05-h3c_imc_ead解決方案介紹

1、EAD解決方案介紹,ISSUE 2.0,日期：2013-01-18,杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,隨著IT應(yīng)用的不斷發(fā)展，客戶開始意識(shí)到對(duì)內(nèi)網(wǎng)終端進(jìn)行控制和管理的必要性，實(shí)施網(wǎng)絡(luò)接入控制，確保企業(yè)網(wǎng)絡(luò)安全，已是許多企業(yè)網(wǎng)客戶的迫切需求。 隨著EAD解決方案的不斷發(fā)展，新特性新功能層出不窮。以不斷提供易用性和實(shí)用性，不斷提高客戶滿意度為出發(fā)點(diǎn)，EAD解決方案已經(jīng)在不知不覺中發(fā)生了較大的變化。,引入,,,熟悉

2、UAM組件和EAD組件的功能特性熟悉EAD解決方案架構(gòu)熟悉EAD解決方案的主要功能特性熟悉EAD解決方案的相關(guān)配置,課程目標(biāo),學(xué)習(xí)完本課程，您應(yīng)該能夠：,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,UAM組件的定義,iMC UAM（ User Access Manage）是由H3C業(yè)務(wù)軟件產(chǎn)品線針對(duì)企業(yè)網(wǎng)、校園網(wǎng)和小運(yùn)營商等多種網(wǎng)絡(luò)運(yùn)營環(huán)境開發(fā)的一套基于Radius

3、的集中式網(wǎng)絡(luò)接入認(rèn)證管理系統(tǒng)。iMC UAM 在Radius服務(wù)器基本的AAA（Authentication、Authorization and Accounting）功能之上，提供了多業(yè)務(wù)融合的身份識(shí)別、權(quán)限控制平臺(tái)，具有簡單易用、高性能、可擴(kuò)展的特點(diǎn)，可以幫助網(wǎng)絡(luò)管理員輕松完成各種網(wǎng)絡(luò)接入業(yè)務(wù)的部署、開通、監(jiān)控、審計(jì)等管理任務(wù)，極大提高網(wǎng)絡(luò)的安全性、可管理性和可維護(hù)性。,UAM組件的主要功能（1）,支持多種接入及認(rèn)證方式，適合多種接

4、入組網(wǎng)場景及應(yīng)用場景。支持802.1x、Portal、VPN接入、無線接入等多種認(rèn)證接入方式 。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗(yàn)證方式，適應(yīng)不同安全要求的應(yīng)用場景 。支持證書認(rèn)證（802.1x、Portal環(huán)境下均支持，但必須使用iNode客戶端）、匿名快速認(rèn)證、RSA認(rèn)證以及漫游認(rèn)證。 支持接入帳號(hào)與接入設(shè)備IP地址、接入設(shè)備端口號(hào)、VLAN、QinQ雙VLAN、用戶終端IPv4/IP

5、v6地址、用戶終端MAC地址、無線SSID等硬件信息綁定認(rèn)證，支持綁定認(rèn)證自學(xué)習(xí)能力，簡化管理維護(hù)工作。支持接入帳號(hào)與終端計(jì)算機(jī)名、域用戶身份信息綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止接入帳號(hào)盜用和非法接入。,UAM組件的主要功能（2）,支持多種接入及認(rèn)證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景。支持與LDAP服務(wù)器、Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個(gè)用戶名和密碼。 Portal認(rèn)證

6、提供純Web、可溶解客戶端及iNode客戶端認(rèn)證方式。支持定制Portal認(rèn)證頁面或嵌入到第三方主頁，可根據(jù)不同的端口組、SSID、終端操作系統(tǒng)推送不同的認(rèn)證頁面。支持NAT環(huán)境下的Portal認(rèn)證。（僅支持Portal網(wǎng)關(guān)與Portal服務(wù)器間存在NAT設(shè)備的情況,且只能使用iNode PC客戶端。） 為了使啞終端（IP電話、打印機(jī)等）接入網(wǎng)絡(luò)更便捷，系統(tǒng)提供了啞終端管理功能。系統(tǒng)預(yù)先根據(jù)啞終端的“MAC地址”等信息創(chuàng)建預(yù)生成賬號(hào)。

7、當(dāng)啞終端接入時(shí)，系統(tǒng)自動(dòng)將預(yù)生成賬號(hào)轉(zhuǎn)為正式賬號(hào)與啞終端設(shè)備進(jìn)行綁定，使用“MAC地址”作為接入賬號(hào)進(jìn)行接入認(rèn)證。支持終端準(zhǔn)入控制（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略。,UAM組件的主要功能（3）,嚴(yán)格的權(quán)限控制手段，強(qiáng)化用戶接入控制管理 ?；谟脩舻臋?quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（QoS，需與H3C指定設(shè)備配合）、限制用戶的同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服

8、務(wù)器、限制最大閑置時(shí)長，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過度占用?？蓪?duì)終端下發(fā)ACL、VLAN、QoS User Profile，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問。可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。監(jiān)控用戶認(rèn)證成功后的IP地址，若有變更則強(qiáng)制要求下線?？梢韵拗朴脩舻慕尤霑r(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡、撥號(hào)網(wǎng)絡(luò)，禁止修改終端MAC地址，防止內(nèi)部信息泄露。支持

9、對(duì)iNode客戶端版本的檢測并強(qiáng)制自動(dòng)升級(jí)，防止iNode客戶端破解，確?？蛻舳说陌踩?。接入用戶網(wǎng)關(guān)配置，提供接入用戶網(wǎng)關(guān)IP、MAC地址配置信息。配合iNode客戶端實(shí)現(xiàn)防止本地受到假冒網(wǎng)關(guān)方式的ARP欺騙功能。,UAM組件的主要功能（4）,詳盡的用戶監(jiān)控，強(qiáng)化對(duì)終端用戶的監(jiān)視控制 。iMC UAM提供強(qiáng)大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。管理員可以實(shí)時(shí)監(jiān)控在線用

10、戶，批量強(qiáng)制非法用戶下線。支持消息批量下發(fā)，管理員可以向上網(wǎng)用戶批量發(fā)布通知消息，如“系統(tǒng)升級(jí)，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請(qǐng)注意保護(hù)密碼安全”等。iMC UAM記錄認(rèn)證失敗日志，便于定位用戶無法認(rèn)證通過的原因。提供接入明細(xì)日志，便于審計(jì)用戶的接入網(wǎng)絡(luò)記錄。iMC UAM基于智能管理平臺(tái)提供強(qiáng)大的終端拓?fù)涔芾砉δ?，拓?fù)鋱D融合了網(wǎng)絡(luò)設(shè)備和終端用戶監(jiān)視管理功能，可針對(duì)接入設(shè)備進(jìn)行在線用戶查詢、強(qiáng)制用戶下線、進(jìn)一步中

11、查看該設(shè)備所掛接的終端用戶及其安全狀態(tài)等多項(xiàng)操作。,UAM組件的主要功能（5）,集中的接入用戶管理，簡化管理員維護(hù)操作 。集中的接入用戶管理功能，對(duì)接入用戶實(shí)施分組管理，不同的用戶分組可以由不同的管理員管理。提供對(duì)接入用戶進(jìn)行批量操作，支持批量導(dǎo)入、修改、加入黑名單、注銷用戶、導(dǎo)出帳號(hào)等接入用戶相關(guān)的管理動(dòng)作集中化，界面對(duì)操作員來說更友好、更美觀易用。支持同步LDAP用戶，可自定義LDAP同步策略，通過手工或定時(shí)任務(wù)方式從LDAP

12、系統(tǒng)中同步用戶信息。接入用戶可使用自助服務(wù)，帳號(hào)申請(qǐng)、查詢、修改都通過自助服務(wù)頁面完成，既提高效率，又減輕管理員的工作量。,UAM組件的主要功能（6）,接入設(shè)備統(tǒng)一管理及運(yùn)行參數(shù)調(diào)整，適應(yīng)不同的應(yīng)用環(huán)境 。設(shè)備統(tǒng)一管理，支持H3C、3COM、華為、思科以及支持標(biāo)準(zhǔn)Radius協(xié)議的接入設(shè)備；統(tǒng)一管理設(shè)備管理用戶，支持對(duì)設(shè)備管理用戶登錄設(shè)備的認(rèn)證和授權(quán)。支持限制登錄設(shè)備的用戶IP地址段，支持限制登錄設(shè)備的IP地址段。提供靈活的業(yè)務(wù)

13、參數(shù)配置，管理員可根據(jù)組網(wǎng)和運(yùn)營環(huán)境進(jìn)行參數(shù)調(diào)節(jié)。,UAM組件的主要功能（6）,穩(wěn)定可靠的保障機(jī)制，提供分布式部署能力，精細(xì)化的管理 。支持系統(tǒng)的雙機(jī)熱備、雙機(jī)冷備，提供可靠的逃生方案，支持Portal網(wǎng)關(guān)雙機(jī)。提供對(duì)操作員權(quán)限的精細(xì)化控制，不僅可以指定操作員可訪問的功能范疇，也提供對(duì)功能項(xiàng)目的增、刪、改、查的操作控制。提供業(yè)務(wù)策略分組管理、接入設(shè)備分組管理、LDAP業(yè)務(wù)分組管理、Portal業(yè)務(wù)分組管理，從而支持管理員的業(yè)務(wù)分權(quán)

14、管理能力。提供多種統(tǒng)計(jì)報(bào)表：休眠帳號(hào)統(tǒng)計(jì)、帳號(hào)數(shù)月統(tǒng)計(jì)、平均在線用戶數(shù)統(tǒng)計(jì)、認(rèn)證失敗類型統(tǒng)計(jì)、下線原因分類統(tǒng)計(jì)、服務(wù)的用戶數(shù)統(tǒng)計(jì)，滿足日常運(yùn)營維護(hù)的需要。提供二次開發(fā)接口，便于客戶第三方系統(tǒng)與UAM系統(tǒng)對(duì)接。提供將用戶相關(guān)信息，例如用戶上線信息，通過UDP方式發(fā)送給第三方系統(tǒng)，第三方系統(tǒng)可以將信息轉(zhuǎn)化為短信或電子郵件發(fā)送給特定管理員。提供報(bào)修管理功能。當(dāng)終端用戶網(wǎng)絡(luò)出現(xiàn)故障時(shí)，可通過自助平臺(tái)提交網(wǎng)絡(luò)報(bào)修單。網(wǎng)絡(luò)管理員則通過報(bào)修管理

15、對(duì)用戶報(bào)修單進(jìn)行集中處理，并可針對(duì)常見問題進(jìn)行FAQ發(fā)布。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,組網(wǎng)能力說明,基于802.1x的組網(wǎng)：接入層802.1x組網(wǎng)、第三方802.1x接入設(shè)備混合組網(wǎng)；基于Portal的組網(wǎng)：分支機(jī)構(gòu)出口Portal組網(wǎng)、認(rèn)證網(wǎng)關(guān)旁掛的Portal組網(wǎng)、總部入口的Portal組網(wǎng)、穿越NAT的Portal組網(wǎng)；基于VPN的組網(wǎng)；基于

16、WLAN的Portal組網(wǎng)。,主要的網(wǎng)絡(luò)接口、協(xié)議及兼容性說明,iMC UAM主要與H3C設(shè)備共同組網(wǎng)，與第三方支持802.1x的接入設(shè)備混合組網(wǎng)具有較好的兼容性。iMC UAM中主要的網(wǎng)絡(luò)協(xié)議包括：RADIUS 1.1 (H3C擴(kuò)展)PAPCHAPEAP-MD5 EAP-PAPEAP-TLSEAP-PEAP,基于802.1x組網(wǎng),接入層的802.1x組網(wǎng)設(shè)計(jì)在這種組網(wǎng)方案中，接入交換機(jī)啟用802.1x功能，并實(shí)現(xiàn)基于用

17、戶MAC地址或用戶接入端口的準(zhǔn)入控制。該組網(wǎng)中，準(zhǔn)入控制的執(zhí)行點(diǎn)在接入層交換機(jī)上，具有對(duì)不滿足身份認(rèn)證的用戶隔離嚴(yán)格的特點(diǎn)，可以有效防止來自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。這種組網(wǎng)方案要求接入交換機(jī)支持802.1x功能。,基于802.1x組網(wǎng),第三方802.1x接入設(shè)備混合組網(wǎng) 主要是通過H3C接入設(shè)備與第三方支持標(biāo)準(zhǔn)802.1x接入設(shè)備混合組網(wǎng)的方式。在此組網(wǎng)方案中，接入交換機(jī)啟用802.1x功能，iMC UAM主要是針對(duì)用戶進(jìn)行標(biāo)準(zhǔn)的80

18、2.1x認(rèn)證功能，由于各廠家的設(shè)備差異，無法提供完整的ACL、VLAN下發(fā)隔離功能。若第三方設(shè)備支持802.1x的guest-VLAN特性，可通過guest-VLAN特性控制用戶的認(rèn)證前后訪問權(quán)限。,基于Portal組網(wǎng) （一）,,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,基于Portal組網(wǎng) （二）,,,,,Portal BAS,L3 Switch,Gateway,iMC Server,

19、,基于Portal組網(wǎng) （三）,,,,,iMC Server,Portal BAS,L2 Switch,,Gateway,,,,,,,,,,基于Portal組網(wǎng) （四）,,,,,ACPortal BAS,AP,iMC Server,Gateway,Trunk,,VLAN 1,,,VLAN 2,VLAN 10,Portal認(rèn)證與802.1x認(rèn)證的比較,Portal認(rèn)證相對(duì)于802.1x認(rèn)證的優(yōu)勢(shì)支持網(wǎng)頁方式認(rèn)證，免客戶端安裝部署方式

20、靈活、快捷，適合舊網(wǎng)改造Portal認(rèn)證的不足之處沒有802.1x認(rèn)證對(duì)客戶端的控制嚴(yán)格,EAD解決方案定義,EAD解決方案定義終端準(zhǔn)入控制（ End User Admission Domination ）解決方案從最終用戶的安全控制入手，對(duì)接入網(wǎng)絡(luò)的終端實(shí)施企業(yè)安全準(zhǔn)入策略。EAD解決方案集成了網(wǎng)絡(luò)準(zhǔn)入、終端安全、桌面管理三大功能，幫助維護(hù)人員控制終端用戶的網(wǎng)絡(luò)使用行為，確保網(wǎng)絡(luò)安全。,終端用戶安全接入四步曲,安全檢查不合格進(jìn)

21、入隔離區(qū)修復(fù),隔離區(qū),,安全檢查,,合法用戶,非法用戶拒絕入網(wǎng),,,,,身份認(rèn)證,接入請(qǐng)求,你是誰？,企業(yè)網(wǎng)絡(luò),,動(dòng)態(tài)授權(quán),合格用戶,不同用戶享受不同的網(wǎng)絡(luò)使用權(quán)限,你安全嗎？,你可以做什么？,你在做什么？,EAD解決方案的業(yè)務(wù)架構(gòu),,,,,,EAD解決方案的軟件架構(gòu),所有業(yè)務(wù)組件均基于iMC平臺(tái)安裝，用于實(shí)現(xiàn)各種業(yè)務(wù)。 EAD組件基于UAM組件安裝。UAM組件包含有：RADIUS服務(wù)器、策略服務(wù)器以及策略代理服務(wù)器、Porta

22、l組件EAD組件包含有：EAD前臺(tái)配置頁面、桌面資產(chǎn)管理服務(wù)器以及桌面資產(chǎn)管理代理,iMC智能管理平臺(tái)（網(wǎng)元、告警、性能、資源）,UAM組件,EAD組件,UBA組件,NTA組件,WSM組件,MVM組件,EAD基本認(rèn)證流程,,iNode客戶端,,iMC服務(wù)器,1. iNode客戶端發(fā)起認(rèn)證請(qǐng)求,5. iNode客戶端執(zhí)行安全策略并上報(bào)安全檢查結(jié)果,6. 服務(wù)服務(wù)器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等,3. iNode客戶端請(qǐng)求

23、安全檢查項(xiàng),4. 服務(wù)器下發(fā)安全檢查項(xiàng),,,第三方服務(wù)器用于修復(fù)終端安全隱患,Internet,安全聯(lián)動(dòng)設(shè)備,,,,,,,,,2. 身份認(rèn)證成功，通知客戶端進(jìn)行安全檢查,802.1x認(rèn)證流程－PAP/CHAP,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,EAP-Request/MD5-Challeng

24、e,EAP-Response/MD5-Password,Access Success(Radius Code=2,隔離ACL),Accounting Request,Accounting Response,EAP-Success,,安全檢查請(qǐng)求,下發(fā)檢查項(xiàng),上報(bào)檢查結(jié)果,監(jiān)控/修復(fù)策略下發(fā),iNode客戶端,H3C設(shè)備,iMC EAD,安全策略服務(wù)器,,,,EAP(code=10),EAP(code=10),Session Contro

25、l (Radius code=20,安全ACL),802.1x認(rèn)證流程－EAP MD5,,,,,,,,,,,,,,,,,,,,,EAPoL-Start,EAP-Request/identity,EAP-Responset/identity,Access Request,Access Challenge(Proxy ip&port),EAP-Request/MD5-Challenge,EAP-Response/MD5-Passwo

26、rd,Access Request,Access Success,Accounting Request,Accounting Response,EAP-Success,,安全檢查請(qǐng)求,下發(fā)檢查項(xiàng),上報(bào)檢查結(jié)果,監(jiān)控/修復(fù)策略下發(fā),iNode客戶端,第三方設(shè)備,iMC EAD,安全策略服務(wù)器,EAD業(yè)務(wù)的基本配置流程,基本配置流程如下，按照箭頭方向依次配置即可,流量監(jiān)控,為了對(duì)終端用戶的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，EAD解決方案支持異常流量監(jiān)控特性

27、。管理員設(shè)置終端用戶流量閾值，iNode客戶端根據(jù)安全策略服務(wù)器的指令，打開流量監(jiān)控功能，實(shí)現(xiàn)異常上報(bào)并根據(jù)安全策略服務(wù)器的指令對(duì)用戶采取相應(yīng)的動(dòng)作。,終端安全軟件策略管理,終端安全軟件策略包括：防病毒軟件策略、防間諜軟件策略、防火墻軟件策略、防釣魚軟件策略、硬盤加密軟件策略。設(shè)置接入用戶需要安裝和運(yùn)行的終端安全軟件的種類，以確保終端用戶接入網(wǎng)絡(luò)后最大限度的免受攻擊和侵害。,終端安全軟件策略管理（1）,防病毒軟件策略,終端安全軟件策略管

28、理（2）,防間諜軟件策略,終端安全軟件策略管理（3）,防火墻軟件策略,終端安全軟件策略管理（4）,防釣魚軟件策略,終端安全軟件策略管理（5）,硬盤加密軟件策略,軟件補(bǔ)丁管理,與微軟補(bǔ)丁服務(wù)器WSUS Server或SMS Server聯(lián)動(dòng)進(jìn)行軟件補(bǔ)丁檢查（自動(dòng)強(qiáng)制升級(jí)）。 自定義系統(tǒng)軟件補(bǔ)丁檢查，可針對(duì)系統(tǒng)軟件的不同版本自定義補(bǔ)丁檢查策略?？蛻舳松暇€后定期檢測補(bǔ)丁，此時(shí)間間隔由策略服務(wù)器參數(shù)“補(bǔ)丁檢查間隔時(shí)長”確定,軟件補(bǔ)丁管理,i

29、MC EAD補(bǔ)丁管理提供了另外一種分級(jí)的管理方式，即iMC EAD僅負(fù)責(zé)檢查終端用戶的計(jì)算機(jī)上是否安裝和運(yùn)行了專業(yè)的補(bǔ)丁管理軟件，再由補(bǔ)丁管理軟件負(fù)責(zé)檢查計(jì)算機(jī)的補(bǔ)丁是否合格。iMC EAD目前不支持管理員自定義補(bǔ)丁管理軟件，即只支持列表中缺省羅列的幾款軟件。,可控軟件組管理,監(jiān)控軟件安裝、進(jìn)程運(yùn)行、服務(wù)運(yùn)行和特定文件。對(duì)于同一軟件組內(nèi)的多條內(nèi)容，只要其中有一條符合檢查要求，則認(rèn)為整個(gè)組檢查成功。,注冊(cè)表監(jiān)控,監(jiān)控指定的注冊(cè)表項(xiàng)中是否

30、存在特性鍵名及鍵值。,操作系統(tǒng)密碼監(jiān)控,通過字典文件的方式，檢查操作系統(tǒng)密碼是否為字典文件中記錄的弱密碼。,目錄共享策略管理,該功能用于對(duì)本地共享進(jìn)行監(jiān)控。,遠(yuǎn)程桌面連接,提供了對(duì)在線用戶進(jìn)行遠(yuǎn)程登錄的功能。網(wǎng)絡(luò)管理員可以通過遠(yuǎn)程連接功能對(duì)遠(yuǎn)程終端用戶的電腦進(jìn)行維護(hù)和管理。,EAD的五種安全級(jí)別,監(jiān)控模式無論安全檢查結(jié)果如何，都提示用戶通過安全檢查，不彈出安全檢查結(jié)果頁面，不對(duì)用戶做任何限制。只在服務(wù)器一側(cè)記錄檢查結(jié)果以備之后審計(jì)。

31、VIP模式若安全檢查不通過則會(huì)提示用戶存在安全隱患，但不對(duì)用戶采取任何動(dòng)作，不彈出安全檢查結(jié)果頁面。隔離模式若安全檢查不通過，通知安全聯(lián)動(dòng)設(shè)備限制用戶只能訪問隔離區(qū)資源。下線模式若安全檢查不通過，將用戶強(qiáng)制下線。訪客模式特殊的下線模式，缺省設(shè)置了“不安全提示閾值”。,安全級(jí)別,安全級(jí)別是一組安全檢查項(xiàng)的集合安全檢查不通過時(shí)，最終執(zhí)行何種模式的策略取決于未通過的檢查項(xiàng)中最嚴(yán)格的模式不安全提示閾值的功能只能與隔離模式或下線

32、模式配合使用,安全策略,引用安全級(jí)別，使能各項(xiàng)安全檢查策略，配置動(dòng)態(tài)ACL下發(fā)除了使能這些安全檢查策略之外，需要注意同時(shí)使能實(shí)時(shí)監(jiān)控的功能,服務(wù),服務(wù)是最終用戶使用網(wǎng)絡(luò)的一個(gè)途徑，它由預(yù)先定義的一組網(wǎng)絡(luò)使用特性組成，其中具體包括基本信息、授權(quán)信息、認(rèn)證綁定信息、用戶客戶端配置和授權(quán)用戶分組等。 在服務(wù)配置中引用已有的安全策略。,策略服務(wù)器參數(shù)配置,在“業(yè)務(wù)”?“EAD業(yè)務(wù)”?“系統(tǒng)參數(shù)配置”中修改策略服務(wù)器參數(shù)配置,用戶分組,用戶分

33、組不再和服務(wù)關(guān)聯(lián)，而是只和操作員關(guān)聯(lián)。 針對(duì)特定的用戶分組執(zhí)行特定的策略。與指定用戶分組關(guān)聯(lián)的操作員才能管理該分組內(nèi)的用戶以及產(chǎn)生的相關(guān)用戶信息。,業(yè)務(wù)分組,將一些個(gè)性化策略歸入指定的業(yè)務(wù)分組，只有與該業(yè)務(wù)分組關(guān)聯(lián)的操作員，才能夠管理該業(yè)務(wù)分組中的策略。,基于iNode客戶端的ACL下發(fā),傳統(tǒng)的基于設(shè)備的ACL下發(fā)方式：并非所有設(shè)備都支持ACL下發(fā)設(shè)備的ACL資源有限用戶區(qū)分的角色越多，設(shè)備上的ACL配置越復(fù)雜無法通過服務(wù)器

34、直接查看下發(fā)的ACL中所包含的具體規(guī)則,基于iNode客戶端的ACL下發(fā),,iNode客戶端,,1. iNode客戶端發(fā)起認(rèn)證請(qǐng)求,7. iNode客戶端執(zhí)行安全策略并上報(bào)安全檢查結(jié)果,8. 服務(wù)服務(wù)器下發(fā)檢查結(jié)果、修復(fù)策略以及設(shè)置在線監(jiān)控任務(wù)等,3. iNode客戶端主動(dòng)請(qǐng)求安全檢查項(xiàng)聲明支持ACL下發(fā)特性,4. 服務(wù)器下發(fā)安全檢查項(xiàng)提示客戶端請(qǐng)求ACL,,,第三方服務(wù)器用于修復(fù)終端安全隱患,Internet,安全聯(lián)動(dòng)設(shè)備,,,

35、,,,,,,2. 身份認(rèn)證成功，通知客戶端進(jìn)行安全檢查,,5. 客戶端主動(dòng)請(qǐng)求ACL,iMC服務(wù)器,,6. 同時(shí)下發(fā)隔離ACL和安全ACL（包含所有規(guī)則）,基于iNode客戶端的ACL下發(fā),配置ACL策略,基于iNode客戶端的ACL下發(fā),在安全策略中引用ACL,部署客戶端ACL特性的條件,客戶端必須為支持此特性的iNode版本且定制時(shí)啟用了該特性僅限802.1X和Portal認(rèn)證,防內(nèi)網(wǎng)外聯(lián),基于客戶端ACL功能，實(shí)現(xiàn)了防內(nèi)網(wǎng)外聯(lián)功

36、能iNode認(rèn)證前所有網(wǎng)卡都是邏輯上關(guān)閉的，會(huì)過濾除DHCP外的所有IP報(bào)文認(rèn)證通過后僅認(rèn)證網(wǎng)卡放開，其他網(wǎng)卡仍然關(guān)閉僅限802.1x和Portal認(rèn)證方式,思考：VPN認(rèn)證方式是否有必要支持此特性？為何不能過濾DHCP報(bào)文？,混合組網(wǎng)特性的由來,使用RADIUS報(bào)文控制在線用戶列表需要考慮：EAD安全認(rèn)證依賴于RADIUS身份認(rèn)證建立的在線表，而RADIUS在線表需要接入設(shè)備支持發(fā)送計(jì)費(fèi)開始和計(jì)費(fèi)結(jié)束報(bào)文。在沒有EAP

37、心跳機(jī)制和不支持計(jì)費(fèi)更新報(bào)文的環(huán)境下，容易出現(xiàn)在線用戶列表中用戶掛死的現(xiàn)象。即使與支持計(jì)費(fèi)更新包的第三方設(shè)備配合，通常也無法支持通過計(jì)費(fèi)更新包下發(fā)的剩余上網(wǎng)時(shí)長等信息，從而無法準(zhǔn)確控制在線用戶。雖然在線重認(rèn)證可以在一定程度上代替EAP心跳和計(jì)費(fèi)更新包，但各廠家實(shí)現(xiàn)各不相同，難以統(tǒng)一處理，可能引發(fā)其他問題隱患。,混合組網(wǎng)特性原理,RADIUS身份認(rèn)證通過后，客戶端獲取到安全檢查代理的IP和端口后即發(fā)起安全認(rèn)證。由策略服務(wù)器根據(jù)

38、安全認(rèn)證/心跳/下線報(bào)文維持在線表。UAM后臺(tái)對(duì)于計(jì)費(fèi)報(bào)文或重認(rèn)證報(bào)文僅做檢測和回應(yīng)，不再更新或刪除在線表。通過EAD心跳回應(yīng)報(bào)文返回用戶剩余上網(wǎng)時(shí)長（接入時(shí)段限制、在線加入黑名單、用戶被從在線表刪除等），以精確控制在線用戶。,配置混合組網(wǎng)特性,該特性基于接入設(shè)備實(shí)現(xiàn)，同一個(gè)接入設(shè)備的所有用戶要么啟用要么不啟用僅限802.1X認(rèn)證思考：為什么portal認(rèn)證不能使用混合組網(wǎng)？,部署混合組網(wǎng)特性的注意事項(xiàng),對(duì)于可

39、以很好支持RADIUS計(jì)費(fèi)（含開始、結(jié)束、更新）報(bào)文的設(shè)備不建議啟用該特性。網(wǎng)絡(luò)環(huán)境復(fù)雜，而iNode又是基于操作系統(tǒng)安裝，EAD心跳丟失的可能性比RADIUS報(bào)文丟失的可能性大的多混合組網(wǎng)環(huán)境下，服務(wù)器動(dòng)用老化功能來清理在線用戶列表的機(jī)會(huì)比傳統(tǒng)環(huán)境下大的多，因此建議在混合組網(wǎng)環(huán)境下適當(dāng)放寬對(duì)同一帳號(hào)的在線用戶數(shù)量限制。,EAD分級(jí)部署特性的由來,典型的大型網(wǎng)絡(luò)結(jié)構(gòu)是一個(gè)總部下轄多個(gè)分支，而分支下面可能還有分支，各分支之間及與總部

40、間網(wǎng)絡(luò)相對(duì)獨(dú)立，各自有一批網(wǎng)管人員在維護(hù)。總部希望能給分支機(jī)構(gòu)確定安全策略，讓各分支應(yīng)用而不能隨意修改。各分支的匯總信息能以報(bào)表的形式上報(bào)給總部。,分級(jí)部署架構(gòu),使用EAD分級(jí)特性前的注意事項(xiàng),EAD分級(jí)特性是EAD組件的特性，僅部署UAM組件是沒有分級(jí)管理功能的。EAD分級(jí)特性依賴于ETL數(shù)據(jù)分析服務(wù)器組件及報(bào)表組件。EAD分級(jí)管理的實(shí)施應(yīng)該是自上而下進(jìn)行部署。即先部署總部,在總部iMC系統(tǒng)中定義其下級(jí)節(jié)點(diǎn)，并配置好預(yù)

41、計(jì)下發(fā)給下級(jí)節(jié)點(diǎn)的策略。,上級(jí)節(jié)點(diǎn)配置,定制安全策略及其相關(guān)的配置（防病毒軟件、補(bǔ)丁、可控軟件、流量監(jiān)控策略等）。定制服務(wù)并引用安全策略。配置下級(jí)節(jié)點(diǎn)：IP、Port、管理員帳號(hào)和密碼。上下級(jí)間的通信是通過WEB Service實(shí)現(xiàn)的。,上級(jí)節(jié)點(diǎn)配置,以“服務(wù)”為單元給下級(jí)節(jié)點(diǎn)下發(fā)配置。該服務(wù)所引用的各種策略（主要指安全策略）及策略引用的策略（流量監(jiān)控策略、補(bǔ)丁、可控軟件、防病毒軟件等）都會(huì)下發(fā)給下級(jí)節(jié)點(diǎn)。,策略分發(fā)的原則,支持每日

42、定時(shí)自動(dòng)分發(fā)和手工分發(fā)。首先比較策略更新時(shí)間和上次成功下發(fā)的時(shí)間，如果策略更新時(shí)間較新則下發(fā)。策略會(huì)逐級(jí)下發(fā)下去，中間一級(jí)只能將上一級(jí)的策略直接下發(fā)給下級(jí)，不能跨級(jí)分發(fā)。,下級(jí)節(jié)點(diǎn)配置,上級(jí)結(jié)點(diǎn)是在下發(fā)時(shí)自動(dòng)配置上的，如果上級(jí)結(jié)點(diǎn)IP地址發(fā)生改變時(shí)才需要修改。,下級(jí)節(jié)點(diǎn)配置,下級(jí)結(jié)點(diǎn)上報(bào)匯總數(shù)據(jù)的配置。,分級(jí)報(bào)表管理,查看安全日志匯總統(tǒng)計(jì)報(bào)表,下級(jí)節(jié)點(diǎn)的工作和限制,下級(jí)節(jié)點(diǎn)不能增加/刪除服務(wù)、安全策略和安全級(jí)別，絕大多數(shù)配置也不能修改

43、。下級(jí)節(jié)點(diǎn)不能增加/修改/刪除補(bǔ)丁、注冊(cè)表監(jiān)控策略、流量監(jiān)控策略、防病毒軟件等信息。下級(jí)節(jié)點(diǎn)不能修改/刪除下發(fā)的可控軟件組，但可以新增，并且可以對(duì)安全級(jí)別本地新增的可控軟件組對(duì)應(yīng)的處理方式進(jìn)行修改。下級(jí)節(jié)點(diǎn)可以修改安全策略中配置的ACL以及服務(wù)器地址等個(gè)性化的內(nèi)容。,下級(jí)節(jié)點(diǎn)的工作和限制,下級(jí)節(jié)點(diǎn)可以修改服務(wù)中的授權(quán)信息，如下發(fā)VLAN信息。若最近一次下發(fā)的服務(wù)中沒有包含當(dāng)前用戶已申請(qǐng)的服務(wù)，則該狀態(tài)變?yōu)椤盁o效”，申請(qǐng)?jiān)?/p>

44、服務(wù)的用戶無法通過認(rèn)證。除服務(wù)外，其他之前曾經(jīng)下發(fā)而最近一次沒有下發(fā)的內(nèi)容（安全策略、補(bǔ)丁、可控軟件組等）都會(huì)被刪除。接入時(shí)段策略和接入?yún)^(qū)域策略不下發(fā)。同名的服務(wù)、安全策略、安全級(jí)別下發(fā)后，會(huì)更新不可修改的項(xiàng)。下級(jí)節(jié)點(diǎn)不再支持業(yè)務(wù)分權(quán)。,漫游特性的由來,在EAD分級(jí)環(huán)境中，不同節(jié)點(diǎn)所管理的用戶具有流動(dòng)性，當(dāng)A節(jié)點(diǎn)的用戶到B節(jié)點(diǎn)出差時(shí)，希望能不在B節(jié)點(diǎn)增加相關(guān)的帳號(hào)信息就可以接入到網(wǎng)絡(luò)并能做身份認(rèn)證和安全檢查。雖然在B

45、節(jié)點(diǎn)上開始來賓帳號(hào)可以解決上面問題，但來賓帳號(hào)無法區(qū)分用戶的身份，給管理和審計(jì)帶來不便。用戶在B節(jié)點(diǎn)認(rèn)證時(shí)，B節(jié)點(diǎn)根據(jù)其身份（帶了A節(jié)點(diǎn)的某種標(biāo)識(shí)）將其身份認(rèn)證請(qǐng)求發(fā)送到A節(jié)點(diǎn)，由A節(jié)點(diǎn)進(jìn)行身份校驗(yàn)。這就是所謂的“漫游”。通常將B節(jié)點(diǎn)稱之為漫游地服務(wù)器，而A節(jié)點(diǎn)稱之為歸屬地服務(wù)器。,漫游地服務(wù)器配置,使能漫游地服務(wù)器的漫游功能。,漫游地服務(wù)器配置,配置漫游域信息,漫游地服務(wù)器配置,配置漫游域信息，同時(shí)定義認(rèn)證及計(jì)費(fèi)漫游,漫游地服

46、務(wù)器配置,配置漫游域信息下面的示例表示漫游地服務(wù)器如果收到用戶名攜帶域名后綴為roam的認(rèn)證請(qǐng)求則直接轉(zhuǎn)給IP地址為10.153.128.90的歸屬地服務(wù)器處理。,歸屬地服務(wù)器配置,添加漫游地服務(wù)器下面的示例表示將漫游地服務(wù)器10.153.128.107作為歸屬地服務(wù)器的一臺(tái)認(rèn)證接入設(shè)備添加進(jìn)來，需確保與漫游地配置的密鑰一致。,漫游中的身份認(rèn)證和安全認(rèn)證,屬于A節(jié)點(diǎn)的用戶a到B節(jié)點(diǎn)的網(wǎng)絡(luò)中認(rèn)證時(shí)，接入設(shè)備將認(rèn)證請(qǐng)求發(fā)送給B節(jié)點(diǎn)，B節(jié)

47、點(diǎn)再通過RADIUS-proxy功能將其轉(zhuǎn)給A節(jié)點(diǎn)校驗(yàn)，完成身份驗(yàn)證。在做身份認(rèn)證漫游時(shí)，B節(jié)點(diǎn)將本地的安全代理的IP和端口下發(fā)給iNode客戶端，iNode到B節(jié)點(diǎn)上做安全認(rèn)證。由于B節(jié)點(diǎn)上沒有用戶a的用戶信息，因此需要在B上設(shè)置一個(gè)“缺省安全策略”，所有漫游用戶都用該安全策略進(jìn)行安全認(rèn)證。漫游過程中2個(gè)節(jié)點(diǎn)都會(huì)有該用戶的在線信息。Portal和802.1X都可以實(shí)現(xiàn)漫游,安全檢查相關(guān)參數(shù)（一）,在“接入業(yè)務(wù)”?“業(yè)務(wù)

48、參數(shù)配置”?“系統(tǒng)配置”中可以修改系統(tǒng)運(yùn)行的各項(xiàng)參數(shù),安全檢查相關(guān)參數(shù)（二）,“系統(tǒng)參數(shù)配置”中的客戶端防破解主要解決破解客戶端問題，需要接入設(shè)備，客戶端配合，一般推薦禁用,安全檢查相關(guān)參數(shù)（三）,運(yùn)行參數(shù)可以修改UAM組件的日志級(jí)別，在問題定位處理時(shí)需要調(diào)整由于調(diào)試日志對(duì)系統(tǒng)性能消耗較大，一般情況下建議恢復(fù)為警告級(jí)別,安全檢查相關(guān)參數(shù)（四）,“EAD業(yè)務(wù)”?“業(yè)務(wù)參數(shù)配置”下可以調(diào)整策略服務(wù)器的運(yùn)行參數(shù)修改完畢后須選擇“系統(tǒng)配置手

49、工生效”，以使修改生效,DAM簡介,桌面資產(chǎn)管理（Desktop Asset Management）主要關(guān)注于企業(yè)的信息安全，可以對(duì)終端進(jìn)行全方位的監(jiān)控，保證用戶只能合理合法的使用公司的信息資源，并提供實(shí)時(shí)和事后的審計(jì)。,DAM軟件架構(gòu),DAM Agent駐留在桌面機(jī)操作系統(tǒng)中，執(zhí)行相關(guān)的DAM策略，采集終端的軟硬件資產(chǎn)信息；監(jiān)控一些敏感資產(chǎn)的變更；執(zhí)行軟件分發(fā)、外設(shè)管理任務(wù)。DAM Proxy負(fù)責(zé)轉(zhuǎn)發(fā)iNode客戶端桌面服務(wù)器的交互

50、報(bào)文。DAM Server 負(fù)責(zé)向客戶端下發(fā)桌面安全相關(guān)策略，接受客戶端上報(bào)的相關(guān)信息，并存入數(shù)據(jù)庫中。,DAM功能概述,資產(chǎn)管理資產(chǎn)注冊(cè)資產(chǎn)查詢資產(chǎn)變更管理軟件分發(fā)FTP方式HTTP方式文件共享方式外設(shè)管理U盤的拔插、寫入監(jiān)控禁用USB、光驅(qū)、軟驅(qū)、串口、并口、紅外、藍(lán)牙、1394、Modem,資產(chǎn)注冊(cè)（一）,配置資產(chǎn)編號(hào)的生成方式支持手工資產(chǎn)編號(hào)和自動(dòng)資產(chǎn)編號(hào)兩種方式,資產(chǎn)注冊(cè)（二）,以手工生成資產(chǎn)編號(hào)為例

51、終端第一次上線時(shí)提示輸入資產(chǎn)編號(hào)，必須與服務(wù)器上已錄入的編號(hào)一致服務(wù)器返回該資產(chǎn)編號(hào)對(duì)應(yīng)的資產(chǎn)信息，由終端確認(rèn)后完成注冊(cè),資產(chǎn)查詢與統(tǒng)計(jì)（一）,查詢已注冊(cè)的資產(chǎn)詳細(xì)信息，包括操作系統(tǒng)信息、硬件信息、屏保信息、分區(qū)列表、邏輯磁盤列表、軟件列表、補(bǔ)丁列表、進(jìn)程列表、服務(wù)列表以及共享列表。,資產(chǎn)查詢與統(tǒng)計(jì)（二）,支持按多種分類方式統(tǒng)計(jì)資產(chǎn)信息并顯示報(bào)表支持統(tǒng)計(jì)資產(chǎn)的軟件安裝情況,資產(chǎn)變更管理,支持軟硬件資產(chǎn)信息變更的檢查和上報(bào),軟件分發(fā)（

52、一）,配置軟件分發(fā)服務(wù)器配置軟件分發(fā)任務(wù),軟件分發(fā)（二）,iNode客戶端下載安裝程序完成后彈出軟件分發(fā)管理的提示窗口，用戶也可以手工從客戶端上查看雙機(jī)軟件分發(fā)管理中的文件名稱開始安裝,USB監(jiān)控,記錄使用USB的時(shí)間記錄寫入U(xiǎn)SB的文件,外設(shè)管理（一）,配置外設(shè)管理策略，選擇需要禁用的外設(shè)將外設(shè)管理策略與資產(chǎn)分組關(guān)聯(lián),外設(shè)管理（二）,手工啟用已經(jīng)被外設(shè)管理策略禁用的設(shè)備后，將產(chǎn)生外設(shè)違規(guī)記錄,業(yè)務(wù)參數(shù)配置,資產(chǎn)編號(hào)方式資產(chǎn)變

53、更掃描間隔時(shí)長心跳相關(guān)參數(shù)資產(chǎn)策略請(qǐng)求間隔時(shí)長,桌面資產(chǎn)管理相關(guān)參數(shù),“桌面資產(chǎn)業(yè)務(wù)”?“業(yè)務(wù)參數(shù)配置”可以對(duì)桌面資產(chǎn)業(yè)務(wù)的參數(shù)進(jìn)行調(diào)整,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,與思科設(shè)備配合的注意事項(xiàng)（一）,當(dāng)前Cisco版本不支持基于MAC地址的802.1X認(rèn)證方式，僅支持基于端口的802.1X認(rèn)證方式；需要注意一點(diǎn)，Cisco設(shè)備基于端口的802.1X認(rèn)證方

54、式下，接入端口可以配置兩種Dot1x主機(jī)模式（single-host和multi-host）；默認(rèn)配置為single-host模式時(shí)，同一接入端口不允許下掛有多臺(tái)主機(jī)，否則Cisco設(shè)備會(huì)自動(dòng)檢測并關(guān)閉端口；當(dāng)配置為multi-host模式時(shí)，同一接入端口可以下掛多臺(tái)主機(jī)，但只要有一臺(tái)主機(jī)上的用戶通過802.1X認(rèn)證及EAD安全檢查，則該端口下掛的其他所有主機(jī)將擁有訪問網(wǎng)絡(luò)的同等權(quán)限，網(wǎng)絡(luò)安全存在隱患；,與思科設(shè)備配合的注意事項(xiàng)（二）,

55、目前Cisco設(shè)備必須支持aaa accounting dot1x default start-stop group radius命令才能夠支持EAD，否則無法實(shí)現(xiàn)安全檢查（包括其他與策略服務(wù)器相關(guān)的功能）Cisco設(shè)備可以通過配置aaa accounting update periodic命令來啟用/設(shè)置計(jì)費(fèi)報(bào)文的更新時(shí)間，但大部分早期版本的Cisco交換機(jī)并不支持該命令。缺少計(jì)費(fèi)更新包的交互，缺省情況下將導(dǎo)致在線用戶列表老化后刪除

56、。必須在添加接入設(shè)備時(shí)將設(shè)備類型選為“思科”,與思科設(shè)備配合的注意事項(xiàng)（三）,當(dāng)認(rèn)證客戶端上線后，Cisco設(shè)備不提供與802.1X客戶端的EAP握手?？蛻舳水惓Ｍ顺觯ū热鏟C機(jī)掉電）后，交換機(jī)無法感知。即使依靠EAD心跳，服務(wù)器能夠感知到客戶端異常，但服務(wù)器仍無法通知交換機(jī)將用戶下線處理，并且也無法自行清除在線用戶列表。目前存在一定的安全隱患。,與思科設(shè)備配合的注意事項(xiàng)（四）,Cisco接入交換機(jī)上可以通過配置多臺(tái)RADIUS服務(wù)器進(jìn)

57、行備份，按照配置順序從上到下依次查找可用的RADIUS服務(wù)器。除此之外，必須進(jìn)行額外的配置，否則無法實(shí)現(xiàn)主備切換。如下兩種解決方案選其一：配置radius-server deadtime，或者通過調(diào)整RADIUS請(qǐng)求重試間隔的參數(shù)，將RADIUS服務(wù)器之間的切換時(shí)間控制在4秒內(nèi)： radius-server retransmit 0 //Radius報(bào)文只重試一次 radius-server tim

58、eout 2 //每次重試間隔2秒鐘,與思科設(shè)備配合的注意事項(xiàng)（五）,Guest-vlan的切換時(shí)間由端口下的dot1x timeout tx-period命令來控制，為提高用戶體驗(yàn)，經(jīng)常將該參數(shù)改小，比如改為5秒； 端口下的dot1x timeout quiet-period命令用來控制終端認(rèn)證失敗后，該交換機(jī)端口靜默多長時(shí)間才處理下一次認(rèn)證。為提高用戶體驗(yàn)，經(jīng)常將該參數(shù)改小，比如改為3秒。,與思科設(shè)備配合的注意事項(xiàng)（六）,在

59、配置客戶端802.1x連接參數(shù)時(shí)需要注意以下幾項(xiàng)：更改報(bào)文類型為“多播報(bào)文”取消勾選“超時(shí)重播90S”如果客戶端IP地址的四段十進(jìn)制數(shù)中，若有任何一段為0，則不能夠勾選“上傳IP地址”。但包含0沒有問題的，比如1.0.1.1不能夠上傳，但1.10.1.1則可以。,UAM組件介紹EAD解決方案介紹EAD解決方案與Cisco產(chǎn)品配合的應(yīng)用EAD解決方案的容災(zāi)方案,目錄,逃生工具,用戶接入逃生工具（簡稱為“逃生工具”）是CAMS

60、/ iMC UAM后臺(tái)的替身。當(dāng)CAMS / iMC UAM出現(xiàn)諸如進(jìn)程宕掉、數(shù)據(jù)庫異常、性能下降等故障無法處理認(rèn)證或計(jì)費(fèi)請(qǐng)求時(shí)，逃生工具暫時(shí)替代CAMS / iMC UAM處理請(qǐng)求報(bào)文以保障用戶的業(yè)務(wù)不中斷。逃生工具不驗(yàn)證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對(duì)于請(qǐng)求報(bào)文都直接回應(yīng)成功。 逃生工具以后臺(tái)服務(wù)形式存在，操作系統(tǒng)重新啟動(dòng)后會(huì)自動(dòng)啟用逃生工具。,逃生工具的部署方式,逃生工具支持集中式部署（即和iMC U

61、AM部署于同一臺(tái)服務(wù)器上）和獨(dú)立部署（單獨(dú)部署在另一臺(tái)服務(wù)器上）。逃生工具和UAM監(jiān)聽同樣的端口，所以當(dāng)集中式部署時(shí)只能啟動(dòng)兩者之一。獨(dú)立部署時(shí)，建議將逃生工具所在服務(wù)器配置成和原服務(wù)器一樣的IP地址，并離線放置。當(dāng)出現(xiàn)故障時(shí)直接將原服務(wù)器的網(wǎng)線拔到逃生工具服務(wù)器上，就好像替換備件。不建議配置不同的IP做主備切換。獨(dú)立部署的好處是首先盡量避免主機(jī)操作系統(tǒng)或硬件故障帶來的影響，其次可以在主機(jī)出現(xiàn)故障時(shí)直接在現(xiàn)網(wǎng)環(huán)境下定位問題，而不用

62、為了啟動(dòng)逃生而將UAM停止。這樣可以盡早定位問題，恢復(fù)原服務(wù)器。,逃生工具的優(yōu)缺點(diǎn),優(yōu)點(diǎn)有低成本的容災(zāi)方案，實(shí)施及維護(hù)非常簡單；一種簡單易行的附加保險(xiǎn)，即使是使用了其他容災(zāi)方案，仍然可以準(zhǔn)備一套逃生工具以備不時(shí)之需缺點(diǎn)有需要管理員及時(shí)發(fā)現(xiàn)故障并手工地切換使用逃生工具；用戶業(yè)務(wù)仍然會(huì)中斷；使用逃生工具期間，將損失認(rèn)證用戶的所有接入信息（日志，計(jì)費(fèi)信息等）；由于逃生工具不對(duì)認(rèn)證請(qǐng)求做任何判斷，所以在使用逃生工具期間將存在一定的