【正文】 56[Quidway radiusdot1x] key accounting 123456 指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS 服務(wù)器[Quidwayradiusdot1x] usernameformat withoutdomain[Quidwayradiusdot1x] quit 創(chuàng)建用戶域dot1x，并進(jìn)入其視圖[Quidway] domain dot1x 指定“dot1x”為該用戶域的Radius方案[Quidwayispdot1x] radiusscheme dot1x[Quidwayispdot1x]quit 指定交換機(jī)缺省的用戶域?yàn)椤癲ot1x”[Quidway] domain default enable dot1x 開啟E0/[Quidway] dot1x interface Ethernet 0/8 特性[Quidway] dot1x 保存設(shè)置[Quidway] quitQuidway save 風(fēng)險(xiǎn)與災(zāi)備，如認(rèn)證流與數(shù)據(jù)流的分離、獨(dú)立于應(yīng)用之外、在嚴(yán)格之余又具有很高的可擴(kuò)展性等。AD域服務(wù)器異?；蚓W(wǎng)絡(luò)中斷，導(dǎo)致AD域不可達(dá)，用戶認(rèn)證失敗。但作為最可靠的解決手段，也是最讓人放心的措施。6 分工界面項(xiàng)目階段項(xiàng)目任務(wù)任務(wù)子項(xiàng)責(zé)任方職責(zé)分工啟明星辰XXXX院項(xiàng)目準(zhǔn)備組建項(xiàng)目組　XXXX院、啟明星辰售前售后交接、指定專門的售后服務(wù)人員、項(xiàng)目經(jīng)理和實(shí)施人員指派項(xiàng)目配合人員工程實(shí)施前準(zhǔn)備制定實(shí)施計(jì)劃XXXX院、啟明星辰提出部署要求安排人員配合實(shí)施，確認(rèn)場(chǎng)地、網(wǎng)絡(luò)環(huán)境準(zhǔn)備XXXX院提出場(chǎng)地、環(huán)境要求確認(rèn)、支持實(shí)施階段現(xiàn)場(chǎng)驗(yàn)收　啟明星辰對(duì)到貨設(shè)備進(jìn)行開箱清點(diǎn)驗(yàn)收對(duì)到貨設(shè)備進(jìn)行清點(diǎn)驗(yàn)收 設(shè)備安裝調(diào)試設(shè)備上架啟明星辰規(guī)劃好物理位置、進(jìn)行設(shè)備上架安排人員配合設(shè)備加電啟明星辰對(duì)設(shè)備進(jìn)行加電測(cè)試　系統(tǒng)部署啟明星辰提出部署要求并按要求進(jìn)行系統(tǒng)部署安排人員配合項(xiàng)目進(jìn)度報(bào)告啟明星辰對(duì)項(xiàng)目進(jìn)度做出及時(shí)的匯總和報(bào)告　現(xiàn)場(chǎng)培訓(xùn)　啟明星辰對(duì)XXXX院技術(shù)人員進(jìn)行現(xiàn)場(chǎng)培訓(xùn)接受培訓(xùn)初步驗(yàn)收提交驗(yàn)收方案啟明星辰提交方案和流程確認(rèn)進(jìn)行設(shè)備驗(yàn)收（到貨驗(yàn)收）XXXX院、啟明星辰參與到貨驗(yàn)收　試運(yùn)行系統(tǒng)聯(lián)合調(diào)試　啟明星辰提供必要的協(xié)助提出需求故障響應(yīng)　啟明星辰對(duì)系統(tǒng)問題進(jìn)行響應(yīng)并設(shè)備故障進(jìn)行排除對(duì)故障進(jìn)行申報(bào)系統(tǒng)終驗(yàn)系統(tǒng)竣工驗(yàn)收驗(yàn)收方案提交啟明星辰提交方案和流程對(duì)方案和流程進(jìn)行確認(rèn)竣工驗(yàn)收XXXX院、啟明星辰參與驗(yàn)收組織驗(yàn)收保修期　啟明星辰三年技術(shù)支撐服務(wù)對(duì)故障進(jìn)行申報(bào)7 附件一：服務(wù)器安裝及數(shù)據(jù)管理服務(wù)器安裝策略服務(wù)器包括中心服務(wù)器、本地服務(wù)器、補(bǔ)丁分發(fā)服務(wù)器、資產(chǎn)管理服務(wù)器、radius服務(wù)器、告警服務(wù)器等組件，所有功能服務(wù)器集中管理，組件可根據(jù)具體情況增減。資產(chǎn)管理服務(wù)器資產(chǎn)管理是對(duì)電腦的軟硬件資產(chǎn)進(jìn)行統(tǒng)計(jì)分析，并跟蹤記錄設(shè)備變更的信息，達(dá)到對(duì)IT資產(chǎn)的高效、便捷的管理。同時(shí)，各個(gè)插件策略網(wǎng)關(guān)可相互共享CC的狀態(tài)，如CC1在插件1上通過了認(rèn)證，那么通過插件2訪問時(shí)就無(wú)需第2次認(rèn)證，提高系統(tǒng)性能。請(qǐng)點(diǎn)擊“快速安裝” 。當(dāng)需要在天珣系統(tǒng)中創(chuàng)建其他管理帳號(hào)時(shí)，必須同時(shí)在windows系統(tǒng)帳號(hào)中建立相同的帳號(hào)和相同的密碼。然后請(qǐng)進(jìn)入服務(wù)控制器，若系統(tǒng)已經(jīng)自動(dòng)添加并運(yùn)行“ES Center Server”服務(wù)，則表明中心服務(wù)器已經(jīng)安裝配置成功。選擇認(rèn)證模式為混合模式，并輸入密碼，點(diǎn)擊下一步；選擇模式設(shè)置，點(diǎn)擊下一步；點(diǎn)擊安裝并等待安裝完畢。注意：重裝時(shí)服務(wù)器ip和數(shù)據(jù)庫(kù)ip等基礎(chǔ)條件不能更改，否則請(qǐng)重新配置策略和數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)服務(wù)器安裝默認(rèn)情況下資產(chǎn)信息，告警信息，RADIUS認(rèn)證信息，軟件分發(fā)數(shù)據(jù)信息和相關(guān)報(bào)表存儲(chǔ)在SQL數(shù)據(jù)庫(kù)中，建議安裝SQL SERVER2005，以得到更好的性能和可靠性。即彈出要求系統(tǒng)重啟的界面。n 指定服務(wù)器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G，默認(rèn)安裝在C盤，用戶可以根據(jù)自己硬盤大小和需求改變安裝盤符和路徑。插入光盤，：快速安裝快速安裝默認(rèn)安裝服務(wù)器的以下組件：中心策略服務(wù)器、資產(chǎn)服務(wù)器、中心同步服務(wù)器、天珣服務(wù)狀態(tài)監(jiān)控服務(wù)、遠(yuǎn)程桌面服務(wù)器、攻擊告警服務(wù)器、RADIUS服務(wù)器、策略網(wǎng)關(guān)代理、中性/DNS策略網(wǎng)關(guān)、軟件分發(fā)服務(wù)器。所有的策略網(wǎng)關(guān)都直接連接到策略網(wǎng)關(guān)代理，從策略網(wǎng)關(guān)代理獲取策略，接受管理。本地策略服務(wù)器本地策略服務(wù)器是客戶端日常取策略的地方，也是客戶端發(fā)送報(bào)表的目的地。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在計(jì)算機(jī)終端安全基線不符合要求時(shí)，天珣客戶端能不依賴網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)上其他終端或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問阻斷。但這始終不會(huì)成為我們松懈的理由，天珣建議將Radius作為核心服務(wù)器重點(diǎn)監(jiān)控和保護(hù)，以消除Radius服務(wù)器的單點(diǎn)故障和Radius可能遭受到的網(wǎng)絡(luò)攻擊或機(jī)房環(huán)境影響?？蛻舳耍–lients）：運(yùn)行在每一臺(tái)終端電腦上，執(zhí)行終端安全管理策略，發(fā)起認(rèn)證請(qǐng)求。此命令作用是將telnet時(shí)進(jìn)行的認(rèn)證放在交換機(jī)本地，如果不配置的話，假如以前telnet交換機(jī)只需要輸入密碼的話，那么在下次進(jìn)行telnet登陸時(shí)，交換機(jī)將會(huì)提示要求輸入用戶名和密碼進(jìn)行認(rèn)證。 網(wǎng)絡(luò)準(zhǔn)入控制實(shí)施。如果有需要特別注意的地方，就需要制定特別的部署方案。一種管理員是全局管理員，這類管理員由一至二個(gè)成員組成，他們負(fù)責(zé)進(jìn)行基本設(shè)置，或一些全局性的策略。在分布式多服務(wù)器架構(gòu)下，中心服務(wù)器是整個(gè)系統(tǒng)策略集中存放的地方，本地服務(wù)器是進(jìn)行日常的策略分發(fā)的地方。在規(guī)劃中要預(yù)先基于用戶角色確定每個(gè)部門、用戶或分支機(jī)構(gòu)，確定對(duì)應(yīng)的最合適的安全策略組合，作為系統(tǒng)最終實(shí)現(xiàn)的安全管理目標(biāo)。在實(shí)施過程中，再按照由簡(jiǎn)到繁的次序，先實(shí)施所有用戶都必須遵守的安全策略，然后再根據(jù)不同分支機(jī)構(gòu)、部門和用戶，步進(jìn)式下發(fā)和執(zhí)行各級(jí)安全策略，從而實(shí)現(xiàn)安全級(jí)別步進(jìn)式提高，構(gòu)建立體的、混合模式的終端安全策略管理體系。全系統(tǒng)只需要一個(gè)中心服務(wù)器，可以有多個(gè)本地服務(wù)器，中心服務(wù)器可以兼作本地服務(wù)器。第二種管理員是普通管理員，主要由他們進(jìn)行策略配置，他們定義的策略具有本地屬性，當(dāng)今后部署范圍擴(kuò)大，安裝了更多的本地服務(wù)器，有更多的管理員參與策略系統(tǒng)管理時(shí)，他們定義的策略不會(huì)被其他管理員使用。 維護(hù)期客戶端部署新購(gòu)置電腦對(duì)于少量新購(gòu)置的電腦，建議在入網(wǎng)之前由管理部門安裝天珣客戶端；對(duì)于批量購(gòu)置的電腦，建議與電腦廠商協(xié)商，在出廠時(shí)即安裝天珣客戶端。華為交換機(jī) ，目前提供3種認(rèn)證方法：PAP認(rèn)證、CHAP認(rèn)證、EAP中繼認(rèn)證。按照天珣系統(tǒng)的設(shè)計(jì)原理，以上組件中，除了中心服務(wù)器和本地服務(wù)器之外，其他任意組件，例如無(wú)備份的單一Radius服務(wù)器、目錄服務(wù)器（本方案中的AD域服務(wù)器）、交換機(jī)、客戶端，只要其中之一出現(xiàn)影響認(rèn)證的故障，都將會(huì)導(dǎo)致終端網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗。同時(shí)，部分網(wǎng)絡(luò)設(shè)備廠商也考慮了該問題，在交換機(jī)的配置方面有不同的使用方案。天珣客戶端更支持選擇性阻斷，在計(jì)算機(jī)終端安全基線不符合要求時(shí)，天珣客戶端能根據(jù)管理員預(yù)先配置的安全策略，通過進(jìn)程、端口、目標(biāo)地址等條件，選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問。本地策略服務(wù)器從Center Server同步得到策略。而策略網(wǎng)關(guān)代理直接指向策略服務(wù)器，并從策略服務(wù)器獲取策略?？焖侔惭b選項(xiàng)的目的是一次安裝所有服務(wù)器相關(guān)的組件及DNS準(zhǔn)入控制組件，如果部署在網(wǎng)絡(luò)出口，則可利用DNS準(zhǔn)入達(dá)到即插即用的效果。n 指定中心服務(wù)器IP地址，系統(tǒng)默認(rèn)選擇正在運(yùn)行安裝程序的主機(jī)的IP地址為中心服務(wù)器IP地址。重啟系統(tǒng)。以下介紹微軟SQL SERVER 2005的安裝配置過程，包括了資產(chǎn)信息和告警信息的數(shù)據(jù)庫(kù)。輸入用戶名和公司名，再點(diǎn)擊下一步：注意：為安裝的方便，請(qǐng)將數(shù)據(jù)庫(kù)所有的組件均選中，進(jìn)行完全的安裝，數(shù)據(jù)庫(kù)建議使用6g的磁盤空間，所以請(qǐng)選擇適當(dāng)?shù)拇疟P。7． 安裝完成后，請(qǐng)先檢查%InstallFolder%\config\database目錄的安全屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修改或者已賦予everyone用戶完全控制權(quán)限。n 選擇使用管理模式；Windows集成認(rèn)證：在登錄web管理界面時(shí)使用與windows系統(tǒng)帳號(hào)集成的認(rèn)證方式，如windows默認(rèn)系統(tǒng)管理員帳號(hào)為administrator，那么天珣登錄web管理界面時(shí)也同樣使用這個(gè)帳號(hào)及密碼。快速安裝部署1． 快速安裝將天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選擇界面。設(shè)置策略網(wǎng)關(guān)代理這個(gè)角色的目的是簡(jiǎn)化策略網(wǎng)關(guān)的配置，因?yàn)橛袝r(shí)一個(gè)企業(yè)需要安裝多個(gè)策略網(wǎng)關(guān)，而每個(gè)策略網(wǎng)關(guān)的策略相同。本地策略服務(wù)器從中心策略服務(wù)器獲取策略，客戶端直接與本地策略服務(wù)器通訊。本方案中建議開啟管理網(wǎng)段內(nèi)的客戶端準(zhǔn)入，同時(shí)注意在IP組中排除網(wǎng)絡(luò)打印機(jī)、IP電話等特殊網(wǎng)絡(luò)設(shè)備，使其不影響用戶對(duì)這些設(shè)備的使用。這些手段均可以大大減少故障壓力。但是，結(jié)合組件的作用和他們之間的相互關(guān)系，以下四個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)最為突出： 策略服務(wù)器異常時(shí)，Radius無(wú)法主動(dòng)獲取正確策略。此處需要修改設(shè)置為EAP認(rèn)證。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持分布式多服務(wù)器架構(gòu)，建議每套天珣系統(tǒng)至少部署2