主机完整性检测方案安装使用指南 - Procedure to.doc

主机完整性检测方案安装使用指南 简介 阿尔卡特相信，网络访问控制（也被称作网络认证）和主机完整性检测的无缝整合是自动增强主机安全策略的关键因素，继而能阻止大多数病毒和蠕虫的攻击。阿尔卡特的解决方案具有两方面的特征： 一方面是使用阿尔卡特领先的虚拟局域网（VLAN）技术及其局域网交换机系列产品。认证VLAN技术能使用户登录到网络并根据其证书进入相应的授权VLAN，从而有效地控制访问网络资源的人员。 另一方面是使用提供主机完整性检测服务的服务器。通过网络认证业务，主机完整性执行服务器收集了有关主机的信息，包括操作系统版本和补丁包、防病毒软件版本、防病毒升级补丁和个人防火墙版本，并将其与企业安全策略进行比较。如果该主机与安全策略一致，则将在网络上得到授权并可以访问认证资源。如果该主机与安全策略不一致，则将被放置在一个隔离VLAN（也称作处罚VLAN）中。在该VLAN中，该主机将能够用所需的防病毒升级补丁、操作系统补丁等进行自我升级。一旦该主机被升级，则将激活认证程序，而该主机也将被纳入认证VLAN中。 事件发生顺序 ①使用802.1*进行用户认证（认证代理是工作组交换机） 认证消息包括用户名和密码 认证消息包括主机完整性状态（好或不好） ②认证请求到达代理认证服务器 检查完整性状态（检查为好） 将认证信息转发到RADIUS ③RADIUS认证并发送VLAN信息 ④授权信息被发送到交换机 用户被纳入相应VLAN 用户受到监控 如果主机完整性不好，则用户将被纳入隔离VLAN/受控VLAN中 演示环境 为了简化演示环境，我们讲制定用户策略的SMS服务器和检验用户完整性信息的Lan Enforcer集成在一台服务器中，如下图： 演示步骤： OS6600中配置基于802.1x的认证，工作VLAN和隔离VLAN。 安装Sygate client端软件，在Sygate Server上设定主机完整性检测规则。在Enforcer 上设定Radius代理和检测结果授权(VLAN)。客户PC从SERVER上下载主机检测规则。 客户PC通过802.1X认证，认证信息和主机完整性信息传到Radius Server和Sygate Enforcer验证、授权。同时通过身份验证和主机完整性检测的用户将被授权进入工作VLAN，没通过主机完整性检测的用户将被授权进入隔离VLAN, 在隔离VLAN中客户端将只能下载相应的系统补丁。没通过身份认证的用户数据将被直接丢弃。 SMS与Lan Enforcer安装步骤 1．SMS 要求： Windows 2000 server，SP4，IIS，打必威体育精装版的安全补丁 SQL 2000，SQL Server的SP3，认证模式为”Mixed” Sygate Management Server (SMS) 4.0以上，按照提示安装 安装Lan Enforcer在同一台机器上，完成后会提示你输入SMS的地址。如果没有足够的条件安装SMS和Lan Enforcer，可以使用Vmware在你的机器里创建一个虚拟机，然后加载光盘里面的已经安装好的SMS和Lan Enforcer的虚拟机镜像文件即可。 打开SMS，此时会调用IE，进入SMS管理界面，可以看到一些菜单： Monitoring：不需要设置。 Policies: 有一些缺省的规则(rule)，不要更改，我们需要增加一些规则： 点击setting-advance setting. 做任何修改前，要点击左上角的按钮使之成下图状态： 做完任何修改一定要点击右上角的“Apply”来保存配置： 点击“advance rule”如图建立一条规则，允许ping的回应包，这使得Sygate的客户机可以往外ping网络中其它的机器： 点击“Host Integrity”， 已经有一条缺省的规则，我们可以根据需要增加规则，如图增加了一条检测McAfee是否运行的规则，来检测客户机是否运行了该杀毒软件，如果没有运行，可以在隔离VLAN防止一台下载服务器，在右下角设置URL让客户机自动去下载更新： Client Manager：不需要设置 Server：在这里你会看到Lan Enforcer，点击Enforcer，然后点击“Authentication”，如下图设置然后保存： Administrators：不需要设置。 以上就完成了SMS的安装设置，下面是客户端的安装和设置： 去到sygate安装目录，可以看到Agent文件，有三种：Labtop、server和workstation，选择Labtop，然后安装在测试笔记本上，记住安装前该笔记本上最好不要装任何个人防火墙。当笔记本装好Sygate Agent(SSA)后，需要重起机器，重起后会要求你输入SMS的地址，所以安装SSA的时候，该机