×××× 网络准入与终端安全管理技术方案 深圳市联软科技有限公司 2012-10-11 ××××网络准入与终端安全管理技术方案书 _Toc301739999 目 录 目 录 - 1 - 图表目录 - 5 - 1 终端统一安全管理系统的需要 - 1 - ××××面临的网络安全挑战 - 1 - 建立统一的准入控制与终端安全管理系统 - 1 - 2 LeagView UniAccess解决方案总体概述 3 解决方案总体设计思路 3 方案设计原则 3 统一的集成化管理平台 4 支持多厂商/多平台 5 人、计算机统一管理 5 开放性 5 3 LeagView准入控制与终端安全管理系统 6 LeagView准入控制与终端安全管理系统简介 6 LeagView准入控制与终端安全管理总体思路 9 LeagView准入控制与终端安全管理系统架构 10 4 LeagView UniAccess网络准入控制系统 13 LeagView网络准入控制部署总体介绍 13 准入控制系统部署的目的 13 准入控制系统部署后的影响 13 准入控制系统终端接入管理体系 14 LeagView网络准入控制方案介绍 15 LeagView网络准入控制技术介绍 15 企业综合网络准入控制解决方案 18 网络准入控制部署方案建议 25 Leagview支持的网络准入控制策略 27 网络准入控制系统可靠性保障 32 准入控制高可靠性保障措施建议（消除单点故障） 33 准入控制灾难恢复与“一键式”复原技术 33 5 集中式终端安全管理 35 网络拓扑发现及资产/IT设备管理 35 网络拓扑发现 35 资产信息自动采集 36 设备快速定位（交换机端口定位） 37 设备IP-MAC资源管理 38 IP地址变更管理 39 配置变更管理 40 移动介质管理 43 用户身份认证管理 44 数字证书认证 44 数字证书验证方法 44 组织目录管理 45 客户端设备注册 45 终端安全防护管理 47 木马漏洞检查 47 木马进程防护 49 木马端口防护 49 补丁系统联动 50 终端安全评估与加固管理 51 安全漏洞检查 51 防病毒软件检查 52 个人防火墙 55 防止ARP网关、DHCP欺骗 56 Windows本地安全策略 57 终端安全审计与行为控制管理 58 非授权外联控制 58 网络行为审计与控制 59 文档打印审计与控制 61 软件许可监控（黑白名单） 61 电子邮件方式外传控制 64 WebMail方式外传控制 64 MSN/QQ文件外传控制 64 文件共享方式外传控制 64 离线及漫游控制 64 违规客户端远程阻断 65 支持穿透客户端防火墙 65 移动存贮管理 65 USB存储注册 65 USB存储设备/软盘控制 66 USB存储加密功能 68 终端流量管理 68 网络异常检测 68 终端流量统计 69 终端流量控制 70 补丁分发管理 71 补丁断点续传 71 补丁测试 71 客户端用户手工安装补丁 72 补丁自动分发安装 73 软件分发管理 74 断点续传 74 分发模式 75 软件分发过程监控 75 远程支持 76 消息广播 77 全局管理功能 78 设备分组 78 管理员权限管理和分组 79 管理员日志审计 80 报表和数据备份 81 6 系统部署及软硬件配置 84 LeagView系统的部署优势 84 LeagView Agent的特点及其部署方法 84 LeagView Agent的特点 84 LeagView Agent性能参数 85 LeagView Agent支持的操作系统 85 LeagView Agent的部署 85 客户机软件部署建议 86 LeagView服务器部署方案 87 软硬件配置清单 89 LeagView服务器硬件（××台，必选项目） 89 NACC网络准入控制器（××台，可选项目） 90 补丁下载服务器（1台，可选） 90 服务器软件配置 91 7 项目工作方案 92 项目实施概述 92 项目实施计划 93 系统部署时间 94 项目组织架构 94 项目质量控制 97 技术文档管理 97 8 附录 99 联软科技公司简介 99 LeagView应用案例 99 典型案例详细说明 100 _Toc301740000 图表目录 图 1 PDCA安全模型 4 图 2 LeagView的总体思路 9 图 3 LeagView终端安全与准入控制管理系架构 10 图 4 网络准入控制原理 15 图 5 LeagView网络准入控制架构 16 图 6部署连接示意图 17 图 7 基于认证和Cisco EoU认证准入控制技术对比 18 图 8 大型综合准入控制方案 19 图 9 基于的single-host准入控制方案 20 图 10 访客区网关部署 21 图 11 基于CISCO NAC-L2-IP的准入控制方案 22 图 12 远程分支机构/远程接入准入控制方案 23 图 13 NACC准入控制器方案 24 图 14 准入控制部署方案建议 26 图 15 准入控制用户身份认证策略 29 图 16 准入控制主机安全漏洞检测策略 30 图 17 二层网络拓扑图 35 图 18 设备概要信息 36 图 19 终端资产详细信息（硬件） 37 图 20 IP-MAC资源管理 38 图 21 IP-MAC策略绑定 39 图 22 设备IP地址历史信息 40 图 23 配置变更策略 41 图 24 单台终端的配置变更历史 42 图 25 配置变更报表 43 图 26 组织架构 45 图 27 客户端注册界面 46 图 28 客户端注册后显示的代理安装选项页面 47 图 29 客户端注册信息查看 47 图 30 可疑注册表项 48 图 31 可疑木马文件 48 图 32 常见木马进程策略 49 图 33 系统补丁及漏洞描述 51 图 34 客户端安全漏洞扫描 52 图 35 杀毒软件检测策略配置 53 图 36 事件处理预案定义界面 54 图 37 将安全策略与事件处理流程绑定 55 图 38 个人防火墙功能 56 图 39 反ARP、反DHCP欺骗策略 57 图 40 Windows本地策略设置 58 图 41 终端非授权外联策略 59 图 42 网络行为审计策略 61 图 43 打印审计策略 61 图 44 主机进程安全策略定义界面 63 图 45 USB存储设备注册 66 图 46 移动存储审计策略 67 图 47 移动介质管理 68 图 48 网络异常检测配置 69 图 49 客户机流量统计明细表 70 图 50 终端流量控制 71 图 51 补丁信息 72 图 52 客户端界面显示的补丁信息 73 图 53 补丁安装信息 73 图 54 补丁自动安装策略 74 图 55 软件分发执行统计信息 75 图 56 软件分发任务执行详细信息 76 图 57 客户端远程协助 77 图 58 消息广播功能 78 图 59 设备分组配置 79 图 60 管理员权限设置界面 80 图 61 操作员日志信息 81 图 62 LeagView数据导入导出工具 82 图 63 LeagView增量自动数据备份和恢复 83 图 64服务器热备示意图 88 图 65 服务器部署示意图 89 图 66 项目组织结构 95 深圳市联软科技有限公司 服务热线：400-6288-114 _Toc301740001 终端统一安全管理系统的需要 _Toc301740002 ××××面临的网络安全挑战 随着行业信息化的飞速发展，业务和应用完全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍件进入桌面计算机，在计算机上安装非法软件，私自拨号上网，外来电脑接计算机网络，这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。 由于××××的计算机网络系统复杂，设备数量众多，地理位置分散，接入网络的设备使用者身份复杂等因素导致安全管理非常困难，给××××的业务、办公网络的正常运行带来了巨大威胁与风险。这些威胁及风险包括： 无法及时发现、拒绝非法的计算机设备接入网络，非法的计算机一旦接入网络，极有可能破坏网络的正常运行，或者窃取重要数据与机密文件； 难以对数以千计的桌面计算机进行有效的安全管理。例如：对不打桌面计算机的补丁、不设置防火墙、非法拨号行为、盗用IP地址、使用与工作或生产无关的软件（运行QQ或BT）、不更新防病毒软件病毒库等行为进行有效管理和监控，这些安全管理措施如不能具体落实，会给网络的安全运行留下大量的安全隐患。 缺乏对现有计算机资产的统一管理，无法实时掌握全网所有终端系统的硬件配置和软件信息，无从了解系统安装了哪些程序，正在提供哪些服务。 所有这些，都给××××的网络安全正常运行带来了风险。 _Toc301740003 建立统一的准入控制与终端安全管理系统 分析××××面临的网络安全威胁与风险，我们认为××××非常有必要建立一套统一的准入控制与终端安全管理系统，实现对终端计算机设备的集中式安全运行维护管理系统，以解决如下问题： 实现对网络内部所有的计算机接入网络进行准入控制，防止外来电脑或者不符合规定的电脑接入网络中； 建立桌面电脑的集中式快速安全管理体系，对数量众多，最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系，以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量； 建立安全资产的分级管理体系，实现对不同安全级别的信息资产采取不同的安全管理； 建立安全事件的流程化处理机制，确保安全事件、安全问题得到有效的跟踪、处理和解决。对维护人员的行为规范进行管理，建立各种故障的处理流程，确保信息系统一旦出现问题即会有人及时去处理、排查直至消除故障。 综上所述，××××急需规划建立一套集中式准入控制与终端安全管理系统，以技术促业务，逐步完善IT运维保障体系，满足单位管理和业务对IT系统安全运行的需要。 ××××网络准入与终端安全管理技术方案书 深圳市联软科技有限公司 服务热线：400-6288-116 第 100 页 共 109 页 _Toc119493025 _Toc301740004 LeagView UniAccess解决方案总体概述 _Toc119493026 _Toc301740005 解决方案总体设计思路 _Toc113095972 _Toc118477835 _Toc119493027 _Toc301740006 方案设计原则 首先，作为一个“准入控制与终端安全管理系统”，Leagsoft(联软科技)认为有必要参考国际、国内的安全管理经验，来设计××××的“准入控制与终端安全管理系统”解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规范，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。 BS7799认为，设计信息安全系统时，必须掌握以下安全原则： 相对安全原则 没有100%的信息安全，安全是相对的，在安全保护方面投入的资源是有限的 保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用 分级保护原则 对信息系统分类，不同对象定义不同的安全级别 首先要保障安全级别高的对象 全局性原则 解决安全问题不只是一个技术问题 要从组织、流程、管理上予以整体考虑、解决 在设计××××的“准入控制与终端安全管理系统”解决方案时，非常有必要参考BS7799中的有关重要安全原则。 BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规范。在BS7799中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。 建立 发展 发展 , , 维护和提高 维护和提高 循环 循环 监控 / / 评审 设计和实施 提高 Do Do Plan Check Check Act Act 相关单位 相关单位 信息安全需求 和期望 相关单位 相关单位 管理状态下 的信息安全 持续安全改进 _Ref127503572 _Toc301740382 图 1 PDCA安全模型 _Toc113095973 _Toc118477836 _Toc119493028 ××××的终端安全管理，也将是一个持续、动态、不断改进的过程，LeagView UniAccess准入控制与终端安全管理系统将为××××提供统一的、集成化的平台和工具，帮助××××对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。 _Toc301740007 统一的集成化管理平台 _Toc152321142 _Toc118477837 _Toc119493029 准入控制与终端安全管理系统必须提供统一的、集成化管理平台。解决方案要向IT系统管理员提供一个统一的登录入口，有整体的终端安全视图，呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。 通过统一的集成化的管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，具体包括： 用户身份认证，网络准入控制； 网络拓扑发现，设备快速定位； 终端安全审计、评估和加固功能； 终端安全策略设置，包括：主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置。 终端软硬件资产管理； 终端软件及补丁管理； 终端的远程管理和维护； 统一的集成化管理平台对管理员的各种操作，应提供审计功能，以备事后审计。 _Toc127617750 _Toc138785240 _Toc211685637 _Toc301740008 _Toc152321143 支持多厂商/多平台 解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统的支持，是一个采用国际、国家或者行业标准的开放系统，以便将来的网络扩容、系统升级。 _Toc301740009 人、计算机统一管理 终端管理需要将计算机、人和组织将结合起来管理。很多计算机的管理信息需要通过人来反映，如计算机有问题时，通常需要知会计算机的用户。设置安全策略，直接设置到人比机器更加直观。 _Toc301740010 开放性 解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理，是一个采用国际、国家或者行业标准的开放系统，以便能够支持升级后的IT系统管理。 _Toc119493031 _Toc301740011 LeagView准入控制与终端安全管理系统 联软LeagView准入控制与终端安全管理系统（简称为UniAccess）是深圳联软科技自主研发的终端安全管理产品，专门为企业和政府解决大量桌面PC安全管理而设计，在设计上遵循国际IT服务管理标准－－ITIL标准和IT安全管理标准――ISO17799标准。 _Toc301740012 LeagView准入控制与终端安全管理系统简介 LeagView UniAccess在架构上分为三个部分：安装在终端上的客户端代理、LeagView后台服务、LeagView管理客户端。 LeagView管理客户端采用B/S架构，构建在J2EE架构之上。 客户端代理和LeagView后台服务之间采用TCP协议或者SSL协议，采用LeagView后台服务打开TCP监听端口、客户端代理主动连接的通讯模式，这样就避免客户端代理打开额外端口从而引来新的安全漏洞。 LeagView UniAccess可以和AD服务器、邮件服务器、防病毒服务器、文件服务器、网络交换机集成，构建一体化的安全防御体系。 通过LeagView UniAccess系统的部署，可以将整个网络划分为三个不同的区：访客区、修复区和办公区。UniAccess可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这三个区域中。终端在不同安全区域能够访问到的网络资源是不同的：访客区只能访问组织可以公开的网络资源，如Internet资源；修复区只能访问一下安全修复服务器资源；办公区才是可以正常访问办公需要的网络资源。 LeagView UniAccess支持多用户管理，可以让多个管理员同时使用，不同管理员有不同的管理权限。UniAccess采用两维管理权限控制：一是管理员可以使用的菜单功能权限；二是管理员能够管理的设备。对于每个管理员而言，他只能使用他有权限的菜单，只能看到和管理他负责的设备的运行状况。 为了支持地理分布、管理职能上有上下级关系的多个IT系统的运维管理，LeagView UniAccess支持分级管理模式。 具体来说，在桌面终端安全管理方面，提供了以下多个方面的安全管理功能： 网络准入控制，防止非法电脑接入 支持基于认证的网络准入控制； 支持基于Cisco NAC-L2/3-IP认证的网络准入控制； 支持基于DHCP/ARP干扰的网络准入控制； 用户可以自行定义多种准入控制策略； 防止有安全隐患的桌面电脑或者非授权桌面电脑直接访问内部网络。 设备自动发现与资产管理 自动发现网络上的所有接入设备； 可依据IP/MAC/主机名以及资产的配置对接入设备快速定位； 自动发现组织内所有桌面电脑的软硬件配置信息、桌面电脑网络连接信息和运行状态信息，建立资产基线； 支持配置变更自动发现与报警； 自动维护软硬件配置变更历史信息。 桌面电脑安全主动评估，发现安全隐患 自动发现存在安全隐患的桌面电脑，并提示系统管理员和用户要采取的弥补措施； 桌面电脑网络流量异常评估，及时发现异常流量桌面电脑； 桌面电脑安全配置评估，及时发现安全设置不完善的桌面电脑； 可疑注册表项、可疑文件检查； 灵活配置各种安全隐患条件； 多种方式控制/限制存在安全隐患的桌面电脑接入内部网络。 桌面电脑安全加固，防患于未然 补丁漏洞自动修复，支持桌面电脑操作系统补丁、MS应用软件补丁自动更新、自动升级； 支持登录口令强度检查、Guest帐户检查、屏幕保护检测等桌面电脑安全加固功能； 禁止各种默认共享、禁止修改IP地址、禁止修改注册表； 强制安装防病毒软件与更新病毒库； 禁止运行非法进程； 内置桌面电脑个人防火墙，既可限制外部网络直接访问桌面电脑，又可以限制桌面电脑去访问一些不允许的网络服务； 非法操作监管，让管理规定令行禁止 检查桌面电脑是否安装了非法软件； 支持对USB硬盘、Modem拨号、无线通讯、红外通讯、蓝牙通讯、同时使用内外网卡等非法操作的监控、审计和禁止使用； 支持对软盘、U盘、网络共享等方式外传文件的监控、审计和禁止； 支持对网上聊天、BT下载的监控、审计和禁止； 支持对HTTP访问、Email、网络文件拷贝等行为进行审计，或禁止； 支持离线管理，可以支持桌面电脑在离开网络之后安全策略仍然有效； 软件分发，功能强大、快速分发 在不对客户端用户造成负担的前提下，确保安全补丁和病毒特征码的正常发放和安装； 支持大规模数量的客户机、大型软件的快速分发，支持MultiCast分发、断点续传、多文件服务器等技术； 支持自动安装、手动安装，支持多种打包工具和打包格式，如：Wise、MSI打包。 可以方便灵活地按网段、部门、IP、操作系统类型等条件选择软件分发目标。 远程协助与监控，不到现场、胜过现场 实时监控客户端画面； 可以选择远程控制或者只监视不控制，满足各种场合的需要； 可以同时监控多台客户端画面。 此外，LeagView UniAccess支持信息资产安全分级管理，各种安全管理策略可以按照：部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。 _Toc301740013 LeagView准入控制与终端安全管理总体思路 _Toc301740383 图 2 LeagView的总体思路 LeagView UniAccess准入控制与终端安全管理系统对电脑终端进行安全管理的总体思路是： 一、通过网络准入控制技术，确保接入网络的电脑终端符合如下要求： 必须安装Agent，如果是未安装Agent的电脑终端接入网络，其打开WEB浏览器访问任何Web site时，将被重定向到管理员指定的一个页面，提醒其安装Agent。不安装Agent的电脑将无法访问内部网络（特殊电脑和访客电脑可以例外）。 必须符合网络接入安全管理规定，例如：拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定，将拒绝其接入，或者通过网络对该电脑进行自动隔离，并且指引其进行安全修复。 二、对安装了Agent的电脑终端，进行进一步的管理控制，包括： 安全设置检查、加固，非法操作的管理、限制 防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等) 电脑终端的集中式管理，例如，资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。 三、要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。 Agent自带反卸载、反非法中止、非法删除功能； 如果电脑终端私自卸载Agent（如重新安装操作系统）或者中止Agent的运行，LeagView后台系统可以及时发现这种行为。企业可以依据有关安全管理规范对其进行警告或者处罚，防范这种行为的再次发生。 _Toc167814238 _Toc301740014 LeagView准入控制与终端安全管理系统架构 下图是LeagView终端安全与准入控制管理系的系统架构。 _Toc138784809 _Toc301740384 图 3 LeagView终端安全与准入控制管理系架构 首先，LeagView终端安全与准入控制管理系通过网络准入控制技术，对接入网络的电脑终端进行实时安全检查，检查的内容包括： 账户检查：用户名和密码 可使用统一数字证书做认证； 防止外来人员私自安装一个相同的Agent后接入网络； 接入的帐号可以是AD域、Email服务器、LDAP服务器或系统内置的帐号； 安全设置规范检查: 终端的安全设置 检查系统账户，包括：Guest账户和弱口令检查； Windows域检查，检查终端是否加入指定的Windows域； 检查可写共享设置，检查终端是否设置了可写或者没有权限限制的可写共享； 检查终端操作系统补丁安装情况； 检查终端的防病毒安装情况及其病毒特征库是否及时升级； 检查终端是否有可疑的文件或注册表项存在； 检查终端是否安装了非法软件。 终端注册ID检查: 检查终端是否在内部网络注册登记过 网络准入控制确保接入网络的电脑终端是合法的、符合接入安全管理规范的电脑终端，而且是接受管理电脑终端。 其次，对已经接入网络的电脑终端，可以进行进一步的安全管理和控制，包括： 1）安全加固： 对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固，如提示用户设置强口令、设置屏保口令，删除写共享目录，停止一些危险的服务进程等。 强制接入网络的主机设备安装规定的防病毒软件，并且强制这些防病毒软件及时更新最新病毒，以加强主机设备的自身抗病毒能力。 自动为客户端安装最新补丁包，加强客户端的抗攻击能力。 2）安全评估： 管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力，当不满足时就认为主机是有安全漏洞的，这样的主机是很容易受到安全攻击的。比如账户口令是否是强口令；目录是否有缺省可写共享；是否运行了一些危险进程；通过检查注册表发现是否有已知的间谍软件；是否安装了最新补丁包；是否安装了规定的防病毒软件并及时更新了病毒特征库。 检测每个客户端的网络访问流量，确定是否有发送大量广播包、流量异常大、网络连接异常多的情况，对于这些异常情况及时向管理员报告，在大规模攻击出现之前找到根源。 3）安全审计： 审计客户端访问Interent网、Email、文件拷贝、FTP等，防止企业机密信息泄漏。 审计连接在内部网络的计算机是否同时打开一些组织不允许的方式，如Modem拨号、USB硬盘、同时跨内外网等。 审计内部的计算机是否运行非法软件，是否未经许可更改计算机上的软件、硬件配置等。 通过集中式控制平台，对电脑终端进行集中式的管理和设置，也可以对电脑终端进行各种批量的查询和统计。例如： 策略分发。集中、批量、分组对桌面电脑进行安全设置、安全状态查询。 软件分发和补丁管理。集中软件分发和补丁管理减轻管理员的日常维护工作量，提高效率。如为某个部门的所有机器安装防病毒软件。 远程控制。远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。 设备定位。对于不安全的接入网络的设备，管理员能够快速定位设备是连接在哪个网络交换机的哪个端口，是在什么物理位置、谁的设备，这样可以做出相应措施来控制攻击的扩散，如直接从网络断开这台设备。 资产管理。管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。 此外，LeagView终端安全与准入控制管理系可以对电脑终端分组进行管理，例如，将财务部门的电脑和其它部门的电脑区别对待，将总经理办公室的电脑和其它部门的电脑区别对待。即：按组设置安全管理策略。 _Toc163445556 _Toc301740015 LeagView UniAccess网络准入控制系统 _Toc163445557 _Toc301740016 LeagView网络准入控制部署总体介绍 _Toc151530036 _Toc163445558 _Toc301740017 准入控制系统部署的目的 _Toc163445559 _Toc151530037 LeagView网络准入控制可以对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。 LeagView网络准入控制可以帮助用户很好地解决如下问题： 防止非法的外来电脑随意接入内部网络，影响内部网络的安全； 防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行； 确保接入网络的客户机符合安全管理要求。 帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。 LeagView网络准入控制杜绝非法外来电脑接入内部网络，同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。 _Toc163445560 _Toc301740018 准入控制系统部署后的影响 部署网络准入控制服务之后，所有的桌面电脑接入计算机网络之前，都必须经过如下认证： 检查该电脑是否有合法的数字证书，包括文件证书、USB Key或IC证书等多种形式； 检查该电脑是否有合法的用户名密码（通过AD/LDAP服务器验证） 检查该电脑是否是本单位内部的合法终端（检查电脑的硬件ID），合法的电脑硬件ID保存在管理服务器的数据库中。 检查该电脑是否符合安全管理规定：例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中。 网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给Radius服务器，由Radius服务器再去查询AD/LDAP服务器和数据库服务器并将查询分析的结果返回给网络交换机。 _Toc301740019 准入控制系统终端接入管理体系 部署准入控制系统后，改变了电脑终端接入网络的行为模式。一般来说，电脑终端接入网络需要： 注册登记 内部终端要访问网络资源之前，需要在网络上注册登记（用户账户登记、终端ID注册等），取得接入网络的权限。 接入检查 终端在接入网络时，准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。 安全隔离 如果在接入检查时，发现终端不符合安全规定，需要对终端进行隔离或拒绝其访问网络资源，例如：发现是外来终端则拒绝接入或进入“访客区”网段，或者是内部不符合安全规定的终端，则让其进入“修复区”。 安全通知 对被隔离的终端进行通知，告知其被隔离的原因。 安全修复 自动引导被隔离的终端，让其修复安全设置或者进行注册登记，使得其可以正常访问网络资源。 一个完整的网络准入控制系统，应该包括以上五个方面的内容，缺少其中一个或者两个方面的内容，就不是完善的解决方案，会给准入控制系统的部署和推广带来问题。 联软科技的LeagView网络准入控制解决方案是一个完整的准入控制方案，可以提供以上五个方面的所有内容。 _Toc163445561 _Toc301740020 LeagView网络准入控制方案介绍 _Toc163445562 _Toc301740021 LeagView网络准入控制技术介绍 LeagView网络准入控制的宗旨是：为防止非法用户、病毒、蠕虫、新兴黑客技术等对企业安全造成危害，采用NAC，只允许合法的、安全的、值得信任的设备（如PC、服务器、PDA）接入网络，而不允许其它设备接入。 在LeagView的网络准入控制解决方案中，管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表（自定义动态ACL组）。 _Toc211685579 _Toc301740385 图 4 网络准入控制原理 【访客区】：一般情况下，定义访客区的网络资源是可以被任何用户的终端访问的，如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。 【修复区】：修复区网络资源是用来修复安全漏洞的，如补丁服务器、防病毒服务器、软件安装包服务器等，不符合组织安全策略要求的终端被限制在修复区中，强制它们进行安全修复。 【工作区】：工作区即是合法用户通过认证、检查并成功进入网络后，规定用户可以访问的网络资源，如：文件服务器、邮件服务器、其它应用系统等。 LeagView采用以IEEE 认证和Cisco EoU认证为核心的网络准入控制架构，如下图所示。 _Toc163445672 _Toc301740386 图 5 LeagView网络准入控制架构 LeagView 网络准入控制架构提供了三种方法解决不同网络环境的网络准入控制： （1） LeagView 网络准入控制的实现同时支持多厂商网络设备，如Cisco、华为、3Com、锐捷等。支持的Single Host、Multi-host、Multi-Auth模式。特别是Mutli-Auth模式，在有Hub的网络环境中也可以实现准入控制。 （2）Cisco NAC-IP-2和Cisco NAC-IP-3 作为的补充，当网络中有支持Cisco NAC-IP-2和Cisco NAC-IP-3的网络设备存在时，连接在这部分网络设备下的终端可以通过Cicso NAC机制来实现准入控制。 （3）LeagView NACC网络准入控制器 联软科技LeagViewTM UniAccessTM NAC Controller准入控制器（以下简称“UniAccessTM NAC Controller”或“准入控制器”）是一种基于EAP over UDP协议技术的硬件网关型设备，专为解决非和HUB接入网络环境下的网络准入控制问题而设计。 _Toc301740387 图 6部署连接示意图 下图是LeagView 网络准入控制技术中，基于认证和基于Cisco EoU认证的两种准入控制对比图。两种准入控制技术都可以控制对不安全终端或者外来终端对网络资源的访问。基于认证的准入控制通过VLAN动态切换，将不安全的终端切换到修复区，将外来终端切换到访客区，从而实现对这些终端的访问控制；基于Cisco EoU证准入控制通过动态ACL(访问控制列表)，直接限制外来终端或者不安全的终端对网络资源的访问。 _Toc163445673 _Toc301740388 图 7 基于认证和Cisco EoU认证准入控制技术对比 总之，LeagView 网络准入控制架构的突出特点是以网络设备为控制设备点，但又不局限于一家网络设备厂商，能够适应各种网络环境要求。 _Toc197240028 _Toc228860425 _Toc231839607 _Toc262473952 _Toc301740022 企业综合网络准入控制解决方案 许多大型企业公司的网络，通常是由以太网，无线Lan网络，VPN/拨号接入，以及分支机构等错综复杂的方式构成。针对这种环境，联软科技通过组合自身所支持的各种准入控制技术，来提供一个统一的，完整地解决方案。 _Toc262474061 _Toc301740389 图 8 大型综合准入控制方案 综合解决方案： 在总部核心网络安装一主一备两台LeagView的Radius服务器，用来作为准入控制的集中认证服务器。并且设定策略，对终端接入要求使用AD/LDAP进行身份认证，并对接入终端进行健康状况检查； 对总部没有接HUB的接入层交换机启用认证，实现终端网络准入控制。解决方案如下： _Toc301740390 图 9 基于的single-host准入控制方案 首先，设置Guest VLAN作为访客区，没有安装LeagView客户端的终端接入时将被切换到Guest VLAN，Guest VLAN与其它办公VLAN隔离，只能访问Internet或管理员指定的访问范围； 其次，设立修复VLAN，对不符合安全策略的终端计算机，则切换到修复区，强制要求终端计算机进行修复； 对于身份及安全状态均符合规定的终端计算机，允许其访问内部网络资源； 对总部利用wireless方式接入的终端启用 x认证。并使用与前面相同的Guest VLAN和修复VLAN； 对于切换入Guest VLAN中的终端计算机，通过部署在访客区内的访客网关设备，在访问HTTP内容时，将会被重定向到一个页面，提醒其安装LeagView客户端软件。 受限访问 应用服务器 安全修复服务器 合法用户 ( 符合安全要求 ) 访客区网关 访客 区 _Toc301740391 图 10 访客区网关部署 如果是本单位终端计算机，则选择安装即可；如果是外来访客，经与管理员联系并进行访客码申请后，管理员可以授予该访客终端计算机一个访客码，确认允许访客终端接入网络的时长以及允许其访问Internet，但不能访问办公区域网络资源； 对于总部通过HUB接入的终端计算机，如其上联的汇聚层交换机为CISCO的支持NAC-L2-IP的设备，则可在其对应端口上启用Cisco NAC-L2-IP认证，通过下载ACL来控制不同的终端访问不同的网络资源。解决方案如下： 准入控制服务器 ( 备 ) 合法用户 ( 不符合安全要求 ) 受限访问 应用服务器 拒绝访问或通过 ACL 限制访问 安全修复服务器 合法用户 ( 符合安全要求 ) 非法接入 支持 NAC-L2-IP 的 CISCO 设备机 准入控制服务器 ( 主 ) 排除的设备 _Toc301740392 图 11 基于CISCO NAC-L2-IP的准入控制方案 首先，针对一些服务器，网络打印机，设置成排除的设备。这些设备不需要安装agent，并且不限制它对网络的访问； 其次，当终端未安装代理或身份认证失败时，将会对终端应用限制型的ACL限制其对资源的访问，并且没安装代理的终端，当其进行HTTP访问的时候，会被重定向到代理的安装页面来强制终端安装代理； 再次，当终端通过身份认证，当未通过健康检查时，对其应用另一限制型的ACL，只允许其访问网络内的修复服务器。 仅当终端通过身份认证和安全健康状况检查时，对其应用的ACL将会允许其访问工作需要使用的资源。 对于分支机构接入到总部网络时，如边界路由器为CISCO的支持NAC-L3-IP的设备，则可在边缘路由器上启用NAC-L3-IP认证。解决方案如下： 准入控制服务器 ( 主 ) 准入控制服务器 ( 备 ) 不符合 安全要求 受限访问 应用服务器 安全修复服务器 非法接入 总部 分部 合法用户 合法用户 非法接入 受限访问 , 不符合安全要求 远程接入 拒绝访问 拒绝访问 _Toc301740393 图 12 远程分支机构/远程接入准入控制方案 首先，当远程终端的数据包第一次到达启用了NAC-L3-IP的路由器并准备进行转发时，路由器会要求该终端进行身份认证和健康状况检查； Agent会将身份认证信息和健康状况检查信息发送给路由器，由路由器转发给radius服务器； 其次，当身份认证不通过时，路由器将会对该终端应用ACL拒绝该终端访问总部内部资源。当身份认证通过，安全状态检查不通过，路由器将会对该终端应用ACL，只允许其访问安全修补服务器； 仅当身份认证和安全状态检查都通过，路由器才会放开资源给该终端使用。 对于分支机构接入到总部网络时，如边界路由器为非CISCO设备，则可通过NACC网络准入控制器进行认证。解决方案如下： 准入控制服务器 ( 主 ) 准入控制服务器 ( 备 ) 不符合 安全要求 受限访问 应用服务器 安全修复服务器 非法接入 总部 分部 合法用户 拒绝访问 _Toc301740394 图 13 NACC准入控制器方案 当一个New IP Packet经过网关时，NACC判断这个电脑是否是在访问一个提醒页面或安全修复服务器（通过ACL定义），或者这是不是一个例外的IP地址（有特殊权限的IP，可以允许其直接访问预先设置的特定资源，通过ACL控制），如果是则允许这个IP包直接通过；否则，就要检查这个IP所对应的电脑是否符合企业的安全规范要求（合法的帐户、补丁安装情况、防病毒软件安装情况）； NACC通过向电脑发请求包，与终端进行交互。假如终端未安装agent，网关会提醒终端安装agent，而安装了Agent的设备，则Agent会将自己的身份信息和安全状态信息发送给网关，网关将这些信息重新封装，发送给Radius服务器，Radius会依据网关转发过来的这些信息，进行判断，依据判断结果，发送一个指令给网关，指令的内容可能为：一个ACL名、一个重定向提醒URL、重新对该IP进行安全检查的时间。网关接收到指令后，向Radius下载这个ACL，并通过这个ACL来控制电脑对网络资源的访问； NACC依据LeagView后台服务器配置的策略，对各种不同情形的终端可访问的资源进行控制。当身份认证不通过时，路由器将会对该终端应用ACL拒绝该终端访问总部内部资源。当身份认证通过，安全状态检查不通过，路由器将会对该终端应用ACL，只允许其访问安全修补服务器，只有当身份认证和安全状态检查都通过，路由器才会放开资源给该终端使用。对不同网段，部门或单个终端都可以配置不同的资源访问权限。 对于出差员工通过VPN接入时，可在VPN设备上或者VPN连接的第一个内部路由器上启用NAC-L3-IP认证，或通过NACC进行认证。解决方案同分支结构远程接入解决方案。 整体方案具有如下特点： 全面实施网络准入控制，不留安全死角； 各种准入控制机制通过LeagView达到无缝集成，完全不存在不兼容问题。只使用一套产品就能实现各种准入控制。 灵活性强，用户可以随意组合和选择准入控制方案，能适应各种网络环境，在各种复杂的网络环境中实现准入控制。 统一认证。无论选用了多少种准入控制机制，都只需要一台LeagView服务器来完成身份认证，所有的身份认证都可以集中到一台服务器完成，有利于对帐户使用的集中审计。 _Toc127593596 _Toc163445563 _Toc301740023 网络准入控制部署方案建议 下图是网络准入控制和电脑安全管理系统所有相关服务器的部署连接示意图。 _Toc163445674 _Toc301740395 图 14 准入控制部署方案建议 图中包含如下服务器： 两台Radius服务器。 两台Radius服务器必须同时在线接入网络，用不同的IP地址。Radius服务器上只有配置文件，没有数据信息。 网络交换机一旦接收到电脑终端上传的认证信息，会首先把认证信息直接送给Radius服务器，由Radius服务器去完成相关的认证工作。因此Radius服务器必须是双机。 在网络交换机上设置两个Radius服务器的IP地址，在正常情况下，网络交换机会自动选择第一Radius服务器（主）；在主Radius服务器发生故障的情况下，网络交换机会自动选择备Radius服务器。 两台LDAP服务器（如：微软AD服务器，或可做身份认证的Mail Server）。 LDAP服务器是用户已经自行部署，可以在Radius服务器上指定两个LDAP服务器的IP地址，这样，当主AD服务器故障时，Radius会自动从备份Radius认证。 此外，每当一个电脑终端被认证之后，Radius服务器会将其用户名/密码等信息缓存在内存中，这样该电脑终端下一次认证时，就不再需要直接去AD认证，除非该账户的密码被变更。 两台管理数据库(DB)服务器。 正常情况下，所有的数据均实时保存在主DB上，备DB只需要在主DB更新了管理策略、录入了新的数据之后才需要和主DB同步。备DB有一个IP地址和主DB完全一致，正常情况下，备DB的这个网卡需要和网络断开；在主DB发生紧急故障的情况下，首先将主DB的网卡断开然后将备DB的网卡和网络联通，实现DB的快速切换。 Radius服务器在启动之后，会自动从主数据库（DB）读取和准入控制相关的策略和其它信息，并缓存在内存中。这样一旦主DB发生故障，只要不重新启动Radius服务器，并不会立刻直接影响电脑终端接入网络（但是接入的审计信息无法实时写入DB）。 _Toc163445564 _Toc301740024 Leagview支持的网络准入控制策略 _Toc211685648 网络准入控制身份认证管理 LeagView 网络准入控制架构支持多种身份认证方式： 基于的身份认证和安全认证； 基于Cisco NAC-L2-IP的身份认证和安全认证； 基于Cisco NAC-L3-IP的身份认证和安全认证； 支持VPN远程访问认证； 基于数字证书的认证，包括文件证书、USB Key或IC证书等多种方式； 基于用户名密码的认证，其中用户名密码可以是AD域、Email服务器、LDAP服务器或系统内置账号； LeagView 网络准入控制架构可以对接入端的如下信息进行强制绑定： 可以用用户名密码进行最低级别的绑定； 支持验证终端的硬件标识(合法硬件标识的终端允许接入网络)； 支持验证LeagView安全助手ID(合法LeagView安全助手ID的终端允许接入，LeagView安全助手重新安装后ID会改变)； 支持验证终端的MAC地址(合法MAC地址的终端允许接入网络)； 支持验证终端接入的交换机及端口(终端只能从指定交换机端口接入)； 支持验证用户名（或数字证书、USB Key等）和终端的绑定关系(用户只能通过指定的机器接入网络)。 _Toc211685582 _Toc301740396 图 15 准入控制用户身份认证策略 _Toc211685649 网络准入控制安全检查 LeagView 网络准入控制架构可以对接入设备的安全设置规范检查：终端的安全设置 检查终端的防病毒安装情况及其病毒特征库是否及时升级，如Symantec等防病毒软件； 检查系统账户，包括：Guest账户和弱口令检查； Windows域检查，检查终端是否加入指定的Windows域； 检查可写共享设置，检查终端是否设置了可写或者没有权限限制的可写共享； 检查终端操作系统补丁安装情况； 检查终端是否有可疑的注册表项； 检查终端是否有可疑的文件存在； 检查终端是否安装了非法软件。 _Toc301740397 图 16 准入控制主机安全漏洞检测策略 _Toc211685650 网络准入控制的动态授权 LeagView 网络准入控制架构可以对接入的终端进行动态的授权，主要包括以下几个部分： 基于用户或用户所在的部门自动分发ACL进行控制； 用户VLAN的动态下发，根据接入的身份或部门信息自动划分到指定的VLAN； 用户权限的实时控制，对接入的终端进行实时的控制； IP地址获取策略限制，可以禁用终端对IP地址的修改； 接入时段限制； 接入区域限制； 多网卡和拨号网络限制； 代理服务器限制； MAC地址修改限制； _Toc163445565 准入控制后用户接入网络的时间估计 桌面电脑在接入网络的过程中，需要经过多个步骤，接入所需时间包括： 1．Agent（安全助手）的启动时间，该时间和桌面电脑的性能有关，因此下面的时间计算不将该时间考虑在内。 2．桌面电脑将认证信息上传给网络交换机。 3．网络交换机将认证信息送给Radius。 4．Radius服务器内部对所接收的认证请求信息进行检验。 5．Radius通过微软AD服务器检验用户帐户。 6．Radius将认证结果返回给网络交换机。 上述步骤中，第2、3、6步骤所需的时间可以忽略（一般1毫秒以内），第4步骤的时间一般在3毫秒以内。第5步骤所需的时间可以按照如下表格估计： No. 认证条件 估计所需时间 备注 1 主radius，通过AD验证用户名/密码 300毫秒以内 AD验证一般需要200多毫秒 2 主radius，通过备份的AD验证用户名/密码 5秒以内 从第一个AD认证超时后，切换到第二个AD认证，切换需要5秒 3 主radius，利用Cache验证用户名/密码 1毫秒以内 4 首次切换到，备份Radius，通过AD验证用户名/密码 8秒以内 主Radius切换到备份Radius需要6－8秒(Retransmit 2，timeout 3S) _Toc301740025 _Toc163445567 网络准入控制系统可靠性保障 由于网络准入控制服务一旦发生故障，会导致电脑终端无法接入网络，因此必须保障网络准入控制的高度可靠。联软科技提供的准入控制系统部署方案具有如下特征： 和认证过程相关的设备和系统，不存在单点故障。即：单台服务器或者设备的暂时性故障，不会导致整个网络接入服务不可用； 和准入控制系统相关的网络设备、服务器、数据库和软件故障，系统能够实现自动报警，向相关管理员发送手机短信息等； 在特殊紧急情况下（例如：双机故障，或分支机构到总部的广域网线路中断） 网络管理员可以通过执行脚本的方式，快速将网络接入设置为“不设防”状态（临时撤销所有准入控制措施），使得所有电脑终端能够正常接入网络。 如果执行网络准入控制的网络设备是Cisco的交换机或者路由器，可以在网络设备上配置紧急模式。在紧急模式下，可以指定电脑终端可以访问哪些资源。 通过以上手段，LeagView可以保障网络接入服务的高度可用性。 _Toc196159452 _Toc211685656 _Toc301740026 准入控制高可靠性保障措施建议（消除单点故障） 准入控制服务器控制着终端接入网络，如果这些服务器发生故障，可能导致终端无法接入网络，直接影响员工办公。（备注：已经接入网络的终端，在准入控制服务器发生故障的情况下，不会断网。） 为保障网络准入控制服务高可靠性，建议采取如下措施： Radius采用双机，通过在网络设备上设置多个Radius IP地址，网络设备会在第一台Radius服务器发生故障的情况下，自动切换到第二台Radius服务器； 主Radius服务器采用独立的硬件服务器，避免在其上面安装数据库或者其它应用软件，保障Radius服务器能够稳定、高效运行； Policy Cache技术保证数据库服务器故障情况下，不会导致准入控制服务停止。Radius在完成准入控制认证过程中，需要访问管理员预先定义的准入控制策略，这些策略Radius会在启动时，自动到数据库中读取并缓存在内存中（Policy Cache技术），并且在准入控制策略发生变化时，Radius会收到后台程序的变更通知，自动更新Cache。通过Policy Cache技术，即使数据库服务器发生故障也不会影响准入控制服务； User Cache技术保证AD/LDAP(用户名、密码验证)服务器故障情况下，不会导致准入控制服务立刻停止。所有曾经接入网络的用户账户，Radius服务器会将其账户Cache在内存中，只要用户的账户不改变密码，下次接入时，就不需要重新到AD/LDAP服务器上认证了。 Policy Cache/User Cache两个技术，既解决了准入控制中的数据库和AD/LDAP服务器的单点故障问题，同时通过内存Cache这种方式，大大提高了终端接入认证的速度。 _Toc196159453 _Toc211685657 _Toc301740027 准入控制灾难恢复与“一键式”复原技术 考虑到准入控制系统作为一个特殊的关键生产系统，必须要考虑特殊灾难情况的发生。 本方案采取两种措施应对灾难情况： 单台准入控制服务器发生故障，如：Radius、DB、AD/LDAP服务器 LeagView准入控制系统可以自动监测这些服务器的运行状态，一旦这些服务器发生故障，系统可以通过手机短信、电子邮件、电话、语音等方式予以及时的告警。这样系统管理维护人员可以及时采取修复措施，保障系统的冗余度。 多台准入控制服务器发生故障，如：两台Radius服务器同时发生故障。 在部署准入控制系统时，提供“一键式”复原脚本，系统管理维护人员只需要在灾难发生时，鼠标点击执行复原脚步（在3－5分钟内执行完毕），即可临时撤销准入控制，保障用户可以继续接入网络。 _Toc167814249 _Toc301740028 集中式终端安全管理 _Toc211685667 _Toc295462566 _Toc301740029 _Toc152321151 _Toc163022377 _Toc167814250 _Toc163022379 _Toc167814252 网络拓扑发现及资产/IT设备管理 _Toc211685668 _Toc295462567 _Toc301740030 网络拓扑发现 LeagView的二层拓扑发现功能可以发现网络中的所有IT设备，包括网络设备、主机设备、网络打印机、终端设备等。LeagView二层拓扑发现功能支持大型网络的拓扑发现，可以跨网络、跨路由发现设备，支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现，能够获得网络设备之间、主机和网络设备之间的物理连接关系，获得设备的基本信息如IP地址、MAC地址、设备名、在线时间、离线时间、IP地址历史使用信息等。 _Toc163022480 _Toc211685590 _Toc301740398 图 17 二层网络拓扑图 LeagView的二层拓扑发现功能为终端设备管理构建了一个基线数据库，即所有资产的全集和概要信息。也可以收集所有的HUB接入的信息，准确定位当前在哪个地方有新的HUB接入网络，可定制告警事件及时通知管理员。 LeagView可以用表状方式展示IT资产信息，在设备概要信息中展示了设备的状态、IP地址、设备名称、MAC地址、设备类型及设备用户和所在部门、所连接的交换机端口等等。 _Toc301740399 图 18 设备概要信息 _Toc211685669 _Toc295462568 _Toc301740031 资产信息自动采集 对于安装了LeagView代理的终端设备，可以采集到终端详细的软硬件配置信息，硬件信息包括： CPU信息 主板信息：包括BIOS信息、PCI插槽信息 内存信息：物理内存大小、具体的内存条信息 硬盘信息：硬盘大小、速度、厂商、型号 光驱信息：光驱速度、厂商、型号 网卡信息 外设信息：通过串口、并口、USB口连接的设备信息，Modem状态信息 操作系统信息 软件配置信息包括： 安装的软件名 软件厂商 版本 语言 安装日期 所有这些信息都被保存在数据库中，管理员可以在线浏览或者输出各种资产报表。 _Toc211685591 _Toc301740400 图 19 终端资产详细信息（硬件） _Toc211685670 _Toc295462569 _Toc301740032 设备快速定位（交换机端口定位） Leagsoft原创的设备发现技术，可以快速发现接入网络的所有设备（无需准入控制），无论接入网络的终端是否安装个人防火墙，均可以对其快速发现并予以定位。 一般情况下，一台终端接入网络只需2－3分钟的时间即可被系统发现并予以定位。管理员可以通过以下信息查询接入设备的位置（所连接的网络交换机及其端口）： 接入设备的MAC地址； 接入设备的IP地址 接入设备的主机名 _Toc263771019 _Toc295462570 _Toc301740033 设备IP-MAC资源管理 LeagView的IP-MAC资源管理功能可以建立起设备IP地址与MAC地址对应的IP地址清单，实现IP地址与MAC地址的绑定、清除，并可以通过Excel进行IP-MAC对应表批量导入导出操作。 _Toc263770895 _Toc301740401 图 20 IP-MAC资源管理 LeagView可以通过IP-MAC绑定策略来实现设备的IP-MAC地址绑定，当出现违反IP-MAC绑定规则的事件发生时，可通过事件处理预案进行处理。 _Toc263770896 _Toc301740402 图 21 IP-MAC策略绑定 _Toc156359971 _Toc262473960 _Toc295462571 _Toc301740034 _Toc211685672 IP地址变更管理 组织内部的IP地址是标识终端设备的一个有效的技术符号，终端设备在网络上的行为也绝大多数可以通过IP地址来定位，然而IP地址是可以认为的任意修改的，一旦出现问题无法准确的定位也是网络管理员头疼的事情。 LeagView提供了IP地址历史信息查询的功能，快捷准确的记录局域网内所有终端设备的IP地址变更历史，包括该设备使用的IP地址、开始使用时间、结束使用时间等信息，为管理员定位设备，审计网络行为提供了方便。 _Toc156360093 _Toc262474067 _Toc301740403 图 22 设备IP地址历史信息 _Toc295462572 _Toc301740035 配置变更管理 LeagView可以对终端设备的软硬件配置变化进行监控。当终端用户新增、卸载一个硬件配置或者软件式，LeagView系统会记录详细配置变更信息，包括什么时间、哪个终端设备、哪个用户、变更的配置项、变化前的配置、变化后的配置。另外，LeagView还可以产生配置变更告警事件，及时通知管理员。 下图是配置变更策略配置界面。 _Toc211685595 _Toc301740404 图 23 配置变更策略 从图中可以看到，LeagView可以监控的硬件配置有CPU、主板、内存、硬盘、网卡，LeagView可以监控的软件配置有所有软件变化、指定软件变化、除指定软件外的其他软件变化、除微软操作系统外的其他软件变化。 管理员可以从终端设备的详细信息界面看到该终端的配置历史变化过程，如下图所示。 _Toc211685596 _Toc301740405 图 24 单台终端的配置变更历史 LeagView系统也为管理员提供配置变更报表，管理员可以生成某个时间段、指定范围机器、指定或者所有配置项变化的报表信息，如下图所示。 _Toc211685597 _Toc301740406 图 25 配置变更报表 _Toc262473961 _Toc295462573 _Toc301740036 移动介质管理 移动介质的管理一直是企业IT管理中的难点，也是最容易出现安全问题的设备，对移动介质的管理主要必须在以下几点上进行控制： 外部的或非法的移动存储设备不能随意的进入IT系统，必须经过一个安全的注册认证流程来实现对管理； 经过注册的内部移动存储设备的使用要进行监管，未经授权无法到外部使用，进行加密存储； 为了防御移动介质的自运行程序，在使用移动介质时，无法运行移动介质中的可执行程序； 对移动介质的文件传输进行审计或禁止； _Toc211685662 _Toc295462574 _Toc301740037 _Toc152321159 _Toc163022387 _Toc167814260 用户身份认证管理 _Toc211685663 _Toc295462575 _Toc301740038 数字证书认证 LeagView支持ITU 标准及具有标准扩展域的数字证书的用户认证，支持文件证书、USB Key证书、IC卡证书等形式。数字证书认证是网络准入控制身份认证管理的最主要认证方式，通过数字证书认证实现终端身份识别功能。 数字证书认证的过程主要包括以下几个步骤： 终端设备安装合法的数字证书，包括文件证书、USB KEY证书或IC卡证书等，LeagView Agent通过手工选择数字证书加载到客户端上； LeagView Agent把加载的数字证书通过专用通道传输给Radius服务器； Radius服务器根据根证书验证所上传的证书合法性，或者Radius服务器把该数字证书转发给OCSP服务器验证证书的合法性； 通过验证的证书，再根据该证书所在的LDAP目录结构，返回在证书所对应的终端的组织结构关系，并加载加载相应的准入控制策略和安全管理策略； 至此，整个认证过程基本结束；如终端需要更改数字证书，则在终端上直接选择新的证书进行认证，认证过程与上述步骤相同； _Toc211685664 _Toc295462576 _Toc301740039 数字证书验证方法 LeagView系统支持两种方式的数字证书验证方法： 通过根证书验证数字证书的合法性，再根据数字证书的CRL连接查询证书的有效性； 通过OCSP方式来验证数字证书的合法性和有效性；目前可以对标准的OSCPv1、OSCPv2的协议进行验证。 _Toc202268073 _Toc211685665 _Toc295462577 _Toc301740040 组织目录管理 LeagView可以在系统中建立组织架构，并支持从LDAP服务器或AD目录服务器中导入组织架构信息。可以在组织架构中手工的增加、修改和删除部门、职务，并可以在部门和职务手工的增加、修改和删除职员，手工的编辑职员的联系方式，包括电话号码、手机号码、Email和描述等。 _Toc202268152 _Toc211685585 _Toc301740407 图 26 组织架构 _Toc211685666 _Toc295462578 _Toc301740041 客户端设备注册 LeagView的客户端代理支持通过Web方式安装。当客户端用户输入安装URL后，LeagView会显示如下图所示界面，让用户输入注册信息。 _Toc163022481 _Toc211685587 _Toc301740408 图 27 客户端注册界面 客户端只有注册后才能安装LeagView代理，显示如下图所示的LeagView代理安装界面。 _Toc163022482 _Toc211685588 _Toc301740409 图 28 客户端注册后显示的代理安装选项页面 客户端用户输入的注册信息被作为组织架构信息的一部分保存在数据库中。管理员可以通过如下界面浏览客户端注册信息。 _Toc163022483 _Toc211685589 _Toc301740410 图 29 客户端注册信息查看 _Toc295462579 _Toc301740042 终端安全防护管理 _Toc295462580 _Toc301740043 _Ref152316394 _Toc152321161 _Toc163022388 _Toc167814261 木马漏洞检查 LeagView可以对客户端操作系统漏洞进行扫描，包括是否存在已知的黑客程序、是否存在可疑注册表项等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且给出漏洞修复指南，用户可以按指南说明修复这些漏洞。另外所有漏洞也会通知管理员。 _Toc301740411 图 30 可疑注册表项 _Toc301740412 图 31 可疑木马文件 _Toc295462581 _Toc301740044 木马进程防护 LeagView通过建立木马进程知识库，对已知的木马进程进行查杀，从而达到自动防御的功能。客户端一旦发现木马，自动进行阻断，并报告管理员。 _Toc301740413 图 32 常见木马进程策略 _Toc295462582 _Toc301740045 木马端口防护 LeagView根据木马常用的打开TCP、UDP端口信息，建立了常见木马端口知识库，并设置相应的个人防火墙策略，通过客户端阻断木马的端口访问，通过网络层对客户端进行安全防护。 _Toc262473984 _Toc295462583 _Toc301740046 补丁系统联动 LeagView自带补丁分发系统，通过补丁系统可以查询当前所有的客户端漏洞信息，及未打系统补丁所带来的风险。可以通过系统进行补丁安全情况统计，从而分析当前内网的安全防护状况，再通过补丁分发系统对所有的终端进行补丁的分发，提到内网的整体安全性。 _Toc262474090 _Toc301740414 图 33 系统补丁及漏洞描述 _Toc295462584 _Toc301740047 _Ref152316441 _Toc152321162 _Toc163022389 _Toc167814262 终端安全评估与加固管理 _Ref152316455 _Toc152321163 _Toc163022391 _Toc167814264 _Toc295462585 _Toc301740048 安全漏洞检查 LeagView可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否没有设置屏保口令、是否存在可写的共享目录、是否为加入到规定AD域、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏洞，并且给出漏洞修复指南，用户可以按指南说明修复这些漏洞。另外所有漏洞也会通知管理员。 _Toc163022498 _Toc301740415 图 34 客户端安全漏洞扫描 _Toc262473978 _Toc295462586 _Toc301740049 防病毒软件检查 LeagView主机安全漏洞检测功能可以检查终端设备是否存在安全漏洞，包括指定版本的防病毒软件是否安装、防病毒软件的病毒特征库是否为最新的。 管理员可以配置一个防病毒软件检测策略，界面如下： _Toc163022485 _Toc262474082 _Toc301740416 图 35 杀毒软件检测策略配置 当检查出规定杀毒软件未安装或者病毒特征库不是最新时，将产生告警事件，并可以按照管理员定义的事件处理流程通知管理员，也可以通过客户端界面显示给终端用户。 LeagView事件处理流程预案是全局性的配置，管理员可以单独配置好需要的事件流程预案，然后将其与具体的安全策略绑定起来。下图是事件处理预案的配置界面。 _Toc163022486 _Toc262474083 _Toc301740417 图 36 事件处理预案定义界面 管理员可以定义告警事件发生时应该按什么流程来处理告警事件，如Email通知、短信通知、Message通知、通知到客户端代理，也可以与防火墙、网络交换机进行联动控制客户端。当告警事件恢复时，也可以按流程进行处理。 当定义安全策略时，可以指定违反该安全策略产生的告警事件采用什么事件处理流程进行处理，如下图所示。 _Toc163022487 _Toc262474084 _Toc301740418 图 37 将安全策略与事件处理流程绑定 _Toc295462587 _Toc301740050 个人防火墙 LeagView可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。 _Toc301740419 图 38 个人防火墙功能 _Toc295462588 _Toc301740051 防止ARP网关、DHCP欺骗 LeagView安装了Agent的电脑，能够自动抵御ARP网关欺骗和DHCP欺骗： 能够实现自动识别，并选用正确的网关MAC。当发现ARP网关欺骗时，能够自动向管理员报警。 因为网络结构调整或者网络设备升级原因而更换网关设备时，无需更改终端的配置，终端能够自动适应，选择新的网关MAC地址。 该功能是LeagView的一个独特的功能，它可以帮助内网的设备摆脱ARP欺骗和DHCP欺骗，保持整个网络的健康运行。 _Toc301740420 图 39 反ARP、反DHCP欺骗策略 _Toc295462589 _Toc301740052 Windows本地安全策略 LeagView可以让管理员集中设置一些Windows本地策略，包括：是否允许编辑注册表、是否允许修改IP地址、Windows服务的启动方式，另外，管理员可以集中定义一些注册表项的值。 _Toc132796761 _Toc301740421 图 40 Windows本地策略设置 _Toc295462590 _Toc301740053 终端安全审计与行为控制管理 _Toc295462591 _Toc301740054 非授权外联控制 LeagView的非授权外连审计功能实现对非授权外连方式的审计和控制，包括USB大容量硬盘、Modem拨号、GPRS无线上网卡、CDMA无线上网卡、红外、蓝牙、光驱、软驱、双网卡等。LeagView可以设置审计或者禁止使用这些外连方式。审计信息包括何时、哪台终端、哪个用户、使用什么外连方式、开始使用时间、结束时间、是否被阻止。 管理员可以为非授权外连审计策略设置适用场景，如终端在办公环境中不能通过Modem拨号，但在外出差则可以Modem拨号通过VPN访问内部网络。 _Toc301740422 图 41 终端非授权外联策略 _Ref152317240 _Toc152321188 _Toc163022395 _Toc167814268 _Toc295462592 _Toc301740055 网络行为审计与控制 LeagView的网络行为审计功能实现终端用户上网行为审计和控制，包括： 通过白名单和黑名单，审计和控制web网站的访问，可以禁止终端用户访问一些非法web网站； 通过白名单和黑名单，审计和控制通过POP3和SMTP服务器收发邮件，可以禁止终端用户通过外部邮箱收发邮件； 对文件拷贝进行审计和控制； 对MSN、QQ等聊天软件的使用进行审计和控制，可以禁止某个时间段内使用这些聊天工具； 对BT、电驴等P2P软件的使用进行审计和控制，可以禁止这些P2P软件的使用。 管理员可以为网络行为审计与控制策略定义适用场景，如终端在办公环境中策略生效，在家里就不生效等；策略漫游功能，终端脱网或网络环境变化的情况下，管理策略可以根据最初设定的变化后环境的策略生效。能适应不同VPN接入的情况；策略可以按时段进行控制，并可以定义上下班时间策略。 上网行为的审计信息包括：何时、哪个终端、哪个用户、通过哪个程序访问网络、具体的网络行为、是否被终止、是否离线访问。 _Toc301740423 图 42 网络行为审计策略 _Toc295462593 _Toc301740056 _Ref152316926 _Toc152321177 _Toc163022392 _Toc167814265 文档打印审计与控制 LeagView可以审计监控打印的文件名、打印页数以及所使用的打印机，并将打印文件传送到指定的网络存储位置，能够禁止指定的打印进程并能对指定的打印机进行进行打印控制。 _Toc301740424 图 43 打印审计策略 _Toc295462594 _Toc301740057 软件许可监控（黑白名单） LeagView可以通过白名单、黑名单方式定义违禁软件，这些违禁软件被运行时可以产生告警事件通知管理员，或者直接禁止违禁软件的使用。白名单是指只有指定软件为合法软件，除此之外的所有非系统软件都是非法软件。黑名单是指指定软件为非法软件，其他都是合法软件。在白名单定义方式中，LeagView可以自动过滤掉Windows系统软件和LeagView客户端代理。 LeagView支持三种方式来定义违禁软件：（1）通过进程名来定义，即软件运行后为指定进程名的即为违禁软件（可以指定进程文件的执行路径）；（2）通过安装软件名称；（3）通过安装目录。LeagView可以禁止用户通过直接运行exe程序、快捷方式、数据文件等方式来启动违禁软件。 LeagView的主机进程安全策略定义界面如下图所示。 _Toc163022499 _Toc301740425 图 44 主机进程安全策略定义界面 _Toc211685675 _Toc295462596 _Toc301740058 电子邮件方式外传控制 LeagView通过白名单和黑名单方式来对终端设备的邮件访问进行监控和审计。LeagView可以定义终端设备能够通过哪些POP3和SMTP服务器收发邮件，禁止通过哪些POP3和SMTP服务器收发邮件，哪些需要进行审计。LeagView对邮件的审计包括何时、哪个终端、哪个用户、哪个POP3或者SMTP服务器、发件人和收件人、邮件主题、邮件附件等。 _Toc211685676 _Toc295462597 _Toc301740059 WebMail方式外传控制 通过LeagView提供的Web访问控制，可以限制桌面终端用户通过WebMail方式外传文件。LeagView可以通过通配符方式定义禁止桌面终端使用外部的WebMail服务器，从而防止文件非法外传。 _Toc211685677 _Toc295462598 _Toc301740060 MSN/QQ文件外传控制 LeagView能够对桌面终端用户使用MSN/QQ等进行监控和管理，禁止其通过QQ/MSN外传文件。 _Toc211685678 _Toc295462599 _Toc301740061 文件共享方式外传控制 LeagView可以防止桌面终端用户通过文件共享的方式外传文件，例如：通过Windows共享、FTP共享等。 自动运行在桌面终端上的Agent可以禁止Windows共享或者对Windows共享方式外传的文件进行审计。 此外，通过Agent所提供的双向防火墙功能，可以防止通过FTP方式外传文件。 _Toc211685679 _Toc295462600 _Toc301740062 离线及漫游控制 Agent本身有自我保护功能，可以禁止桌面终端用户删除、卸载Agent或者中止Agent的运行。Agent在离开网络或通过VPN远程接入的情况下，能够继续执行各种管理策略，各种审计信息在离线或漫游时，Agent会自动记录在本地硬盘，在下次连线后自动上传给服务器。 针对终端行为审计与控制，LeagView可以进行分时段的进行策略定义，如7*24的执行计划、5*8的执行计划或假期的特殊控制方式等等。 _Ref152316472 _Toc152321164 _Toc163022393 _Toc167814266 _Toc295462601 _Toc301740063 违规客户端远程阻断 LeagView可以在事件处理预案中设置访问控制动作，包括：（1）LeagView代理阻止终端访问网络；（2）关闭网络交换机端口；（3）控制防火墙禁止违规客户端访问网络资源。 _Toc163022396 _Toc167814269 _Toc295462602 _Toc301740064 支持穿透客户端防火墙 LeagView正常的安全管理功能不需要在终端设备上打开任何服务端口，所以不会给客户端带来额外的安全风险，客户端防火墙不会对其有任何影响。 _Toc295462603 _Toc301740065 移动介质管理 _Toc262473985 _Toc295462604 _Toc301740066 USB存储注册 LeagView可以对USB存储设备进行注册登记，管理员可以通过远程的WEB管理进行USB存储设备的注册登记，如下图所示： _Toc262474091 _Toc301740426 图 45 USB存储设备注册 注册完的USB存储设备就进入LeagView系统的管理数据库中，所有经过注册登记的USB存储设备就可以在内网中使用。 _Toc262473986 _Toc295462605 _Toc301740067 USB存储设备/软盘控制 LeagView的移动介质控制功能实现移动介质的读写控制。管理员可以设置允许读的移动介质标识、允许写的移动介质标识、对读写是否要审计。当移动介质接入到客户端时，LeagView会判断该移动介质是可以被读、被写还是不可以接入到客户端，同时控制用户对移动介质的操作。 LeagView可以审计终端对移动介质操作，审计内容包括何时、哪台终端、哪个用户、使用的移动介质标识、所做的操作、文件名称和大小等信息。 _Toc301740427 图 46 移动存储审计策略 LeagView还可以通过设置策略直接禁止终端运行USB存储设备上的可运行程序，这样可以降低通过移动介质进行病毒传播可能性。 _Toc262474092 _Toc301740428 图 47 移动介质管理 对软盘的管理控制与USB存储设备（包括USB硬盘）相同。 _Toc262473987 _Toc295462606 _Toc301740068 USB存储加密功能 USB存储设备是最常见也是最简单的泄密方式，针对USB存储设备的管理，除了上面介绍的对USB设备的控制手段外，LeagView还支持对USB存储设备的文档进行加密。 在安装了Agent的客户端上通过USB存储设备向外复制的文件客户端Agent可以自动的进行加密后再存储到USB存储设备中；当USB存储设备到了一个没有安装客户端Agent的机器上，由于没有解密密钥，这些复制的文档显示为乱码；当USB存储设备在一台安装客户端Agent的机器上时，这些加密的文档也无法从USB存储设备直接打开，只有通过Agent上自带的USB存储资源管理器把USB存储设备中加密后的文件复制到本机上，Agent自动实现解密，文件复制到本机后以明文方式存储； _Toc295462607 _Toc301740069 终端流量管理 _Toc295462608 _Toc301740070 网络异常检测 LeagView实现对终端设备流量大小、广播包、TCP连接数进行监控，监测是否有异常，当异常时产生告警事件通知管理员，或者与事件处理预案联动，自动隔离网络异常的终端设备。 管理员可以通过安全策略来设置终端设备正常的流量范围、广播包数和TCP连接数，设置统计时间段。为了避免偶然峰值引起误报，如拷贝大文件，LeagView可以统计连续多个采用周期的平均值来判断。 下图是LeagView网络异常检测配置界面。 _Toc163022496 _Toc301740429 图 48 网络异常检测配置 LeagView可以向管理员展示所有终端设备的某个时间流量统计、流量排名和TCP连接数，并且提示管理员终端设备是否有可疑的TCP连接、流量是否可以、广播包是否可疑。 _Toc163022390 _Toc167814263 _Toc295462609 _Toc301740071 终端流量统计 管理员可以设置统计客户端与网络上其它主机的流量明细。并且可以按照时段、IP地址等进行查询。 _Toc163022497 _Toc301740430 图 49 客户机流量统计明细表 _Toc295462610 _Toc301740072 终端流量控制 管理员可以对指定地址范围的客户端中运行的进程，通过协议，控制其流量大小。 _Toc301740431 图 50 终端流量控制 _Toc152321168 _Toc163022405 _Toc167814278 _Toc295462611 _Toc301740073 补丁分发管理 _Ref152316526 _Toc152321169 _Toc163022406 _Toc167814279 _Toc295462612 _Toc301740074 补丁断点续传 LeagView补丁分发支持断点续传，如果在补丁分发过程中网络断开或者终端设备被关机，当网络连接正常后，LeagView客户端代理能够从原来的文件下载点开始继续下载补丁包。 _Ref152316544 _Toc152321170 _Toc163022407 _Toc167814280 _Toc295462613 _Toc301740075 补丁测试 LeagView支持补丁测试机制。对于一个新的补丁包，管理员可以选定一组测试计算机进行测试，测试没有问题后，再对该补丁做确认。LeagView可以控制只有管理员确认的补丁才会被分发到各个终端。 下面界面显示所有补丁信息，其中有一个属性，即补丁是否被管理员所确认。 _Toc163022502 _Toc301740432 图 51 补丁信息 _Ref152316563 _Toc152321171 _Toc163022408 _Toc167814281 _Toc295462614 _Toc301740076 客户端用户手工安装补丁 LeagView客户端会向终端用户显示本机有哪些补丁未安装以及这些补丁的详细信息，如下图所示。 _Toc163022503 _Toc301740433 图 52 客户端界面显示的补丁信息 终端用户可以选择未安装补丁进行安装。 管理员可以通过补丁安装信息列表查看某台终端设备需要安装哪些补丁、哪些补丁已经安装、哪些补丁未安装信息，界面如下图所示。 _Toc163022504 _Toc301740434 图 53 补丁安装信息 _Ref152316582 _Toc152321172 _Toc163022409 _Toc167814282 _Toc295462615 _Toc301740077 补丁自动分发安装 LeagView实现补丁自动分发与安装。管理员可以为某类微软产品如Windows 2000操作系统定义自动分发与安装策略，策略内容包括需要升级的补丁级别、补丁分发时间、补丁安装方式、是否需要管理员确认、补丁分发的目的机器范围、分发采用的中继设备、补丁下载的最大流量等。LeagView会自动检查策略目标范围内的终端设备的补丁安装情况，如果有规定级别的补丁未安装，则自动将补丁分发下去并根据安装脚本进行安装。补丁自动分发与安装策略配置界面如下图所示。 _Toc163022505 _Toc301740435 图 54 补丁自动安装策略 LegView允许管理员为单台终端设备配置补丁自动分发与安装策略，此时策略的执行范围被限制在指定设备，其他的都与为某类产品定义的补丁升级策略相同。 LeagView还允许管理员为某个补丁定义自动分发与安装策略，此时LeagView在策略目标范围内检查终端设备是否安装了该补丁，对于未安装的终端设备，在指定时间内将补丁主动推下去进行安装。 LeagView可以设置补丁下载的最大流量，也可以设置分发的中继设备，从而避免补丁下载过程占用太大网络带宽。 _Toc152321173 _Toc163022410 _Toc167814283 _Toc295462616 _Toc301740078 软件分发管理 _Ref152316608 _Toc152321174 _Toc163022411 _Toc167814284 _Toc295462617 _Toc301740079 断点续传 LeagView软件分发支持断点续传，如果在软件分发过程中网络断开或者终端设备被关机，当网络连接正常后，LeagView客户端代理能够从原来的文件下载点开始继续下载软件。 _Ref152316653 _Toc152321175 _Toc163022412 _Toc167814285 _Toc295462618 _Toc301740080 分发模式 LeagView支持多址广播和多播分发模式。管理员为某个软件分发任务设置的应用范围可以是IP地址范围、网段、部门、某类设备、某类操作系统等。LeagView会根据设置的应用范围自动将软件分发到目标终端。 LeagView也支持中继方式分发软件，将软件包先分发到中继设备，再从中继设备分发到目标终端。 _Ref152316672 _Toc152321176 _Toc163022413 _Toc167814286 _Toc295462619 _Toc301740081 软件分发过程监控 LeagView可以让管理员查看某个软件分发任务的执行情况，包括软件分发任务执行统计信息和每台终端设备的执行状态。 下图是软件分发任务执行统计信息，包括目标设备总数、安装成功的设备总数、安装失败的设备总数、下载失败的设备总数、未安装的设备数。 _Toc163022506 _Toc301740436 图 55 软件分发执行统计信息 管理员可以查看到每个软件分发任务的明细信息，包括每台目标设备的安装情况。管理员也查询某台终端设备的所有软件分发任务的执行情况。 _Toc163022507 _Toc301740437 图 56 软件分发任务执行详细信息 _Ref152316959 _Toc152321178 _Toc163022414 _Toc167814287 _Toc295462620 _Toc301740082 远程支持 LeagView实现基于web的远程终端协助与维护。管理员通过LeagView的web管理界面可以直接登录到远程终端，实时看到远程终端的屏幕、操作远程终端的鼠标和键盘。 LeagView实现三种远程控制模式：（1）远程监视，即管理员只能看远程终端的屏幕，不能操作鼠标和键盘；（2）远程监控，管理员输入正确的口令后可以强制操作远程终端的鼠标、键盘，看到远程终端的屏幕，不需要经过客户端用户的许可；（3）远程协助，管理员输入正确的口令后，需要得到远程终端用户的许可后才能操作远程终端的鼠标、键盘，看到远程终端的屏幕。远程监控和远程协助又支持共享式和独占式。共享式远程监控和远程协助时，管理员和终端用户都可以操作鼠标和键盘；独占式远程监控和远程协助时，终端用户不能操作鼠标和键盘。 _Toc301740438 图 57 客户端远程协助 LeagView在远程控制时需要进行口令验证，口令不正确将被禁止访问。另外，对远程控制有详细的审计日志，记录何时、哪个管理员、对哪台终端设备进行了远程控制。 LeagView提供管理员和终端用户之间的文字聊天工具，双方可以进行文字聊天解决故障问题。可以通过远程支持功能实现管理员与客户端之前文件的传输。 LeagView对管理员对远程的支持都保留了审计信息，记录在操作员日志里面，而且管理员无法删除该日志。 _Toc295462621 _Toc301740083 _Toc120874735 _Toc163022415 _Toc167814288 消息广播 LeagView支持消息广播功能，可以在指定的时间内给指定部门或设备组发送消息广播，客户端在收到消息后会自动弹出提示框，显示广播内容。 _Toc301740439 图 58 消息广播功能 _Toc295462622 _Toc301740084 _Ref152316511 _Toc152321167 _Toc163022397 _Toc167814270 全局管理功能 _Toc295462623 _Toc301740085 设备分组 LeagView可以根据一定的规则对所有的终端设备进行自动的分组，也可以将设备手动的加入到某个设备组中。可以根据设备的IP、MAC、网段、部门、设备类型、设备资产信息及状态等自动分组，如下图所示： _Toc301740440 图 59 设备分组配置 _Toc295462624 _Toc301740086 管理员权限管理和分组 LeagView实现管理员权限管理，可以为每个管理员定义不同的管理权限。LeagView管理员权限是二维的：管理员可以使用的菜单功能和可以管理的设备。基于这种二维权限机制，可以实现管理员的分级，如：可以为每个分行的管理员可以使用所有菜单功能但只能管理本分行的终端设备。 LeagView的权限分配是基于用户组的，即为每个用户组分配权限，然后将设置管理员属于哪个用户组。 下图是管理员权限分配界面。 _Toc163022495 _Toc301740441 图 60 管理员权限设置界面 _Toc295462625 _Toc301740087 管理员日志审计 LeagView系统是一个多用户/组的管理系统，所有的管理员在系统中的所有行为都记录在“操作员日志”中，只有审计员帐号audit才能查询这些日志信息，其他任何管理员（包括超级管理员）都无法查询这些日志信息。如下图所示： _Toc301740442 图 61 操作员日志信息 _Toc295462626 _Toc301740088 报表和数据备份 管理员可以在LeagView管理界面上查询到设置的安全策略信息和所有安全漏洞信息，包括：设置的安全策略信息、终端安全漏洞信息、网络异常审计信息、非授权外来信息（USB存储设备、Modem、无线上网卡、无线网卡、红外、蓝牙、双网卡等）、网络行为审计信息（上网行为、Email、文件拷贝、聊天、BT/电驴下载）、设备接入审计信息。管理员可以对这些审计信息进行按条件查询。 LeagView为上述安全审计信息提供报表，管理员可以将报表导出到excel、本地打印。 LeagView提供数据备份功能，既可以对所有数据做完整备份，也可以定时做增量配置。下图是LeagView数据备份工具界面，它提供完整数据备份。 _Toc163022500 _Toc301740443 图 62 LeagView数据导入导出工具 下图是增量定时备份配置界面。 _Toc163022501 _Toc301740444 图 63 LeagView增量自动数据备份和恢复 _Toc301740089 系统部署及软硬件配置 _Toc120874736 _Toc163022416 _Toc262474011 _Toc301740090 LeagView系统的部署优势 LeagView产品设计时，就充分考虑了LeagView系统的部署问题，使得用户可以快速、有效、易行地部署整个管理系统。与同类产品比较，LeagView在系统部署方面拥有如下压倒性优势： 管理服务器部署轻松、容易。只要一台管理服务器就可以对数十个、上百个跨越不同地理位置的网络进行管理。 自动发现功能强大。管理服务器能够自动发现网络上的网段，发现每个网段的计算机设备，发现设备之间的连接关系，避免了用户部署时候所需要做的繁琐的MAC地址登记工作。 自动发现外来或者“脱僵”客户机。LeagView是真正能够发现所有外来设备，以及真正能够发现“脱僵”客户机的内网安全管理产品。 客户机软件部署简单、快捷、有效。LeagView提供了多种技术手段，例如：WEB安装、HTTP联动、防火墙联动等手段，方便客户机软件的部署。 所有这些，使得LeagView IT安全运维管理系统在部署时简单易行。 _Toc262474012 _Toc301740091 LeagView Agent的特点及其部署方法 _Toc262474013 _Toc301740092 LeagView Agent的特点 LeagView在设计时，充分考虑了在数以千计、乃至数以万计的桌面电脑环境中部署LeagView的复杂度，系统提供了多种部署手段和部署工具，包括远程自动部署安装工具。 安装在桌面电脑上的LeagView代理软件短小精悍，仅仅占用很少的内存以及1％以下的CPU资源。一般情况下，终端上只有一个进程在终端上执行，在启用远程协助的情况下，会有两个进程，极少部分特殊的终端可能会有三个进程用于执行某些特定的任务。 安装LeagView代理之后，没有管理员的授权，普通用户无法卸载、删除或者中止执行LeagView代理，并且代理安装之后，代理不会打开可以被外部访问的TCP端口。 _Toc262474014 _Toc301740093 LeagView Agent性能参数 LeagView Agent对所在PC的资源占用情况如下： 项目 测试方法 数值 说明 内存 任务管理器 8~左右 硬盘 资源管理器 左右 CPU 任务管理器 1%以下 平时绝大多数情况下 网络流量 抓包工具 240bps，30字节/秒 _Toc262474015 _Toc301740094 LeagView Agent支持的操作系统 LeagView Agent支持Windows 98、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7等各种操作系统，由于Windows 98操作系统本身的限制，有少部分功能在Windows 98的终端上不能实现。 _Toc262474016 _Toc301740095 LeagView Agent的部署 LeagView提供了多种技术和方法部署LeagView Agent，包括使用LeagView远程部署工具、Active Directory登录脚本、第三方工具以及手工安装。 管理员只要有远程计算机的管理员用户名及密码，并且在相关的服务端口没有被防火墙关闭的情况下，即可对远程的计算机进行批量的安装。 通LeagView提供的一个WEB插件，可以配置当未安装LeagView Agent的计算机去访问IIS WEB服务器时，WEB服务器将自动弹出界面要求客户机安装LeagView Agent。用户只需点击其相应的URL即可实现安装。 可以给目标系统用户发送一个正文带有URL链接的email，用户收到该URL之后，只需点击URL即可实现安装LeagView Agent。 LeagView Agent 总是可以通过在每台计算机上手工运行LeagView Agent安装程序来进行安装。这对于较少数目的计算机来说是一个快速且有效的方法。必须以管理员权限登录目标计算机并进行安装。 可以使用Microsoft Installer (MSI)版本的LeagView Agent安装程序来进行自动安装。你可以直接运行这个程序来直接安装client，或者调用它的参数进行安装。通过使用MSI版本的client安装程序，可以为LeagView Agent MSI的分发创建一个组策略对象（Group Policy Object ，GPO）。有关更多的组策略方面的信息，参见微软的知识库文章 可以通过使用Active Directory Group Policy Objects (GPO)来定义一个策略，强制在特定组（比如组织单位，域，等）的每台计算机上安装LeagView Agent，这个策略在每次用户登录到这个特定的域的时候应用到客户端计算机。如果有GPO功能则可以高效的部署LeagView Agent。 在一个AD域，登录脚本可以用来检查LeagView Agent是否存在。当计算机登录的时候发现LeagView Agent不在客户端计算机上，它可以自动从存放LeagView Agent安装程序的位置启动安装。 Agent一旦部署，系统今后可以对Agent进行自动升级维护。 LeagView可以自动发现网络上的所有计算机，并可以对所有计算机提供如下信息： 计算机的IP/MAC/主机名/交换机端口； 计算机当前是否在线； 计算机当前是否安装了Agent； 计算机当前的Agent是否能够与LeagView服务器通信； 因此，管理维护人员可以非常有效地掌握哪些计算机没有安装Agent， _Toc262474018 _Toc301740096 客户机软件部署建议 为了支持大规模安装，管理系统必须提供Web方式安装客户机软件。要提供Windows98/2000/XP/2003/Vista操作系统的客户机软件安装包。客户机软件安装包可以被客户化，管理员可以根据需要在客户化客户机软件安装包时定制提供的功能、显示的图标、显示的界面标题和管理服务器的IP地址。客户机软件安装过程中，用户不再需要输入其它信息，只需要点击一次鼠标即可。 客户机在首次安装客户机软件安装包之前，必须填写注册信息，注册信息的内容包括用户名、电话、电子邮件、所属部门、工作地点、校验码等信息。管理系统根据输入的邮件地址和校验码进行校验，成功后才能够安装。客户机如果不是首次安装，则不需要填写申请信息。 提供工具能够让管理员自动将用户的基本信息：用户名和邮件导入到系统中，并自动生成校验码。生成的校验码可以通过邮件方式自动发送给相应用户，以便该用户能够在安装客户机软件时用此邮件地址和校验码输入。管理员可以设置某个用户的校验码无效，这样用此用户的邮件地址和校验码就不能校验成功。对于后面新增加的客户端，管理员也可以通过界面生成新的校验码并由管理系统自动发送给客户机用户。 管理服务器提供界面，可以列出所有申请安装客户机软件的用户信息。一个用户在同一台客户机上多次申请安装客户机软件时，用户列表信息中只能是同一条。用户输入邮件地址和校验码后，如果该用户信息已经存在，用户可以不输入其他信息。 对于一些服务器或者由管理员负责的公共客户机，管理员拥有它们的系统管理员账户和口令，管理系统可以让管理员通过界面集中远程安装，而不需要让管理员到每台机器上手工安装。 客户机软件安装之后，应该在计算机桌面的右下角有显示图标；鼠标移动到该图标上，显示的提示信息是客户化配置的客户机软件界面标题信息。 _Toc150854390 _Toc301740097 LeagView服务器部署方案 LeagView采用先进的软件架构，单台服务器最大可以支持2万台以上的终端安全管理。具体部署结构示意图如下图所示： _Toc138784815 _Toc301740445 图 64服务器热备示意图 服务器主要包括如下几个部分组件： （1）Leagview管理服务器 部署需要考虑安全性和可靠性，需要购置2台硬件服务器：第一台用作LeagView主服务器同时是备份的Radius服务器，第二台作为主Radius服务器同时作为主LeagView服务器的冷备，当主LeagView服务器出现异常时使用。 _Toc209372020 （2）Radius服务器 Radius 的双机备份通过在网络设备上指定两个Radius server IP，网络设备会自动判断准入控制服务器的Radius服务是否可用，在主Radius服务器故障的情况下，自动切换到备份Radius服务器。采用这种方式，系统能够在主Radius准入控制服务器发生故障的情况下，自动切换到备份的Radius准入控制服务器。 _Toc209372021 （3）Leagview后台数据库 管理服务器的主和备间数据同步采用数据库的自动同步计划来实现，将数据从主服务器同步到备份服务器，在主服务器发生故障的情况下，采用人工切换的方式，启用备用服务。 对于管理服务器端各种安全管理的策略的下发，以及终端上报的各类审计信息，均可以由终端直接与LeagView管理服务器直接交互完成。但是，对于软件分发、补丁分发等会产生较大网络流量的任务，如果直接由终端和服务器进行交互，容易给服务器以及网络系统带来较大（甚至可能是不可承受）的负载，同时也会使得这些任务执行的非常慢。 为了使得软件分发、补丁分发等任务能够以尽可能少的网络资源以及加快任务的执行速度，建议采用中继器模式，即：服务器先把需要下发的文件、补丁先分发给中继器，当终端向LeagView服务器请求下载时，LeagView服务器将自动给终端分配一个中继器，终端将从中继器直接下载所需要的文件或补丁。下图是服务器的部署示意图： _Toc138784816 _Toc301740446 图 65 服务器部署示意图 图中，分支机构的终端在下载软件、补丁时将直接从中继器中获取。也可以在总部的网络中设置若干个中继器，这样总部的终端可以更快地下载补丁和软件。 _Toc301740098 软硬件配置清单 _Toc163022444 _Toc167814294 _Toc301740099 LeagView服务器硬件（××台，必选项目） 运行LeagView后台服务器软件以及Microsoft SQL Server 2000及以上应用。 服务器操作系统可以选用Windows2000以上中文版系统。 LeagView内置HTTP服务器软件，因此操作系统安装时请勿启用Microsoft IIS系统。服务器上需安装SQL Server数据库，实现对全网所有系统的管理。服务器需要SQL Server 2000或以上数据库系统，数据库占用空间的大小取决于以下因素，包括： 被管理的客户机的数量 被监控的网络设备、服务器、应用系统数量 使用“联软IT安全运维管理系统”的事件 其它因素….. 表格 1 LeagView服务器硬件配置 序号 服务器建议配置 节点数量 备注 1 2×CPU(双核心)，主频 Hz以上 DRAM : 4GB以上 Hard disk 146GB×2 SCSI RAID 10/100/1000Mbps NIC × 2，要求支持 Display 冗余电源 配备windows2000兼容声卡及音箱 2000个以内终端节点， 100台以内网络设备 CPU最低可单核心 内存最低2GB _Toc301740100 _Toc163022446 _Toc167814296 NACC网络准入控制器（××台，可选项目） 根据本次项目要求，针对网络准入与终端安全管理系统做相应的硬件采购，具体要求如下表所示： 表格 2 ＮＡＣＣ硬件配置 序号 名称 服务器配置 台数 备注 1 准入控制器 LeagView UNACC-1500 网络准入控制器硬件 2U机架式，冗余电源，提供基于EOU(EAP over UDP)的网络准入控制以及URL和POP3重定向提醒功能. Ｘ台 支持旁路和透明桥两种模式部署 共计 Ｘ台 _Toc301740101 补丁下载服务器（1台，可选） 在某些情况下，需要将补丁下载服务器独立部署，例如：LeagView管理服务器部署在内网。补丁下载服务器配置要求如下： 表格 3 补丁下载服务器配置 节点数 配置要求 不限 1×CPU：主频 Hz以上 DRAM： 256MB以上 Hard disk：80GB IDE 网卡：100MB 备注：可以选用淘汰的PC机顶替。 _Toc231839618 _Toc301740102 服务器软件配置 LeagView系统是运行在Windows系列平台的一套内网安全管理系统软件，采用Microsoft SQL Server系列数据库，以Windows2003操作系统及SQL Server 2005数据库作为主要软件配置，列表如下： 序号 单位名称 Windows 2003 SQL Server 2005 备注 1 ×××× 2套 1套 主备 集中式部署 共计 2套 1套 _Toc211685727 _Toc301740103 _Toc152321216 _Toc163022451 _Toc262474031 项目工作方案 _Toc60395971 _Toc67727029 _Toc70856130 _Toc138170107 _Toc211685728 _Toc301740104 项目实施概述 我公司遵循项目管理协会（Project Management Institute）的基本原则，将整个项目生命周期划分为六个阶段，初始阶段、计划阶段、选择阶段、实施阶段、保证阶段和支持阶段。每个阶段由一系列活动组成，而每个活动是通过一个或几个任务来完成。每个任务的执行都规定了条件和操作流程，该项任务完成后，产生规范的结果。 初始阶段：记录和核实客户需求以保证准确的解决问题 计划阶段：根据客户需求，设计方案，并制定详细的项目计划 选择阶段：与客户核对方案设计和项目计划，商谈必要的协议，使公司与客户对该项目达成一致。 实施阶段：我公司的项目经理执行项目计划和管理项目资源，保证项目按时在预算内完成，并取得客户的满意。 保证阶段：将系统的操作、管理和有关知识逐步转移给客户，监督系统性能。 支持阶段：如果与客户达成支持协议，执行支持计划。 我公司的项目经理将按照业界领先的项目管理方法对本项目进行管理，协调本项目中所涉及的各方，制订详细的项目工作计划和进度安排，负责确保整个项目的成功。 项目管理运作基于下面原则： 将项目计划与其它业务计划结合 项目完成以满足客户需求为目标 明确定义项目的可交付物、里程碑、预期目标。 直接掌握项目要素和实施过程。 持久地与最终客户分享。 早期的风险分析、评估，制定风险应对计划，降低项目风险。 有效地控制项目变更和费用 有效和灵活的项目沟通。 _Toc211685729 _Toc301740105 项目实施计划 _Toc163022450 从大的步骤来说，我们建议××××的每个成员单位按照如下方法部署LeagView系统。 第一步：环境准备及测试，包括对网络设备的兼容性测试及版本升级； 第二步：小规模内部署，发现部署中可能遇到的问题，积累经验； 第三步：组织进行技术人员培训，让技术人员熟练掌握系统部署经验和技巧； 第四步：大规模部署，在整个网管理平台范围内部署。在大规模部署之前，需要通过技术通告等形式，对内部员工进行必要的培训。 下面是此项目工程的总体计划。 _Toc150854470 表格 2 实施计划 序号 项目主要阶段 完成时间 合同签订时间 项目启动 产品交付 合同签订后××工作日 项目实施准备 产品交付后××工作日 LeagView安装调试和客户端小规模部署 产品交付后××工作日 经验整理和汇总 产品交付后××工作日 技术人员培训 产品交付后××工作日 代理大规模部署 产品交付后××个工作日 故障及灾难演习 产品交付后××个工作日 项目实施完成，系统进入正式运行 产品交付后××个月 _Toc211685730 _Toc301740106 系统部署时间 由于LeagView的安装、部署简单，系统的部署时间相对其它同类产品而言较短。 一般来说，类似××××这样的大型网络系统，整个软件的部署实施时间如下表所示。整个××××包括总公司和××个成员单位的实施在××周可以基本完成验收。 序号 单位名称 规模 实施时间 备注 1 2 3 4 5 6 7 8 9 _Toc70856132 _Toc138170109 _Toc211685731 _Toc301740107 项目组织架构 本项目的组织结构如下。 顾 问 领导小组 项目管理办公室 项目经理 工程助理 客户项目小组 联软项目小组 业 务 组 核 心 组 u 户 IT 组 规 划 设 计 软 件 研 发 工 程 实 施 测 试 小组 培 训 小 组 规划顾问 管理专家 IT 专家 _Toc70747531 _Toc138144149 _Toc211685622 _Toc301740447 图 66 项目组织结构 作为和项目中各方的联系人，我公司项目经理负责： 项目总体目标 分布式项目管理 部门间的联系和协调 项目预算信息 项目计划 项目实施时间表 项目成果交付说明书等 我公司项目经理还负责领导完成： 1．任务定义 以树状结构定义要完成的子任务，使得每项任务都可管理、可分配、可度量及可报告。通过里程碑定义一些关键事件，让项目组了解项目的进程是否正常，采取什么步骤继续往前或进行“回溯”，同时保证在需要改变目标时能实施恰当的变化处理过程。 2．详细计划 指出可用的资源、技术标准以及一些限制条件诸如强制完成时间、关键事务、外界因素等等。 3．任务责任图表 定义每个成员要交付的任务、应接收的任务，以及那些成员负责完成特别的任务，包括这些任务完成的标准和时间。 4．资源需求 确定每项任务所需的资源、技术标准、软硬件、培训需求、完成所需的时间和应得到哪个资源经理的允可。 _Toc480315731 5．风险评估 尽早确定双方可能遇到的风险事件。估计它们对项目的影响程度，制定相应的对策，并对其在整个项目进行中进行监控。 6．小结规划 形成项目回顾及控制的共识。确定状态报告和小结报告的格式及频率，确定问题升级的路径及解决过程。 7．变化管理规划 加强对项目实施过程中可能出现的变化需求的管理，制定相应的处理流程。确定出现变化需求时的处理人员及处理方法，估计影响范围、时间、及成本。 8．最终验收 确保项目进程符合验收标准，符合定义的各个里程碑，并由合适的人员进行签收。 对于大而复杂的项目而言，文档管理是确保成功的重要一环。我公司将明确指明各阶段应提交的主要文档名称、内容及格式等。 质量控制是确保项目成功的另外重要一环。在每一个阶段及主要工作完成后，都要进行正式的项目质量分析。项目质量分析会由各方人员以及独立人员参加，独立作出评估。 _Toc42676903 _Toc60395976 _Toc67727034 _Toc70856138 _Toc138170114 _Toc211685732 _Toc301740108 项目质量控制 项目质量的控制通过对各里程碑阶段的严格评审，以及设立独立的测试组队实现。我们将通过以下环节控制整体项目的质量。 严格的阶段性评审 需求分析 总体设计 概要设计 详细设计与代码审查 系统测试 独立的测试组队 制定测试计划、测试方案、测试用例 负责各种类型的测试 功能测试 压力测试 安装测试 易用性测试 性能测试 _Toc42676907 _Toc60395980 _Toc67727037 _Toc70856140 _Toc138170115 _Toc211685733 _Toc301740109 技术文档管理 工程文档是工程设计、施工、验收、维护工作的必要参考依据。工程文档将在工程的设计、实施、验收、维护中逐步产生、完善和提交。在本项目工程中将陆续提交的文档包括： 产品需求分析说明书 产品功能分析说明书 方案总体设计和详细设计说明书 系统规格说明书 系统操作手册 系统维护手册 应急方案 系统工程投标书； 项目实施计划书； 工程实施环境确认书； 工程施工日志； 验收报告； 培训教材； 随机文档。 _Toc301740110 附录 _Toc144715625 _Toc150854404 _Toc152321217 _Toc163022452 _Toc262474032 _Toc301740111 联软科技公司简介 深圳市联软科技有限公司（以下简称Leagsoft）是一家专注于IT系统安全管理领域的产品和解决方案提供商。公司自创立以来，秉持艰苦创业、追求卓越、产业报国的理念，以及凭借良好的公司股份、管理、激励机制，吸引了一大批拥有丰富的网络、主机、应用、数据库、大型软件开发经验的资深专业技术人士和营销专家。这些专业人士包括CCIE网络专家和来自清华大学、中国科大等国内顶尖博士、硕士人才，组成了富有团队精神和创新精神开发队伍、营销队伍和管理团队。公司还十分重视与国内外著名高等院校和科研单位的紧密合作，一些来自中科院、清华大学、北方交大、同济大学和美国密歇根大学的院士、博导、教授等均是公司长年的顾问。 经过几年努力，Leagsoft设计并研发了基于ITIL国际管理规范和ISO27001标准的“LeagView IT安全运维管理系统”，为大型电信、金融企业提供的全面、完整、先进、易用的IT系统安全管理、运行、操作解决方案。 其中“LeagView IT安全运维管理系统”包括UniMon运行监控平台、UniAccess桌面安全管理系统两大产品，分别独立解决服务系统的实时监控管理和桌面系统的管理维护问题。在深圳市2005年优秀软件评选活动中，UniMon和LeagView两个产品共同被评为2005年优秀软件产品。 经过几年的发展，Leagsoft已经在证券、金融、交通、政府、教育等行业发展了一大批用户，逐渐成为IT安全运维管理领域的领先厂商。 _Toc144715628 _Toc150854405 _Toc152321218 _Toc163022453 _Toc262474033 _Toc301740112 LeagView应用案例 _Toc144715633 _Toc150854410 _Toc152321223 _Toc163022458 _Toc262474039 _Toc301740113 典型案例详细说明