手册下载
01-EAD PC可控软件组管理典型配置举例-整本手册.pdf (5.31 MB)
EAD PC可控软件组管理
典型配置举例
资料版本:5W103-20221014
产品版本:AD-Campus EAD (E6204)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
PC可控软件组定义了需要检测的软件、进程、服务、文件。
对软件/进程/服务/文件具体检测的内容如下:
· 软件:检测软件的安装情况。
· 进程:检测进程的运行情况。
· 服务:检测服务的启动情况。
· 文件:检测文件是否存在。
适用于在企业、学校或者其他需要检查终端系统软件、进程、服务、文件的网络环境。
某公司计划启用PC可控软件组检查,用户接入网络时需要进行接入认证和PC可控软件组检查,具体的组网如图2所示。
部署EAD时依赖EIA组件,所以需要先部署EIA再部署EAD。
· EIA&EAD服务器IP地址为172.19.206.7。查看方式如下:
· 在集群部署环境中,会涉及EIA/EAD服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA/EAD服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA/EAD服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA/EAD服务器的IP地址,如图1所示。
图1 查看EIA/EAD服务器IP地址
· 接入设备用户侧GigabitEthernet1/0/16所在VLAN的虚接口Vlan-interface 108的IP地址为108.108.108.1。
· PC的IP地址为108.108.108.3。其中,PC上需安装Windows操作系统,并准备iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA&EAD版本:AD-Campus EIA (E6204)、AD-Campus EAD (E6204)
· 接入设备:H3C S5820V2-54QS-GE
· iNode版本:iNode PC 7.3 (E0585)
接入认证配置本手册采用Portal认证方式,配置内容不再进行介绍,请参见接入认证相关的典配手册。
在PC可控软件组管理页面,可以增加、修改、删除四种不同类型(软件、进程、服务和文件)的PC可控软件组,可以根据PC可控软件组名称和软件、进程、服务和文件名称查询PC可控软件组。
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,点击“PC可控软件”页签进入PC可控软件页面,如图3所示。
图3 PC可控软件页面
(2) 单击<增加>按钮,进入增加PC可控软件组页面,如图4所示。
图4 增加PC可控软件组页面
(3) 选择类型为“软件”,增加PC可控软件组的组名称为“iNode Client软件检查”。在软件信息栏目,单击<增加>按钮,增加一个软件名称为“iNode智能客户端”的软件信息,其他参数不需修改,保持默认即可,如图5所示。
图5 增加类型为“软件”的PC可控软件组
其他参数说明:
¡ 组名称:名称不允许包含{|<>/%&'\",;:*} 等特殊字符。
¡ 软件名称:软件名称必须与[控制面板]->[添加或删除程序]中软件的名称保持一致。软件名称不允许包含{;},*号作为通配符仅可出现在开头或结尾。
¡ 不合格缺省处理方式:新增的PC可控软件组在安全级别中的不合格缺省处理方式。在增加安全级别且检查PC可控软件组不使用整体安全模式时,该PC可控软件组的不合格缺省处理方式即为此处配置的安全模式。整体安全模式在[准入安全检查/准入安全级别]中配置。当配置了整体安全模式后,整体安全模式比不合格缺省处理方式的优先级高。
¡ 组内项关系:用于配置PC可控软件组组内子项之间的相互关系。组内子项之间的关系分为两种:或、与。“或”表示子项之间是或者的关系,即安装其中一个即可,“与”表示子项必须同时安装
更多参数介绍,请参见产品界面联机帮助。
图6 增加类型为“软件”的PC可控软件组
(5) 单击<确定>按钮,增加PC可控软件完毕,可在PC可控软件列表中查看新增的PC可控软件,如图7所示。
图7 PC可控软件页面
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,点击“PC可控软件”进入PC可控软件页面,如图8所示。
图8 PC可控软件页面
(2) 单击<增加>按钮,进入增加PC可控软件组页面,如图9所示。
图9 增加PC可控软件组页面
(3) 选择类型为“进程”,增加组名称“iNode Client进程检查”的PC可控软件组。在进程信息栏目,增加一个进程名称为“iNode Client.exe”的进程信息,如图10所示。
图10 增加类型为“进程”的PC可控软件组
参数说明:
¡ 组名称:名称不允许包含{|<>/%&'\",;:*} 等特殊字符。
¡ 进程名称:进程名称不允许包含{|<>/%&'\",;*} 等特殊字符。
- 对于Windows操作系统,进程名称必须与[任务管理器]->[进程]中软件的进程名保持一致;
- 对于Linux操作系统,进程名称必须与ps -ef命令结果中的进程名称保持一致;
- 对于Mac OS,进程名称必须与ps -awwx -o command命令结果中的进程名称保持一致。
¡ 不合格缺省处理方式:新增的PC可控软件组在安全级别中的不合格缺省处理方式。在增加安全级别且检查PC可控软件组不使用整体安全模式时,该PC可控软件组的不合格缺省处理方式即为此处配置的安全模式。整体安全模式在[准入安全检查/准入安全级别]中配置。当配置了整体安全模式后,整体安全模式比不合格缺省处理方式的优先级高。
¡ 组内项关系:用于配置PC可控软件组组内子项之间的相互关系。组内子项之间的关系分为两种:或、与。“或”表示子项之间是或者的关系,即安装其中一个即可,“与”表示子项必须同时安装
更多参数介绍,请参见产品界面联机帮助。
(4) 单击<确定>按钮,增加进程信息完毕,如图11所示。
图11 增加类型为“进程”的PC可控软件组
(5) 单击<确定>按钮,增加PC可控软件完毕,可在PC可控软件列表中查看新增的PC可控软件,如图3-12所示。
图12 PC可控软件页面
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,点击“PC可控软件”进入PC可控软件页面,如图13所示。
图13 PC可控软件页面
(2) 单击<增加>按钮,进入增加PC可控软件组页面,如图14所示。
图14 增加PC可控软件组页面
(3) 选择类型为“服务”,增加组名称“iNode Client服务检查”的PC可控软件组。在服务信息栏目,增加一个服务名称为“INODE_SVR_SERVICE”的进程信息,如图15所示。
图15 增加类型为“服务”的PC可控软件组
参数说明:
¡ 组名称:名称不允许包含{|<>/%&'\",;:*} 等特殊字符。
¡ 服务名称:服务名称不允许包含{|<>/%&'\",;*} 等特殊字符。
- 对于Windows操作系统,服务名称必须与[控制面板]->[管理工具]->[服务]->[属性]里的服务名称保持一致;
- 对于Linux操作系统,服务名称必须与service --status-all命令结果中的服务名称保持一致;
- 对于Mac OS,服务名称必须与service --list命令结果中的服务名称保持一致。
¡ 不合格缺省处理方式:新增的PC可控软件组在安全级别中的不合格缺省处理方式。在增加安全级别且检查PC可控软件组不使用整体安全模式时,该PC可控软件组的不合格缺省处理方式即为此处配置的安全模式。整体安全模式在[准入安全检查/准入安全级别]中配置。当配置了整体安全模式后,整体安全模式比不合格缺省处理方式的优先级高。
¡ 组内项关系:用于配置PC可控软件组组内子项之间的相互关系。组内子项之间的关系分为两种:或、与。“或”表示子项之间是或者的关系,即安装其中一个即可,“与”表示子项必须同时安装
更多参数介绍,请参见产品界面联机帮助。
(4) 单击<确定>按钮,增加服务信息完毕,如图16所示。
图16 增加类型为“服务”的PC可控软件组
(5) 单击<确定>按钮,增加PC可控软件完毕,可在PC可控软件列表中查看新增的PC可控软件,如图3-17所示。
图17 PC可控软件页面
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,点击“PC可控软件”进入PC可控软件页面,如图18所示。
图18 PC可控软件页面
(2) 单击<增加>按钮,进入增加PC可控软件组页面,如图19所示。
图19 增加PC可控软件组页面
(3) 选择类型为“文件”,增加组名称“test文件检查”的PC可控软件组。在文件信息栏目,增加一个文件路径和名称为“D:\test.txt”的文件信息,如图20所示。管理员可定制关键字检查类型(不检查、必须包含和必须不包含)、关键字类型(可见字符串和十六进制/二进制)和关键字内容,如图20所示。
图20 增加类型为“文件”的PC可控软件组
参数说明:
¡ 组名称:名称不允许包含{|<>/%&'\",;:*} 等特殊字符。
¡ 文件路径和名称:在可控软件组中增加文件时,文件路径和名称就是文件的绝对路径+文件名,Windows下的文件名必须以“x:”(x代表盘符名)开头,Linux和Mac OS下必须以“/”开头。文件名如果有扩展名需包含扩展名,且不允许包含{*?;|#<>}等特殊字符。
¡ 不合格缺省处理方式:新增的PC可控软件组在安全级别中的不合格缺省处理方式。在增加安全级别且检查PC可控软件组不使用整体安全模式时,该PC可控软件组的不合格缺省处理方式即为此处配置的安全模式。整体安全模式在[准入安全检查/准入安全级别]中配置。当配置了整体安全模式后,整体安全模式比不合格缺省处理方式的优先级高。
¡ 组内项关系:用于配置PC可控软件组组内子项之间的相互关系。组内子项之间的关系分为两种:或、与。“或”表示子项之间是或者的关系,即安装其中一个即可,“与”表示子项必须同时安装。
¡ 关键字类型:选择“可见字符串”时,仅支持检查纯文本文件,不支持.doc、.xls等其他文件。选择“十六进制/二进制”时,支持检查所有类型文件。
¡ 关键字:关键字类型为可见字符串时,不能包含{+;}。关键字类型为十六进制/二进制时,只能包含0~9和A~F,且长度必须为偶数位。
更多参数介绍,请参见产品界面联机帮助。
(4) 单击<确定>按钮,增加文件信息完毕,如图21所示。
图21 增加类型为“文件”的PC可控软件组
(5) 单击<确定>按钮,增加PC可控软件完毕,可在PC可控软件列表中查看新增的PC可控软件,如图22所示。
图22 PC可控软件页面
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 准入安全级别”菜单项,进入准入安全级别页面,如图23所示。
(2) 单击<增加>按钮,进入增加安全级别页面,在基本信息栏目,增加安全级别名test,设置检查可控软件组不合格时的安全模式,如图24所示,可以选择整体安全模式或者逐条配置。
¡ 整体安全模式:此时所有的可控软件组都使用此安全模式。
¡ 逐条配置:对各个可控软件组分别配置各自的安全模式。
此例,逐条配置PC可控软件组,对增加的PC可控软件组“iNode Client软件检查”、“iNode Client进程检查”、“iNode Client服务检查”和“test文件检查”均配置隔离模式。
(1) 选择“自动化”页签,单击导航树中的“终端业务 > 终端安全管理 > 准入安全策略”菜单项,进入准入安全策略页面,如图25所示。
(2) 单击<增加>按钮,进入增加安全策略页面。在基本信息栏目,增加安全策略名为test,安全级别为监控模式。在PC栏目,选择“检查可控软件组”。这里可对可控软件组逐条配置,如图26所示。
在此例中,设置“iNode Client软件检查”检查类型设置为“仅限安装”、“iNode Client进程检查”为“必须运行”、“iNode Client服务检查”设置为“必须启动”、“test文件检查”设置为“必须存在”。对于软件类型的PC可控软件组,如果安全检查不合格,可以配置服务器地址,iNode客户端将会提示用户访问该服务器来修复,如图27所示。
图27 增加安全策略-检查可控软件组-逐条配置
参数说明:
¡ 检查PC可控软件组:检查用户终端使用的软件和文件是否符合可控软件组检查,可控软件组检查类型包括安装、运行、启动和存在四种,可对每一个类型为软件的可控软件组检查类型可设置为禁止安装、必须安装、仅限安装,可对每一个类型为进程的可控软件组检查类型可设置为必须运行、禁止运行,可对每一个类型为服务的可控软件组检查类型可设置为必须启动、禁止启动,可对每一个类型为文件的可控软件组检查类型可设置为必须存在、禁止存在。
¡ 服务器URL:如果用户上网过程中所使用的软件不符合要求,在服务器配置了“服务器URL”后,iNode将会提示用户访问该服务器来修复。而对于进程、服务和文件检查不合格,无法通过该服务器来修复。
¡ 安全阈值:用户安全检查不合格时会累积次数,次数达到安全阈值,触发对应的安全级别的处理,例如下线或者隔离等操作。用户通过安全检查后,不合格累积次数会被清零。如果配置为0,则表示立即执行安全级别配置的模式,即立即隔离或下线。安全阈值只在终端安全认证或重认证检查不合格时才累积次数,实时监控检查违规不会累积。
更多参数介绍,请参见产品界面联机帮助。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。单击“接入设备”TAB页,进入接入设备配置页面,如图28所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图29所示。
(3) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图30所示。输入接入设备的IP地址和名称,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
图30 手工增加接入设备
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如图31所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图32所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。单击“接入策略”TAB页,进入接入策略页面,如图33所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图34所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图35所示。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面,如图36所示。
(2) 单击<增加>按钮,进入增加接入服务页面,增加服务名并在缺省服务策略和缺省安全策略选择之前配置的接入策略和安全策略(本手册二者均为test),并配置服务后缀为portal,如图37所示。
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图38所示。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入用户”菜单项,进入接入用户页面,如图39所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图40所示。
参数说明
¡ 账号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。帐号名支持中间含空格的形式。帐号名在帐号创建成功后不能修改,因此在修改接入用户页面,该字段不可修改。
¡ 密码:密码用于身份验证,不可为空,且最大长度为32字符。
¡ 允许用户修改密码:是否允许接入用户自行修改密码。如果设置为不允许用户修改密码,则“启用用户密码控制策略”和“下次登录须修改密码”这两个选项不可用。
¡ 启用用户密码控制策略:该参数决定了接入用户通过客户端或用户自助服务平台修改密码时是否受密码控制策略的限制。
¡ 接入服务:根据用户所在的用户分组,显示用户可以申请的接入服务列表。选中服务对应的复选框即可申请该服务(本手册增加的接入服务名称为“测试服务”)。一个帐号可以申请多个服务,但是不能申请2个或2个以上服务后缀相同的服务。如果申请某个分配IP地址的服务,则选中该服务后需要设定用户IP地址。服务的更多说明请参见接入服务管理的联机帮助。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图41所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与EIA中增加接入设备时的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 172.19.206.7 1812
[Device-radius-allpermit]primary accounting 172.19.206.7 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 172.19.254.177
[Device-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与EIA中服务的后缀保持一致(本手册以portal为例)。
[Device]domain portal
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与EIA上的配置一致。
[Device]portal server myportal
New portal server added.
[Device-portal-server-myportal]ip 172.19.206.7 key simple movie
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://172.19.206.7:9092/portal,要与EIA上的配置一致,可在服务器配置页面的“Portal主页”项中查看。
[Device]portal web-server myportal
New portal web-server added.
[Device-portal-websvr-myportal]url http://172.19.206.7:9092/portal
[Device-portal-websvr-myportal]quit
(6) 创建MAC绑定服务器。配置MAC绑定服务器的IP地址,服务器用来记录用户的Portal认证信息(用户名、密码)和用户终端MAC地址,并进行二者绑定,以便替代用户完成Portal认证。
配置命令
[Device]portal mac-trigger-server mstp
[Device-portal-mac-trigger-server mstp]ip 172.19.206.7 key simple movie
(7) 在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值。
[Device]interface Vlan-interface 108
[Device-Vlan-interface108]portal enable method direct
[Device-Vlan-interface108]portal apply web-server myportal
[Device-Vlan-interface108]portal apply mac-trigger-server mstp
[Device-Vlan-interface108]portal bas-ip 108.108.108.1
[Device-Vlan-interface108]Portal domain portal
(1) 使用zhangsan用户登录iNode客户端进行接入认证操作。
(2) iNode客户端zhangsan接入用户登录安全检查结果:安全状态为安全,安全检查结果为通过安全检查,可以正常访问网络资源,如图42所示。
图42 zhangsan用户可控软件信息