不做认证可以配置安全检查策略吗

ead要配合802.1x的

您好，不行的，必须要802.1X

根据你的需求，答案是肯定的。完全可以在不进行身份认证的前提下，对终端执行防病毒软件检查等安全检查策略，这实际上是H3C EAD（终端准入控制）方案很擅长解决的一类“特殊”准入场景。

可行性分析：为什么可以“不认证、只检查”？

虽然H3C EAD（终端准入控制）方案的标准流程是“先认证，后检查”，但其解决方案提供了多种机制来灵活地绕开身份认证，直接进行安全检查：

1. 基于EAD组件的“免客户端认证”模式：即使不进行传统的802.1X或Portal认证，EAD也能通过其“免安装的易用部署方式”自动加载安全客户端（如iNode），执行您定义的安全策略，整个过程对用户透明。这意味着用户无需输入账号密码，其终端安全状态就会被检查。

2. 基于DAM组件的“资产管理优先”模式：桌面资产管理（DAM）组件同样依赖iNode客户端，可在无用户登录认证的情况下，强制终端完成硬件信息、软件清单、外设使用等资产数据的收集与上报。

3. 基于“免认证规则”的全局豁免：通过在网络接入设备上配置portal free-rule或类似命令，可以将特定IP地址段、MAC地址的终端加入“免认证”白名单，使其直接跳过身份认证流程。

方案实现：结合EAD、DAM与PLAT平台

要实现您的需求，通常需要联动使用iMC PLAT、EAD和DAM这几个核心组件：

• iMC PLAT：作为基础管理平台，提供底层支持。

• iMC EAD：定制并下发安全检查策略（如防病毒软件检查、OS补丁检查等）。

• iMC DAM：定制并下发资产管理策略（如资产注册、软件变更审计等）。

• iNode客户端：安装在终端上，负责接收并执行安全与资产策略，并将检查结果上报。

关键配置要点

部分配置需在设备本地操作（如配置免认证规则），而大部分策略在iMC平台的对应组件中完成。以下是在iMC平台配置的核心要点：

以下是两套方案的关键配置路径（登录iMC后）：

• 方案一：对有资产检查需求的企业电脑，执行“只检查、不认证”

  1. 安全策略配置：进入 自动化 → 终端业务 → EAD业务 → 安全检查策略，配置防病毒软件和OS补丁检查策略。

  2. 资产管理配置：进入 自动化 → 终端业务 → 桌面资产管理 → 桌面控制策略，配置外设管理等策略。

  3. 关联与下发：在 自动化 → 终端业务 → 桌面资产管理 → 桌面资产管理策略 或将安全策略关联到免认证用户角色，策略会自动下发给安装了iNode的终端。

• 方案二：对无资产检查需求的内部设备（如IP电话），配置全局“免认证”

  1. 配置免认证规则：在接入设备的命令行中，通过portal free-rule将打印机、IP电话等无需检查的IP地址段加入白名单，使其直接跳过认证流程。

  2. 放通网络访问：确保防火墙等设备的安全策略也为这些“免认证”网段放行了必要的流量，避免影响业务。例如，在ACG上同样需要配置相应的免认证规则。

对于你提到的iNode认证问题，当配置了免认证策略后，未安装iNode的终端在iMC安全状态中会显示“无需安全检查”，这是正常现象。

1. EAD（准入）必须绑定认证（802.1X/Portal/MAC），做不到 “完全无认证又能做网络隔离 / 权限控制”。
2. DAM+EAD+iNode 可以做到：不做入网认证，只做终端安全检查 + 监控 + 审计（不隔离、不阻断，只看结果）。
3. 想不认证又自动隔离不安全终端：标准 EAD 做不到，必须开一种轻量认证（如 MAC 白名单 + 监控模式）。

一、你要的场景：不做认证，只查防病毒 / 补丁 / 合规

可行方案：DAM + EAD + iNode 客户端（无认证、仅监控）

• 不用 802.1X/Portal，交换机 / 无线不做准入认证。
• 终端安装 iNode 客户端（仅 EAD/DAM 代理，不弹认证框）。
• iNode 主动上报：防病毒状态、补丁、系统服务、合规项到 IMC。
• IMC 侧配置安全检查策略（防病毒是否安装 / 运行、病毒库版本、补丁级别、防火墙开启等）。
• 所有检查结果在 IMC DAM/EAD 报表里看，不隔离、不断网、不弹修复提示。

配置要点（IMC 侧）

1. 安装授权：EIA（基础）+ EAD（安全检查）+ DAM（桌面资产）。
2. 关闭强制认证：
   • 接入策略→不启用 802.1X/Portal，或服务模板设为 “仅监控”。
   • 安全策略→安全级别选监控模式，隔离方式设为无。
3. 配置检查项：
   • 防病毒：是否安装、实时防护是否开启、病毒库是否最新。
   • 补丁：系统关键补丁是否安装。
   • 其他：防火墙开启、密码复杂度、禁止非法软件等。
4. 客户端下发：
   • IMC 批量推送 iNode（仅 EAD/DAM 模块），终端无需登录 / 认证，后台常驻上报。

效果

• ✅ 能查：防病毒、补丁、合规项、资产信息（DAM）。
• ✅ 无认证：终端不用输账号密码，交换机不做准入。
• ✅ 可审计：所有终端合规状态、历史记录、报表。
• ❌ 不能自动隔离：不安全终端不会被断网 / 限制网络（因为没认证会话，设备无法下发隔离 ACL）。

二、如果要求：不认证，但自动隔离不安全终端

1. 交换机全局启用 802.1X，但端口设为MAC 旁路 / 白名单。
2. IMC 导入所有终端 MAC，设为免认证 / 自动通过。
3. EAD 安全策略：监控 + 隔离，不安全终端自动下发 ACL 隔离。

• 终端无感知：不用输密码，不弹认证框。
• 本质是MAC 认证（无感知）+ EAD 检查，不是 “零认证”。

三、常见误区澄清

• ❌ “EAD 可以完全无认证做网络控制”：不行，EAD 是准入控制，必须绑定认证会话才能对设备下发隔离策略。
• ✅ “DAM+EAD 可以无认证做检查和监控”：可以，iNode 主动上报，IMC 只记录不控制。

四、推荐做法（匹配你的需求）

• 只检查、不隔离：DAM+EAD+iNode，监控模式，关闭认证（最符合你 “不做认证” 的要求）。
• 要自动隔离：MAC 白名单 + EAD（无感知轻量认证）。