04 四总体方案建议

由天下分享时间：2024/12/3 21:50:53 加入收藏我要投稿点赞

? EAD服务器需要安装Portal认证组件，在Portal认证页面上，提供安全客户端的下

载链接。用户可下载并安装iNode智能客户端后，发起认证请求。

? 隔离区的设置、第三方服务器的设置、自助服务器和EAD安全代理服务器的设置等

信息同接入层准入控制。 ? 其余同接入层准入控制

? 流程说明

在Portal EAD认证方式下，用户的身份认证、访问控制和安全认证流程同接入层准入控制基本相同。区别在于：

1. 用户进行网络登录认证之前，可以访问Portal服务器等URL。

2. iNode安全认证客户端可以在认证前从Portal认证页面下载并安装。简化了客户端

分发工作。

3. 其余同接入层准入控制方案用户认证流程。

? 实施效果

1. 由于在网络出口设备上部署了Portal认证，所有非授权用户将不能随意访问网络。 2. 合法用户通过身份认证、安全认证后，其访问权限受认证设备的ACL控制。用户的

外部访问权限受控。

3. 通过安全认证网关和策略服务器、客户端配合，解决了网络上多厂商设备共存的问

题；

4. 其余同接入层准入控制。

6 EAD测试方案建议

6.1 终端准入控制

终端防病毒软件的准入控制

测试目的遵循标准测试设计验证H3C iMC产品支持对接入终端防病毒软件的状态进行检查并做准入控制的功能。无设置防病毒软件的版本、引擎版本、病毒库版本的最低标准并应用到安全策略中，接入用户使用应用了该安全策略的服务认证上网，若防病毒软件符合设置的条件并运行21

正常则安全认证通过，否则不通过。测试条件 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证； 3、认证客户端计算机上安装H3C iMC支持检测的防病毒软件（具体参见版本配套表），并用iNode客户端进行认证。测试过程 1、在防病毒软件管理界面设置防病毒软件信息，包括最低杀毒引擎版本、病毒库版本等； 2、在安全策略中设置该防病毒软件的检查信息； 3、在接入服务中引用该安全策略； 4、为接入用户申请该服务； 5、使用该接入用户认证上网。预期结果 1、当客户端计算机上防病毒软件符合安全设置时，安全认证通过； 2、当客户端计算机上防病毒软件不符合安全设置时，安全认证不通过。其它说明和注意事项 1、不同防病毒软件支持的检测特性不同，与H3C iMC的联动能力也不同； 2、建议不使用监控模式进行测试，因为监控模式下通过客户端不会显示安全认证不通过的情况。以下同。实测结果

可控制软件（软件黑白名单）的准入控制

测试目的遵循标准测试设计验证H3C iMC产品支持可控制软件（软件黑白名单）的准入控制功能无设置可控制软件的安装运行信息，并在安全策略中设置其禁止（必须）安装（运行），接入用户使用应用了该安全策略的服务认证上网，若该软件的安全运行状态符合设置的条件则安全认证通过，否则不通过。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证。测试过程 1、在可控制软件管理界面增加可控制软件（如qq），配置软件名称和运行进程等信息； 2、在安全策略中设置该可控制软件的检查类型：禁止（必须）安装（运行）； 3、在接入服务中引用该安全策略； 4、为接入用户申请该服务； 5、使用该接入用户认证上网。预期结果 1、当客户端计算机上可控制软件符合安全设置时，安全认证通过； 2、当客户端计算机上可控制软件不符合安全设置时，安全认证不通过。其它说明和注意事项实测结果

认证客户端必须使用iNode。测试条件 22

Windows操作系统补丁安装情况准入控制

测试目的遵循标准测试设计验证H3C iMC产品支持Windows操作系统补丁安装情况准入控制功能无设置一些Windows操作系统的补丁信息，并在安全策略中设置检查项，或者在安全策略中直接设置为与微软补丁服务器联动，接入用户使用应用了该安全策略的服务认证上网，若该操作系统补丁安装状态符合设置的条件则安全认证通过，否则不通过。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证； 3、若测试与微软补丁服务器联动检查，需先安装搭建WSUS或SMS服务器；并且客户端计算机要安装对应的客户端软件。测试过程 1、在软件补丁管理界面增加一些Windows操作系统的补丁信息； 2、在安全策略中设置检查这些补丁，或者直接选择与微软补丁服务器联动检查补丁； 3、在接入服务中引用该安全策略； 4、为接入用户申请该服务； 5、使用该接入用户认证上网。预期结果 1、当客户端计算机上安装的补丁信息符合安全设置时，安全认证通过； 2、当客户端计算机上安装的补丁信息不符合安全设置时，安全认证不通过。其它说明和注意事项 1、目前仅支持Windows2000/XP/2003及其各SP版本的补丁检查； 2、认证客户端必须使用iNode； 3、为了减少补丁检查对认证时等待时间的影响，策略服务器参数中可以设置补丁检查时长，一次检查成功后在该时长内不再检查，若想每次都检查可以将该参数设置为0。实测结果

测试条件各安全检查项安全级别的精确控制

测试目的遵循标准测试设计验证H3C iMC产品支持对各检查项安全级别的精确控制功能无操作员可以定义安全级别，对防病毒软件、操作系统补丁、可控制软件等各检查项当不符合安全标准时可以分别采取下线、隔离、提醒、监控等措施，当多项不符合时以最高级别的措施为准。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，并配置两个ACL分别作为隔离ACL和安全ACL，使其通过802、1x接入的用户到H3C iMC上认证。测试过程 1、在H3C iMC上自定义一个安全级别，针对不同的检查项设置不同的处理模式：下线、隔离、提醒、监控； 2、将该安全级别应用到一个安全策略上，若其中有隔离模式需设置隔离ACL号和安全ACL号； 3、在接入服务中引用该安全策略； 4、为接入用户申请该服务； 5、使用该接入用户认证上网。测试条件 23

预期结果 1、客户端计算机不符合安全策略设置时，策略服务器会根据所有不符合项中处理模式级别最高的方式处理。（下线>隔离>提醒>监控）； 2、用户被隔离后应该只能访问隔离ACL控制允许的网络区域； 3、用户被提醒时，应该仅在客户端给出不安全的提示并在服务器记录安全日志，网络访问权限无影响； 4、用户被监控时，客户端上应该无任何提示和影响，仅将不安全项记录安全日志。其它说明和注意事项 1、认证客户端必须使用iNode； 2、隔离模式需要接入设备同时支持用户ACL的在线更新（具体参见产品配套表）实测结果

在线用户的计算机安全检查

测试目的遵循标准测试设计验证H3C iMC产品支持在线用户的计算机安全检查功能无操作员可以在线用户列表查询在线计算机的安全状态，包括安装运行的程序、分区表、共享文件夹、补丁安装情况等。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证。测试过程 1、在策略服务器启用的情况下，接入用户认证上网； 2、操作员通过在线表对在线用户进行计算机安全检查。预期结果操作员可以通过在线表查看在线用户计算机的安全状态，包括：操作系统信息、已经安装的软件、已经安装的补丁、正在运行的进程、已经启动的服务、共享目录信息、分区表信息、屏幕保护程序是否启用、屏幕保护程序是否设置密码等。认证客户端必须使用iNode，且客户端的防火墙应该允许来自安全代理服务器的UDP报文通过。测试条件其它说明和注意事项实测结果

在线用户安全状态的实时监控

测试目的遵循标准测试设计验证H3C iMC产品支持在线用户安全状态的实时监控功能无接入用户安全认证通过后，如果客户端向策略服务器报告用户计算机的安全状态发生了变化，服务器会做出相应的处理：下线、隔离、提醒、监控。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证。测试过程 1、配置安全策略，选择进行实时监控可控软件，可控制软件设置中禁止允许某个程序，如：计算器（calc、exe），并设置为下线模式。 2、在接入服务中引用该安全策略；测试条件 24

3、为接入用户申请该服务； 4、使用该接入用户认证上网，上网过程中运行Windows自带的计算器。预期结果 1、在客户端上未运行计算器的情况下，可以安全认证通过； 2、当计算器运行起来后客户端会在实时监控间隔时长内提示用户不安全并断开连接。其它说明和注意事项实测结果

认证客户端必须使用iNode。安全日志的查询与审计

测试目的遵循标准测试设计测试条件验证H3C iMC产品支持对接入用户安全日志的查询审计功能无操作员可以通过安全日志列表查询和审计接入用户上网过程中的各种安全事件。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证。测试过程 1、接入用户认证上网并模拟各种不安全状态； 2、查看接入用户安全日志列表。预期结果安全日志中可以查询到接入用户历次不安全事件发生的时间、详细信息、服务器采取的动作等，并可以根据各种分类进行查询。认证客户端必须使用iNode。其它说明和注意事项实测结果

用户在线及安全状态的报表

测试目的遵循标准测试设计测试条件验证H3C iMC产品支持对接入用户在线和安全状态的丰富的统计报表功能无操作员可以通过配置台查看用户在线及安全状态的趋势、比例等丰富的统计报表信息。 1、通过浏览器用维护员或管理员登录H3C iMC配置台； 2、在其中一些网络设备上配置802、1x/RADIUS相关的功能，使其通过802、1x接入的用户到H3C iMC上认证。测试过程 1、接入用户认证上网并模拟各种不安全状态； 2、通过配置台首页和用户、业务TAB页的首页中接入用户相关的统计报表（图和列表）查看接入用户在线和安全状态的统计信息。预期结果通过这些统计报表可以展现出操作员最关心的接入用户的在线、安全状态的比例、趋势等信息。认证客户端必须使用iNode。其它说明和注意事项实测结果 25