- 802.1x 接入流程 802.1交换机域EAP报文交互 802.1x交换机与服务器使用radius报文交互 使用MD5进行信息校验
- 终端WiF推送 1.管理员设置WiFi推送 2.any office自动申请证书 3.any office推送wifi配置 4.终端接入WiFi
- PKI工作流程 PKI向CA请求 2.CA收到PKI请求 将自己CA回复PKI实体 3.PKI收到CA证书 安装证书 4.PKI向CA发送注册请求信息 5.CA收到PKI注册信息 6.PKI收到CA发送信息 7.PKI实体相互通信 8.PKI实体使用证书公钥进行通信
- WLAN 用户隔离 组内隔离 组间隔离 可同时使用
- 本地访客账号认证 portal认证 web>认证控制设备 HTTP请求 认证控制设备>web
URL重定向>portal认证 - 账号创建方式 单个创建 批量创建 自注册
- 开启WDS功能的WLAN网络中 非法设备 Ad-hoc(设备有限直连)不是本AC 的STA(无线)查看AP是否合法
- 802.1x认证 有线 接入层 安全高 设备多 管理复杂 汇聚层 安全中 设备少 管理方便 无线接入 安全高 设备少 管理方便
- 客户端 安有 http浏览器的主机
接入设备 rou sw
Portal 作用 接收客户端认证请求 提供认证界面
Radius 与接入设备交互 完成对用户审计 授权
Auth 通过web anyoffice 发起认证 先连接auth服务器 在连接 portal服务器 - MAC认证 基于接口 MAC地址认证(无需安装任何认证客户端) MAC旁路认证 先802.1x认证 如802.1x无响应 在进行MAC认证
- 硬件SACG 应用场景 有线网络 旁挂部署 (防火墙)
- 用户在接入时发现推送的Web页面中没有输入用户名/密码的地方 故障原因:Portal服务器上的推送页面错误
- Agile Controller-Campus服务器 用户尚未认证 无法通过防火墙 解决设置 安全前域 未认证访问 安全前域服务器时 FW直接转发
- 移动设备 anyoffice客户端建立 SSL VPN加密隧道 进行信息传输
- 终端安全 典型应用场景 桌面管理 非法外联 计算机外设管理
- Web客户端 系统自带802.1x客户端 只有 身份认证功能 无 检查类策略 监控类策略
Any office 客户端 支持 检查类 监控类策略 - 优先级 账号》终端IP地址范围》用户组
- 网络层面的安全防御 硬件 软件 SACG 802.1x交换机
- 账号黑名单 自动锁定和手动锁定账号可以同时开启
- Agile Controller-Campus所有组件都支持Windows系统和Linux系统
- 业务随行 5W1H How 确定接入方式 有线 无线 What接入设备 pc ios
- Weak IV威胁仅存在与 WLAN网络中
- Portal 认证 需要 配置 portal服务器IP 页面URL(重定向)Shared-KEY
- 隔离域 终端用户 通过了 身份认证但未通过安全认证时允许访问的区域
- 敏捷网络引入了安全组概念 可以实现ACL/VLAN与IP地址解耦
- Test-aaa用于检测接入控制设备与Radius服务器通信是否正常 若返回超时原因可能有 padius参与与敏捷服务器参数不一致 敏捷服务器上的radius组件不可用 敏捷服务器1812(radius端口)被占用 共享密钥不一致
- 敏捷服务器与radius服务器 进行认证端口 1812 认证端口 1813计费端口
- 启动管理中心(MC)在桌面双击“Start Server”快捷方式启动 选择“开始>所有程序>Huawei>MCServer>Start Server”
- 企业终端安全 通过准入控制进行安全防护
- MC管理中心 负责制定准入控制的总体策略 并将策略下发给SM 同时对SM进行监视
SM 业务管理器 系统管理员通过Web管理界面完成配置管理工作 SM管理其下的各个SC,向已经连接的SC发送实时指令,完成各种业务配置
SC 业务控制器 负责用户的业务控制以及与网络设备联动 - VIP体验保障 带宽 优先转发级
- 终端安全技术(用户接入认证技术)身份认证 接入控制 安全认证 业务审计与授权
- WLAN无线接入 用户接入安全技术 链路认证 用户接入认证 数据加密
- LADP 账号同步到敏捷 验证账号 密码 返回后 对用户授权 未同步 AD域验证 校验成功后认证通过
- 集中式组网 终端用户行对集中 少数用户在分支机构 分布式组网 用户分散 存在多个分支机构
- 安全认证 通过安全策略对接入用户进行检查 终端安全管理 检擦类策略实现 终端用户行为管理 由监控类策略实现
- Portal认证时 正在认证时间长 原因 多台敏捷服务器 同时对这个IP地址加入了地址列表
- 硬件 SACG设备 FW 软件 SACG设备 网关必须通过 any office接入
- Portal弯管接入流程 portal服务器需要把安全检查结果传递给接入网关
- PPT-PDCA模型 计划 实施 监控 改进 PPT模型 流程 组织 技术
- 园区网 移动用户认证部署问题 访问控制策略部署工作量大 访问权限难控制 用户体验不一样
- 移动终端生命周期 获取 部署 运行 回收
- DTLS 加密方式 证书加密 PSK加密
- 终端准入控制 技术 802.1x SACG Portal认证
- 华为支持的AC认证方法 MAC SN 不认证
- Portal访客认证条件 终端IP地址 终端接入SSID 终端接入时间 终端操作系统类型
- Rule 1000 permit IP(1280 times matched)开启逃生通道 终端接入控制功能失效
- 无法安装 802.1x的客户端 以MAC认证作为接入方式 (例 固电话 网络打印机 摄像头 )
- 硬件 SACG 终端 未通过认证就可以访问域后资源 原因 SACG开启默认域间包过滤 误配置特权IP
- Windows卸载 敏捷服务器 开始》 所有程序 》Huawei 》agile controller 》uninstall
- 绑定终端主机和账号 只适用于any office(移动办公) 进行认证的场景并在第一次执行身份验证时完成 一个账号最多绑定三个终端 不支持web agent(web代理)
- SACG可部署在 二层 三层 通常旁挂在核心交换机上 采用策略路由引流 支持旁挂在非华为交换机上
- 安全邮件 通过邮件客户端 可以对接notes 或 exchange 支持 IMAP4//EAS等标准协议收发
- 802.1x部署客户端 启用 Guest Vlan 用户在 Guest VLAN 获取安装包 在交换机上 配置Free-rule 和web推送功能 向用户推送安装包
- 认证服务器 分布式部署场景 企业网路分散 分支机构多 分支机构用户规模大
分支机构到总部之间网络质量难以保证
敏捷安全域 由 用户域 网络域 服务域 业务域 组成
用户域 终端用户组成 数量大分布广流动强 服务域 为企业内网提供安全服务的区域 - WPA2 采用 AES-CCMP的加密技术
- 802.1x认证 认证点在汇聚层 接入层交换机 要配置 802.1x报文穿透
- 业务管理器 下载补丁方式 分级式部署 在管理中心 微软补丁服务器 下载
非分级式部署 直接在微软补丁服务器上下载 - 敏捷账号 分类
本地帐号 普通账号 MAC账号 匿名账号 访客账号
外部账号 AD账号 LDAP账号 移动证书 Token账号 第三方Radius服务器账号 社交媒体账号 - 用户通过 web’ agent(web代理)方式 可以支持 本地认证 数字证书认证 系统认证
- 补丁管理重在检查主机设否安装指定的补丁 对主机进行安全认证
- 802.1x部署在汇聚层 用test-aaa命令测试成功 但无法接入网络 原因
接入设备未在端口开启802.1x功能 接入和汇聚间使用二层链路 未开启 802.1x透传 - WIPS是无线入侵防范系统
- 敏捷服务器 HA功能 部署业务控制器SC 支持HA 提供资源池备份 需要部署N+1个SC 部署数据库DB时 支持HA 采用 SQL Server 数据库镜像技术 需要部署 主DB+镜像DB+见证DB
- 三层组网无法获取到MAC地址
- 业务随行 业务管里面 认证服务器 策略服务器 管理员
网络设备平面 认证点 策略执行点 用户平面 用户终端 静态资源 - 业务随行部署步骤 定义安全组 定义并部署组策略 系统自动运行
- 访客管理 可设置面审批 审批信息可以通过短信通知(访客登录只支持portal接入方式)
- 业务随行 一般☞ 用户访问网络的权限和策略
- AP的工作模式 正常模式 监控模式
- 802.1x认证的触发机制 802.1x客户端可以通过组播或广播方式触发 认证设备可以通过组播或单薄方式触发认证
- 敏捷服务器产品架构 服务器层 网络设备层 用户接入层
- 敏捷服务器系统架构 C/S B/S架构都包含
- 如果不同模板分别应用到 部门 账号 那么 优先级关系为 账号》部门
- 资产管理 手动注册 管理员手工 在业务管理器上 编辑一条资产记录 把资产记录分配到终端主机上 再由终端主机上传到any office
- 软件管理 文件来源
内部数据源 直接下发文件 外部数据源 下发 文件路径(业务管理器把路径传输给any office上 路径以\开头) 外部数据源 下发类型 http ftp - BYOD系统 双击 SC主备 AE服务器安装时需要设置 SC主备的IP地址
- 匿名账号认证 管理员不可以删除匿名帐号 ~anonymous 使用匿名认证是基于信任对方前提下 认证机构不需要对方提供任何信息
- AP处于监控模式时 通过802.1x报文来判断设备类型 非法rogue (AP Client ad-hoc无线网桥)
- 第三方服务器账号=外部账号 AD 移动证书账号
- 敏捷服务器 业务编排 可以根据业务将流量引导到安全中心处理 提高物理设备利用率
- 旁挂模式SACG联动 防火墙流量来回路径不一致 需要关闭会话状态检测功能
- Any office MDM技术 不可以集成第三方应用
- CAPWAP 的控制隧道 可以使用DTLS进行加密
- 集中式组网方案 基础组网 一个 AE服务器 SM服务器 SC服务器 DB数据库
- AE SC DB 可靠性组网就是双服务器组网 高可靠性 就是所有服务器都是双份的
- 用户接入安全的基础原理 终端设备根据状态检查结果 应用下发的安全策略
- 终端主机安全管理 主要由检查类策略实现 终端用户行为 主要有监控类策略实现
- 访客管理流程 账号分发属于 账号申请阶段
- MAC认证使用的用户名格式 三种 MAC 固定用户名 DHCP
- 一个账号属于一个组 一个用户只属于一个部门
- 网络准入设备是终端访问网络的网络控制点 是企业安全策略的实施者
- 部署数据库 高可靠性 双主DB 镜像DB 见证DB
- SACG设备与TSM系统联动使用的ACL描述 SACG需要使用ACL3099-3999 所以在配置TSM联动之前要保证ACL不被其他功能引用
- 公告分配对象 用户 账号 IP地址范围
- 敏捷服务器安装成功后 检查SM是否正常启动 浏览器打开httos://SM ip:8443
登录SM后 选择资源 用户 用户管理 新建普通账号 打开 https://SC ip :8447 - 业务随行功能 AR系列路由器不支持 业务随行功能
- 触发MAC认证的报文 ARP DHCP ND
- 业务随行 接入方式 有线 无线 VPN
- 敏捷服务器 作为radius服务器服务端 认证设备(802.1x)作为radius客户端
- 硬件SACG认证 SACG与敏捷服务器联动成功 但是用户认证失败 SACG没有放行用户流量 没有关闭状态检测
- 业务随行 策略随行逻辑框架部署 选择合适的策略点和用户认证点
- 无需重复认证的认证方式 MAC优先的Portal认证
- 定义软件黑白名单 检查禁止安装的软件和必须安装软件
- 敏捷服务器部署方式 集中式部署 分布式部署 分级式部署
- 检查屏保设置的策略 检查终端是否启用了屏保 检查是否启用了屏保密码
- WLAN有两种基本构架 FAT AP 和 AC+FIT AP
- 部署 敏捷服务 和 SACG后身份认证成功 但是不能访问认证后域 原因 严重违规 认证后域访问控制列表没有下发发哦SACG 配置了错误的认证后域资源
- 自动账号锁定 并绑定了账号IP/MAC地址 被锁定 账号不能在所绑定的设备上等登录 在其他设备上可以登录 超过锁定时间 自动解除账号锁定
- AD/LDAP账号同步到 敏捷上可以基于账号精细化授权 不同步 只能按用户组授权
- 敏捷服务器 radius 描述 radius用于在802.1x交换机与auth服务器间传递用户名密码
- Windows 敏捷服务器不支持双击部署 Linux支持双机部署
- SACG支持直挂 旁挂
- Portal 认证方式 二层认证(设备直连 利用MAC/IP地址识别用户) 三层认证(以IP地址为唯一标识)
- 公共场所 WLAN认证 推荐portal认证方式
- 业务随行 逻辑架构· 业务 网络 用户
- 自动注册资产 业务管理器 》 终端主机分配资产编号 》any office自动注册
手动 业务管理器 》 创建资产记录 》下发给终端用户 》终端用户上传到 any office - MDM移动设备管理
- IOS系统有自己的MDM移动设备管理协议
- Rouge(非法) 设备检测和识别支持的设备有 AP Client Ad-hoc 无线网桥
华为HCIP安全 723笔记
最新推荐文章于 2024-05-10 04:20:52 发布