华为HCIP安全 723笔记

1. 802.1x 接入流程 802.1交换机域EAP报文交互 802.1x交换机与服务器使用radius报文交互 使用MD5进行信息校验
2. 终端WiF推送 1.管理员设置WiFi推送 2.any office自动申请证书 3.any office推送wifi配置 4.终端接入WiFi
3. PKI工作流程 PKI向CA请求 2.CA收到PKI请求 将自己CA回复PKI实体 3.PKI收到CA证书 安装证书 4.PKI向CA发送注册请求信息 5.CA收到PKI注册信息 6.PKI收到CA发送信息 7.PKI实体相互通信 8.PKI实体使用证书公钥进行通信
4. WLAN 用户隔离 组内隔离 组间隔离 可同时使用
5. 本地访客账号认证 portal认证 web>认证控制设备 HTTP请求 认证控制设备>web
   URL重定向>portal认证
6. 账号创建方式 单个创建 批量创建 自注册
7. 开启WDS功能的WLAN网络中 非法设备 Ad-hoc（设备有限直连）不是本AC 的STA（无线）查看AP是否合法
8. 802.1x认证 有线 接入层 安全高 设备多 管理复杂 汇聚层 安全中 设备少 管理方便 无线接入 安全高 设备少 管理方便
9. 客户端 安有 http浏览器的主机
   接入设备 rou sw
   Portal 作用 接收客户端认证请求 提供认证界面
   Radius 与接入设备交互 完成对用户审计 授权
   Auth 通过web anyoffice 发起认证 先连接auth服务器 在连接 portal服务器
10. MAC认证 基于接口 MAC地址认证（无需安装任何认证客户端） MAC旁路认证 先802.1x认证 如802.1x无响应 在进行MAC认证
11. 硬件SACG 应用场景 有线网络 旁挂部署 （防火墙）
12. 用户在接入时发现推送的Web页面中没有输入用户名/密码的地方 故障原因：Portal服务器上的推送页面错误
13. Agile Controller-Campus服务器 用户尚未认证 无法通过防火墙 解决设置 安全前域 未认证访问 安全前域服务器时 FW直接转发
14. 移动设备 anyoffice客户端建立 SSL VPN加密隧道 进行信息传输
15. 终端安全 典型应用场景 桌面管理 非法外联 计算机外设管理
16. Web客户端 系统自带802.1x客户端 只有 身份认证功能 无 检查类策略 监控类策略
    Any office 客户端 支持 检查类 监控类策略
17. 优先级 账号》终端IP地址范围》用户组
18. 网络层面的安全防御 硬件 软件 SACG 802.1x交换机
19. 账号黑名单 自动锁定和手动锁定账号可以同时开启
20. Agile Controller-Campus所有组件都支持Windows系统和Linux系统
21. 业务随行 5W1H How 确定接入方式 有线 无线 What接入设备 pc ios
22. Weak IV威胁仅存在与 WLAN网络中
23. Portal 认证 需要 配置 portal服务器IP 页面URL（重定向）Shared-KEY
24. 隔离域 终端用户 通过了 身份认证但未通过安全认证时允许访问的区域
25. 敏捷网络引入了安全组概念 可以实现ACL/VLAN与IP地址解耦
26. Test-aaa用于检测接入控制设备与Radius服务器通信是否正常 若返回超时原因可能有 padius参与与敏捷服务器参数不一致 敏捷服务器上的radius组件不可用 敏捷服务器1812（radius端口）被占用 共享密钥不一致
27. 敏捷服务器与radius服务器 进行认证端口 1812 认证端口 1813计费端口
28. 启动管理中心（MC）在桌面双击“Start Server”快捷方式启动 选择“开始>所有程序>Huawei>MCServer>Start Server”
29. 企业终端安全 通过准入控制进行安全防护
30. MC管理中心 负责制定准入控制的总体策略 并将策略下发给SM 同时对SM进行监视
    SM 业务管理器 系统管理员通过Web管理界面完成配置管理工作 SM管理其下的各个SC，向已经连接的SC发送实时指令，完成各种业务配置
    SC 业务控制器 负责用户的业务控制以及与网络设备联动
31. VIP体验保障 带宽 优先转发级
32. 终端安全技术（用户接入认证技术）身份认证 接入控制 安全认证 业务审计与授权
33. WLAN无线接入 用户接入安全技术 链路认证 用户接入认证 数据加密
34. LADP 账号同步到敏捷 验证账号 密码 返回后 对用户授权 未同步 AD域验证 校验成功后认证通过
35. 集中式组网 终端用户行对集中 少数用户在分支机构 分布式组网 用户分散 存在多个分支机构
36. 安全认证 通过安全策略对接入用户进行检查 终端安全管理 检擦类策略实现 终端用户行为管理 由监控类策略实现
37. Portal认证时 正在认证时间长 原因 多台敏捷服务器 同时对这个IP地址加入了地址列表
38. 硬件 SACG设备 FW 软件 SACG设备 网关必须通过 any office接入
39. Portal弯管接入流程 portal服务器需要把安全检查结果传递给接入网关
40. PPT-PDCA模型 计划 实施 监控 改进 PPT模型 流程 组织 技术
41. 园区网 移动用户认证部署问题 访问控制策略部署工作量大 访问权限难控制 用户体验不一样
42. 移动终端生命周期 获取 部署 运行 回收
43. DTLS 加密方式 证书加密 PSK加密
44. 终端准入控制 技术 802.1x SACG Portal认证
45. 华为支持的AC认证方法 MAC SN 不认证
46. Portal访客认证条件 终端IP地址 终端接入SSID 终端接入时间 终端操作系统类型
47. Rule 1000 permit IP（1280 times matched）开启逃生通道 终端接入控制功能失效
48. 无法安装 802.1x的客户端 以MAC认证作为接入方式 （例 固电话 网络打印机 摄像头 ）
49. 硬件 SACG 终端 未通过认证就可以访问域后资源 原因 SACG开启默认域间包过滤 误配置特权IP
50. Windows卸载 敏捷服务器 开始》 所有程序 》Huawei 》agile controller 》uninstall
51. 绑定终端主机和账号 只适用于any office（移动办公） 进行认证的场景并在第一次执行身份验证时完成 一个账号最多绑定三个终端 不支持web agent（web代理）
52. SACG可部署在 二层 三层 通常旁挂在核心交换机上 采用策略路由引流 支持旁挂在非华为交换机上
53. 安全邮件 通过邮件客户端 可以对接notes 或 exchange 支持 IMAP4//EAS等标准协议收发
54. 802.1x部署客户端 启用 Guest Vlan 用户在 Guest VLAN 获取安装包 在交换机上 配置Free-rule 和web推送功能 向用户推送安装包
55. 认证服务器 分布式部署场景 企业网路分散 分支机构多 分支机构用户规模大
    分支机构到总部之间网络质量难以保证
    敏捷安全域 由 用户域 网络域 服务域 业务域 组成
    用户域 终端用户组成 数量大分布广流动强 服务域 为企业内网提供安全服务的区域
56. WPA2 采用 AES-CCMP的加密技术
57. 802.1x认证 认证点在汇聚层 接入层交换机 要配置 802.1x报文穿透
58. 业务管理器 下载补丁方式 分级式部署 在管理中心 微软补丁服务器 下载
    非分级式部署 直接在微软补丁服务器上下载
59. 敏捷账号 分类
    本地帐号 普通账号 MAC账号 匿名账号 访客账号
    外部账号 AD账号 LDAP账号 移动证书 Token账号 第三方Radius服务器账号 社交媒体账号
60. 用户通过 web’ agent（web代理）方式 可以支持 本地认证 数字证书认证 系统认证
61. 补丁管理重在检查主机设否安装指定的补丁 对主机进行安全认证
62. 802.1x部署在汇聚层 用test-aaa命令测试成功 但无法接入网络 原因
    接入设备未在端口开启802.1x功能 接入和汇聚间使用二层链路 未开启 802.1x透传
63. WIPS是无线入侵防范系统
64. 敏捷服务器 HA功能 部署业务控制器SC 支持HA 提供资源池备份 需要部署N+1个SC 部署数据库DB时 支持HA 采用 SQL Server 数据库镜像技术 需要部署 主DB+镜像DB+见证DB
65. 三层组网无法获取到MAC地址
66. 业务随行 业务管里面 认证服务器 策略服务器 管理员
    网络设备平面 认证点 策略执行点 用户平面 用户终端 静态资源
67. 业务随行部署步骤 定义安全组 定义并部署组策略 系统自动运行
68. 访客管理 可设置面审批 审批信息可以通过短信通知（访客登录只支持portal接入方式）
69. 业务随行 一般☞ 用户访问网络的权限和策略
70. AP的工作模式 正常模式 监控模式
71. 802.1x认证的触发机制 802.1x客户端可以通过组播或广播方式触发 认证设备可以通过组播或单薄方式触发认证
72. 敏捷服务器产品架构 服务器层 网络设备层 用户接入层
73. 敏捷服务器系统架构 C/S B/S架构都包含
74. 如果不同模板分别应用到 部门 账号 那么 优先级关系为 账号》部门
75. 资产管理 手动注册 管理员手工 在业务管理器上 编辑一条资产记录 把资产记录分配到终端主机上 再由终端主机上传到any office
76. 软件管理 文件来源
    内部数据源 直接下发文件 外部数据源 下发 文件路径（业务管理器把路径传输给any office上 路径以\开头） 外部数据源 下发类型 http ftp
77. BYOD系统 双击 SC主备 AE服务器安装时需要设置 SC主备的IP地址
78. 匿名账号认证 管理员不可以删除匿名帐号 ~anonymous 使用匿名认证是基于信任对方前提下 认证机构不需要对方提供任何信息
79. AP处于监控模式时 通过802.1x报文来判断设备类型 非法rogue (AP Client ad-hoc无线网桥)
80. 第三方服务器账号=外部账号 AD 移动证书账号
81. 敏捷服务器 业务编排 可以根据业务将流量引导到安全中心处理 提高物理设备利用率
82. 旁挂模式SACG联动 防火墙流量来回路径不一致 需要关闭会话状态检测功能
83. Any office MDM技术 不可以集成第三方应用
84. CAPWAP 的控制隧道 可以使用DTLS进行加密
85. 集中式组网方案 基础组网 一个 AE服务器 SM服务器 SC服务器 DB数据库
86. AE SC DB 可靠性组网就是双服务器组网 高可靠性 就是所有服务器都是双份的
87. 用户接入安全的基础原理 终端设备根据状态检查结果 应用下发的安全策略
88. 终端主机安全管理 主要由检查类策略实现 终端用户行为 主要有监控类策略实现
89. 访客管理流程 账号分发属于 账号申请阶段
90. MAC认证使用的用户名格式 三种 MAC 固定用户名 DHCP
91. 一个账号属于一个组 一个用户只属于一个部门
92. 网络准入设备是终端访问网络的网络控制点 是企业安全策略的实施者
93. 部署数据库 高可靠性 双主DB 镜像DB 见证DB
94. SACG设备与TSM系统联动使用的ACL描述 SACG需要使用ACL3099-3999 所以在配置TSM联动之前要保证ACL不被其他功能引用
95. 公告分配对象 用户 账号 IP地址范围
96. 敏捷服务器安装成功后 检查SM是否正常启动 浏览器打开httos://SM ip：8443
    登录SM后 选择资源 用户 用户管理 新建普通账号 打开 https://SC ip ：8447
97. 业务随行功能 AR系列路由器不支持 业务随行功能
98. 触发MAC认证的报文 ARP DHCP ND
99. 业务随行 接入方式 有线 无线 VPN
100. 敏捷服务器 作为radius服务器服务端 认证设备（802.1x）作为radius客户端
101. 硬件SACG认证 SACG与敏捷服务器联动成功 但是用户认证失败 SACG没有放行用户流量 没有关闭状态检测
102. 业务随行 策略随行逻辑框架部署 选择合适的策略点和用户认证点
103. 无需重复认证的认证方式 MAC优先的Portal认证
104. 定义软件黑白名单 检查禁止安装的软件和必须安装软件
105. 敏捷服务器部署方式 集中式部署 分布式部署 分级式部署
106. 检查屏保设置的策略 检查终端是否启用了屏保 检查是否启用了屏保密码
107. WLAN有两种基本构架 FAT AP 和 AC+FIT AP
108. 部署 敏捷服务 和 SACG后身份认证成功 但是不能访问认证后域 原因 严重违规 认证后域访问控制列表没有下发发哦SACG 配置了错误的认证后域资源
109. 自动账号锁定 并绑定了账号IP/MAC地址 被锁定 账号不能在所绑定的设备上等登录 在其他设备上可以登录 超过锁定时间 自动解除账号锁定
110. AD/LDAP账号同步到 敏捷上可以基于账号精细化授权 不同步 只能按用户组授权
111. 敏捷服务器 radius 描述 radius用于在802.1x交换机与auth服务器间传递用户名密码
112. Windows 敏捷服务器不支持双击部署 Linux支持双机部署
113. SACG支持直挂 旁挂
114. Portal 认证方式 二层认证（设备直连 利用MAC/IP地址识别用户） 三层认证（以IP地址为唯一标识）
115. 公共场所 WLAN认证 推荐portal认证方式
116. 业务随行 逻辑架构· 业务 网络 用户
117. 自动注册资产 业务管理器 》 终端主机分配资产编号 》any office自动注册
     手动 业务管理器 》 创建资产记录 》下发给终端用户 》终端用户上传到 any office
118. MDM移动设备管理
119. IOS系统有自己的MDM移动设备管理协议
120. Rouge（非法） 设备检测和识别支持的设备有 AP Client Ad-hoc 无线网桥