǎng)管人員在維護(hù)?？偛肯Ｍ芙o分支機(jī)構(gòu)確定安全策略，讓各分支應(yīng)用而不能隨意修改。各分支匯總信息能以報表形式上報給總部。第40頁分級布署架構(gòu)第41頁使用EAD分級特征前注意事項EAD分級特征是EAD組件特征，僅布署UAM組件是沒有分級管理功效。EAD分級特征依賴于ETL數(shù)據(jù)分析服務(wù)器組件及報表組件。EAD分級管理實施應(yīng)該是自上而下進(jìn)行布署。即先布署總部,在總部iMC系統(tǒng)中定義其下級節(jié)點，并配置好預(yù)計下發(fā)給下級節(jié)點策略。第42頁上級節(jié)點配置定制安全策略及其相關(guān)配置（防病毒軟件

16、、補(bǔ)丁、可控軟件、流量監(jiān)控策略等）。定制服務(wù)并引用安全策略。配置下級節(jié)點：IP、Port、管理員帳號和密碼。上下級間通信是經(jīng)過WEB Service實現(xiàn)。第43頁上級節(jié)點配置以“服務(wù)”為單元給下級節(jié)點下發(fā)配置。該服務(wù)所引用各種策略（主要指安全策略）及策略引用策略（流量監(jiān)控策略、補(bǔ)丁、可控軟件、防病毒軟件等）都會下發(fā)給下級節(jié)點。第44頁策略分發(fā)標(biāo)準(zhǔn)支持每日定時自動分發(fā)和手工分發(fā)。首先比較策略更新時間和上次成功下發(fā)時間，假如策略更新時間較新則下發(fā)。策略會逐層下發(fā)下去，中間一級只能將上一級策略直接下發(fā)給下級，不能跨級分發(fā)。第45頁下級節(jié)點配置上級結(jié)點是在下發(fā)時自動配置上，假如上級結(jié)點IP地址發(fā)生改變

17、時才需要修改。第46頁下級節(jié)點配置下級結(jié)點上報匯總數(shù)據(jù)配置。第47頁分級報表管理查看安全日志匯總統(tǒng)計報表第48頁下級節(jié)點工作和限制下級節(jié)點不能增加/刪除服務(wù)、安全策略和安全級別，絕大多數(shù)配置也不能修改。下級節(jié)點不能增加/修改/刪除補(bǔ)丁、注冊表監(jiān)控策略、流量監(jiān)控策略、防病毒軟件等信息。下級節(jié)點不能修改/刪除下發(fā)可控軟件組，但能夠新增，而且能夠?qū)Π踩墑e當(dāng)?shù)匦略隹煽剀浖M對應(yīng)處理方式進(jìn)行修改。下級節(jié)點能夠修改安全策略中配置ACL以及服務(wù)器地址等個性化內(nèi)容。第49頁下級節(jié)點工作和限制下級節(jié)點能夠修改服務(wù)中授權(quán)信息，以下發(fā)VLAN信息。若最近一次下發(fā)服務(wù)中沒有包含當(dāng)前用戶已申請服務(wù)，則該狀態(tài)變?yōu)椤盁o效

18、”，申請該服務(wù)用戶無法經(jīng)過認(rèn)證。除服務(wù)外，其它之前曾經(jīng)下發(fā)而最近一次沒有下發(fā)內(nèi)容（安全策略、補(bǔ)丁、可控軟件組等）都會被刪除。接入時段策略和接入?yún)^(qū)域策略不下發(fā)。同名服務(wù)、安全策略、安全級別下發(fā)后，會更新不可修改項。下級節(jié)點不再支持業(yè)務(wù)分權(quán)。第50頁漫游特征由來在EAD分級環(huán)境中，不一樣節(jié)點所管理用戶含有流動性，當(dāng)A節(jié)點用戶到B節(jié)點出差時，希望能不在B節(jié)點增加相關(guān)帳號信息就能夠接入到網(wǎng)絡(luò)并能做身份認(rèn)證和安全檢驗。即使在B節(jié)點上開始賓客帳號能夠處理上面問題，但賓客帳號無法區(qū)分用戶身份，給管理和審計帶來不便。用戶在B節(jié)點認(rèn)證時，B節(jié)點依據(jù)其身份（帶了A節(jié)點某種標(biāo)識）將其身份認(rèn)證請求發(fā)送到A節(jié)點，由A節(jié)

19、點進(jìn)行身份校驗。這就是所謂“漫游”。通常將B節(jié)點稱之為漫游地服務(wù)器，而A節(jié)點稱之為歸屬地服務(wù)器。第51頁漫游地服務(wù)器配置使能漫游地服務(wù)器漫游功效。第52頁漫游地服務(wù)器配置配置漫游域信息第53頁漫游地服務(wù)器配置配置漫游域信息，同時定義認(rèn)證及計費漫游第54頁漫游地服務(wù)器配置配置漫游域信息下面示例表示漫游地服務(wù)器假如收到用戶名攜帶域名后綴為roam認(rèn)證請求則直接轉(zhuǎn)給IP地址為0歸屬地服務(wù)器處理。第55頁歸屬地服務(wù)器配置添加漫游地服務(wù)器下面示例表示將漫游地服務(wù)器07作為歸屬地服務(wù)器一臺認(rèn)證接入設(shè)備添加進(jìn)來，需確保與漫游地配置密鑰一致。第56頁漫游中身份認(rèn)證和安全認(rèn)證屬于A節(jié)點用戶a到B節(jié)點網(wǎng)絡(luò)中認(rèn)證時

20、，接入設(shè)備將認(rèn)證請求發(fā)送給B節(jié)點，B節(jié)點再經(jīng)過RADIUS-proxy功效將其轉(zhuǎn)給A節(jié)點校驗，完成身份驗證。在做身份認(rèn)證漫游時，B節(jié)點將當(dāng)?shù)匕踩鞩P和端口下發(fā)給iNode客戶端，iNode到B節(jié)點上做安全認(rèn)證。因為B節(jié)點上沒有用戶a用戶信息，所以需要在B上設(shè)置一個“缺省安全策略”，全部漫游用戶都用該安全策略進(jìn)行安全認(rèn)證。漫游過程中2個節(jié)點都會有該用戶在線信息。第57頁漫游中身份認(rèn)證和安全認(rèn)證屬于A節(jié)點用戶a到B節(jié)點網(wǎng)絡(luò)中認(rèn)證時，接入設(shè)備將認(rèn)證請求發(fā)送給B節(jié)點，B節(jié)點再經(jīng)過RADIUS-proxy功效將其轉(zhuǎn)給A節(jié)點校驗，完成身份驗證。在做身份認(rèn)證漫游時，B節(jié)點將當(dāng)?shù)匕踩鞩P和端口下發(fā)給i

21、Node客戶端，iNode到B節(jié)點上做安全認(rèn)證。因為B節(jié)點上沒有用戶a用戶信息，所以需要在B上設(shè)置一個“缺省安全策略”，全部漫游用戶都用該安全策略進(jìn)行安全認(rèn)證。漫游過程中2個節(jié)點都會有該用戶在線信息。第58頁EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第59頁DAM介紹桌面資產(chǎn)管理（Desktop Asset Management）主要關(guān)注于企業(yè)信息安全，能夠?qū)K端進(jìn)行全方位監(jiān)控，確保用戶只能合理正當(dāng)使用企業(yè)信息資源，并提供實時和事后審計。第60頁DAM軟件架構(gòu)DAM Agent駐留在桌面機(jī)操作系統(tǒng)中，執(zhí)行相關(guān)DAM策略，采集終端軟硬件資產(chǎn)信息；監(jiān)控一些敏感資產(chǎn)變

22、更；執(zhí)行軟件分發(fā)、外設(shè)管理任務(wù)。DAM Proxy負(fù)責(zé)轉(zhuǎn)發(fā)iNode客戶端桌面服務(wù)器交互報文。DAM Server 負(fù)責(zé)向客戶端下發(fā)桌面安全相關(guān)策略，接收客戶端上報相關(guān)信息，并存入數(shù)據(jù)庫中。第61頁DAM功效概述資產(chǎn)管理資產(chǎn)注冊資產(chǎn)查詢資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設(shè)管理U盤拔插、寫入監(jiān)控禁用USB、光驅(qū)、軟驅(qū)、串口、并口、紅外、藍(lán)牙、1394、Modem第62頁資產(chǎn)注冊（一）配置資產(chǎn)編號生成方式支持手工資產(chǎn)編號和自動資產(chǎn)編號兩種方式第63頁資產(chǎn)注冊（二）以手工生成資產(chǎn)編號為例終端第一次上線時提醒輸入資產(chǎn)編號，必須與服務(wù)器上已錄入編號一致服務(wù)器返回該資產(chǎn)編號對應(yīng)資產(chǎn)信

23、息，由終端確認(rèn)后完成注冊第64頁資產(chǎn)查詢與統(tǒng)計（一）查詢已注冊資產(chǎn)詳細(xì)信息，包含操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補(bǔ)丁列表、進(jìn)程列表、服務(wù)列表以及共享列表。第65頁資產(chǎn)查詢與統(tǒng)計（二）支持按各種分類方式統(tǒng)計資產(chǎn)信息并顯示報表支持統(tǒng)計資產(chǎn)軟件安裝情況第66頁資產(chǎn)變更管理支持軟硬件資產(chǎn)信息變更檢驗和上報第67頁軟件分發(fā)（一）配置軟件分發(fā)服務(wù)器配置軟件分發(fā)任務(wù)第68頁軟件分發(fā)（二）iNode客戶端下載安裝程序完成后彈出軟件分發(fā)管理提醒窗口，用戶也能夠手工從客戶端上查看雙機(jī)軟件分發(fā)管理中文件名稱開始安裝第69頁USB監(jiān)控統(tǒng)計使用USB時間統(tǒng)計寫入USB文件第70頁外設(shè)

24、管理（一）配置外設(shè)管理策略，選擇需要禁用外設(shè)將外設(shè)管理策略與資產(chǎn)分組關(guān)聯(lián)第71頁外設(shè)管理（二）手工啟用已經(jīng)被外設(shè)管理策略禁用設(shè)備后，將產(chǎn)生外設(shè)違規(guī)統(tǒng)計第72頁業(yè)務(wù)參數(shù)配置資產(chǎn)編號方式資產(chǎn)變更掃描間隔時長心跳相關(guān)參數(shù)資產(chǎn)策略請求間隔時長第73頁EAD處理方案概述EAD處理方案特征桌面資產(chǎn)管理EAD處理方案容災(zāi)方案目錄第74頁逃生工具用戶接入逃生工具（簡稱為“逃生工具”）是CAMS / iMC UAM后臺替身。當(dāng)CAMS / iMC UAM出現(xiàn)諸如進(jìn)程宕掉、數(shù)據(jù)庫異常、性能下降等故障無法處理認(rèn)證或計費請求時，逃生工具暫時替換CAMS / iMC UAM處理請求報文以保障用戶業(yè)務(wù)不中止。逃生工具不驗

25、證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對于請求報文都直接回應(yīng)成功。 逃生工具以后臺服務(wù)形式存在，操作系統(tǒng)重新開啟后會自動啟用逃生工具。第75頁逃生工具布署方式逃生工具支持集中式布署（即和iMC UAM布署于同一臺服務(wù)器上）和獨立布署（單獨布署在另一臺服務(wù)器上）。逃生工具和UAM監(jiān)聽一樣端口，所以當(dāng)集中式布署時只能開啟二者之一。獨立布署時，提議將逃生工具所在服務(wù)器配置成和原服務(wù)器一樣IP地址，并離線放置。當(dāng)出現(xiàn)故障時直接將原服務(wù)器網(wǎng)線拔到逃生工具服務(wù)器上，就好像替換備件。不提議配置不一樣IP做主備切換。獨立布署好處是首先盡可能防止主機(jī)操作系統(tǒng)或硬件故障帶來影響，其次能夠在主

26、機(jī)出現(xiàn)故障時直接在現(xiàn)網(wǎng)環(huán)境下定位問題，而不用為了開啟逃生而將UAM停頓。這么能夠盡早定位問題，恢復(fù)原服務(wù)器。第76頁逃生工具優(yōu)缺點優(yōu)點有低成本容災(zāi)方案，實施及維護(hù)非常簡單；一個簡單易行附加保險，即使是使用了其它容災(zāi)方案，依然能夠準(zhǔn)備一套逃生工具以備不時之需缺點有需要管理員及時發(fā)覺故障并手工地切換使用逃生工具；用戶業(yè)務(wù)依然會中止；使用逃生工具期間，將損失認(rèn)證用戶全部接入信息（日志，計費信息等）；因為逃生工具不對認(rèn)證請求做任何判斷，所以在使用逃生工具期間將存在一定安全隱患第77頁DBMAN雙機(jī)備份工作流程設(shè)備與主iMC服務(wù)器之間通訊中止，發(fā)出認(rèn)證請求或計費請求在一定時間內(nèi)未收到響應(yīng)；自動將請求發(fā)往備iMC服務(wù)器 ，同時將主服務(wù)器狀態(tài)置為block等候一定時間間隔后，再次嘗試將請求發(fā)往主iMC服務(wù)器，若通訊恢復(fù)則馬上將主服務(wù)器狀態(tài)置為active，從服務(wù)器狀態(tài)不變primarysecondaryX第78頁DBMAN雙機(jī)備份實施步驟在接入設(shè)備上配置從認(rèn)證和從計費服務(wù)器secondary authentication *.*.*.* 1812secondary accounting *.*.*.* 1813iMC備服務(wù)器申請冷備License登陸備iMC服務(wù)器配置臺時只含有查看權(quán)限，不能修改配置經(jīng)過配置DBMAN