《2020(安全生产)2020年HCEAD安全解决方案及实施步骤》由会员分享,可在线阅读,更多相关《2020(安全生产)2020年HCEAD安全解决方案及实施步骤(32页珍藏版)》请在金锄头文库上搜索。
1、H3C EAD 安全解决方案指导书 实施方案 二零一零年十二月四日 目录 1EAD 解决方案介绍 4 1 1EAD 系统介绍 4 2EAD 解决方案实施指导 5 2 1802 1X认证方式 5 2 1 1协议综述 5 2 1 2802 1X 认证体系的结构 5 2 1 3802 1x 典型组网 6 2 1 4802 1x 与其他认证协议的简单比较 9 2 2PORTAL认证方式 9 2 2 1 Portal 协议概述 9 2 2 3 portal 典型组网 12 2 2 4 portal 协议旁挂方式认证流程图 14 2 2 5 portal 两种方式组网的优缺点 15 2 3L2TP VPN
2、 EAD 15 2 4无线 EAD 16 3INODE 客户端安装及配置 17 3 1INODE客户端软件安装的软硬件环境需求 17 3 2各种环境下INODE客户端的安装指导 18 3 2 1802 1x 环境下的 iNode 客户端安装过程 18 3 2 2Portal 环境下 iNode 软件的安装 21 3 2 3l2tp 环境下的 iNode 软件的安装 25 3 3INODE终端配置 25 3 3 1802 1x 组网环境终端配置 25 3 3 2Portal 环境下客户端设置 30 3 3 3L2TP 环境下 iNode 软件的设置 33 4接入设备端配置 37 4 18021X
3、环境下接入层设备配置举例 38 4 2PORTAL环境下接入设备的配置 42 4 3L2TP VPN终端设备配置 44 5RADIUS 服务器配置 47 5 1802 1X 服务器端配置 47 5 1 1接入设备配置 47 5 1 2EAD 安全策略创建 49 5 1 3创建服务 关联创建的 EAD 安全策略 51 5 1 4创建接入用户 关联服务 52 5 2PORTAL环境下 IMC 智能管理中心 端相应配置 53 5 2 1portal 部分操作 53 5 2 2增加安全策略 54 5 2 3增加服务 并关联安全策略 55 5 2 4创建接入用户 关联服务 55 1 EAD 解决方案介绍
4、 1 1 EAD 系统介绍 H3C EAD Endpoint Admission Defense 端点准入防御 解决方案是一套融合网 络设备 用户终端和第三方安全产品的全网安全体系框架 其目的是整合孤立的单点安全 部件 形成完整的网络安全体系 最终为用户提供端到端的安全防护 iMC EAD 组件是 EAD 解决方案的核心部件 通过这种防病毒软件 安全客户端 接 入设备 iMC 智能管理中心的整合 EAD 解决方案能够防止已感染病毒或存在系统漏洞 的用户终端对网络中的其他用户产生危害 保护缺乏防御能力的用户因暴露在非安全的网 络中而受到威胁 避免来自网络内部的入侵 再配合传统的防火墙或 IDS
5、设备 最大限度 的防止非法入侵 在 EAD 解决方案的框架下 用户的认证过程可以分为两个步骤 用户 身份认证和安全认证 用户身份认证在 iMC UAM 组件上进行 通过用户名和密码来确定用户是否合法 身 份认证通过后 用户处在隔离区 与此同时发起安全认证 安全认证由 iMC EAD 组件完 成 如果安全认证通过 则用户的隔离状态被解除 可以正常访问网络资源 如果安全认 证不通过 则继续隔离用户 直到用户完成相关修复操作后通过安全认证为止 iMC EAD 组件 iMC 智能管理平台组件 含 UAM 接入 必须与设备 客户端 第 三方服务器等配合才能形成完整的 EAD 解决方案 下图是 iMC E
6、AD 的结构图 2 EAD 解决方案实施指导 EAD 安全解决方案适于各种网络环境中的部署 针对现网中的各种复杂应用环境和组网 模式 H3C 的 EAD 安全解决方案都提供了完善而有针对性解决方案 就目前应用场景来说 最常见的组网模式大致有以下几种 802 1x 环境 Portal 环境 L2tp 环境 下面依次都各个组 网模式进行介绍 其中的无线认证方式 是作为有线网络的补充和延伸 客户端的安装 服务器端的设置是一样的 做到了解即可 重点说明有线网络环境下的 EAD 安全解决方 案如何实施 2 1 802 1x 认证方式 2 1 1协议综述 IEEE 802 1x 称为基于端口的访问控制协议
7、 Port based network access control protocol 主要是为了解决局域网用户的接入认证问题 IEEE 802 1x协议的体系结构包括三个重要的部分 客户端 Supplicant System 认证系统 Authenticator System 认证服务器 Authentication Server System 客户 端用户通过启动客户端软件发起802 1x协议的认证 EAPOL报文经过认证系统的受控口和 认证服务器进行认证交互后 如通过认证 则用户接入网络成功 2 1 2802 1X 认证体系的结构 IEEE 802 1X 的体系结构中包括三个主要部分 S
8、upplicant System 客户端系统 Authenticator System 认证系统 Authentication Sever System 认证服务器系统 三者的关系如下图 IEEE 802 1X 的体系结构图 2 1 3802 1x 典型组网 802 1X 推荐的组网推荐的组网 组网说明 1 802 1x 认证起在接入层交换机上 2 采用二次 ACL 下发的方式 隔离 acl 安全 acl 来实现对安全检查不合格 的用户进行隔离 对安全检查合格的用户放行 3 由于是二次 acl 下发的方式 要求接入层交换机为 H3C 交换机 具体的 交换机型号请参考 EAD 的产品版本配套表
9、4 控制点低 控制严格 采用 802 1x 认证方式 接入用户未通过认证前无 法访问任何网络资源 5 由于 802 1x 控制非常严格 非通过认证的用户无法访问任何网络资源 但有些场景下用户需要用户未认证前能访问一些服务器 如 DHCP DNS AD active directory 域控 此时可采用 802 1x 的免认证规则 具体配置参照华三相关设备操作手册 6 为确保性能 iMC EAD 一般要求分布式部署 7 对于不支持二次 acl 下发的交换机 我司部分设备及所有第三方厂家交 换机 可以通过使用 iNode 的客户端 acl 功能来实现隔离区的构造 即将 原本下发到设备上的 acl
10、下发到 iNode 客户端上 中间设备只需做到能透传 EAP 封装 radius 属性即可 8 二次 acl 下发需要 iNode 定制 客户端 acl 特性 该特性需要 iNode 安装额外的驱动 对终端操作系统的稳定性有较高的要求 9 在接入层设备不是 H3C 交换机的情况下 由于设备不支持二次 acl 下发 无法采用二次 acl 下发的方式来构造隔离区 此时可以通过下线 不安全提 示阈值的方式来模拟构造隔离区 实现 EAD 功能 具体实现为 用户安全 检查不合格时 EAD 不立即将终端用户下线而是给出一定的修复时间 不安 全提示阈值 终端用户可以如果在该时间内完成的安全策略修复则可以正
11、常通过 EAD 认证访问网络 如果在该时间内未完成安全策略修复则被下线 组网说明 802 1x 认证起在接入层交换机上 要求接入层交换机对 802 1x 协议有很好 的支持 控制点低 控制严格 终端用户 DHCP 或静态 IP 地址均可 采用下线 不安全提示阈值方式认证过程简单 稳定 由于终端用户在不安全时在 不安全提示阈值 时间内与安全用户访问网络 的权限是一样的 安全性上不如二次 acl 下发方式好 802 1X 的认证过程 802 1x的基本认证过程是 1 最初通道的状态为unauthorized 认证系统处于Initial状态 此时客户端和认证 系统通道上只能通过EAPOL报文 2 用
12、户端返回response报文后 认证系统接收到EAP报文后承载在Radius格式的报 文中 再发送到认证服务器 认证服务器接受到认证系统传递过来的认证需求 认证完成后将认证结果下发给认证系统 完成对端口的管理 3 认证通过后 通道的状态切换为authorized 用户的流量就将接受VLAN CAR 参数 优先级 用户的访问控制列表等参数的监管 此时该通道可以通过任何报 文 认证通过之后的保持 认证系统 Authenticator 可以定时要求 Client 重新认证 时间可设 重新认证的过程 对 User 是透明的 2 1 4 802 1x 与其他认证协议的简单比较 认证协议 802 1xPp
13、poeweb 是否需安装客户 端软件 需要 Windows xp 系统不需 需要不需 业务报文传送效 率 高低高 组播支持能力好不好好 设备端要求低高较高 处理流程清晰清晰复杂 有线网上安全性扩展后可用可用可用 2 2Portal 认证方式 2 2 1 Portal 协议概述 Portal 协议在英语中是 入口 的意思 portal 认证通常称为 web 认证 基 本思想为未认证用户访问网络时会被强制重定向到某站点 进行身份认证只有通 过身份认证才能访问网络资源 2 2 2 portal 协议原理 Portal 协议框架如上所示 portal 的认证方式分为两种 一种为 IE 浏览器 也即 w
14、eb 认 证方式 另一种为 inode 客户端认证方式 Portal 协议是一种基于 UDP 报文 包括 portal server 和 portal 设备两个协议主体的认证协议 交互流程如下所示 对于这两种认证方式 认证的流程用下 Web 认证方式 用户输入域名或者 ip 地址后发起 http 请求 portal 设备经处理后 反 馈给用户一个强制认证的页面 需要用户输入账号和密码进行验证 用户浏览器将用户名和密码发送给 porta web 后 经过中间 bas 设备将 portal 报文转换 为 radius 报文 将用户名和密码封装后发送给后方的端点准入控制服务器进行验证 认 证成功后
15、用户即能正常访问网络资源 否则提示用户验证失败 访问受限 采用 inode 客户端方式认证 这种方式用户直接在 inode 客户端中输入用户名和密码 总局人员只有第一次安装时输入 以后每次开机自启动 经 bas 设备 中间的交换设 备 重定向给 inode 后 剩下的报文在 inode 客户端和 portal 核心之间交互 Portal 核心通过和 bas 设备的交互 将用户名和密码传送给 bas 设备 bas 设备和端点 准入控制服务器之间进行 radius 报文的交互 认证成功后 用户即可访问网络资源 认 证失败给出提示 禁止用户访问网络资源 2 2 3portal 典型组网 portal
16、 的直连方式 二层模式 Portal 直连方式 三层模式 三层 Portal 认证与二层 Portal 认证的比较 组网方式上 三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备 非三层 认证方式则要求认证客户端和接入设备之间没有三层转发 三层 Portal 认证仅以 IP 地址唯一标识用户 而二层 Portal 认证以 IP 和 MAC 地址的组合来唯一标识用户 即到 portal 设备的报文为带 vlan tag 的 二层报文 portal 的旁挂方式 当用户网关和 bas 设备不是同一个设备或者在原有网络上需要采用 portal 认证时 需 要采用旁挂方式组网 如下图所示 Portal 设备侧挂在网关上 由网关将需要 portal EAD 认证的流量策略路由 到 Portal 设备上做 EAD 认证 这种组网方式对现场改动小 策略灵活 仅 将需要认证的流量策略路由到 portal 设备上 不需要认证的流量可以正常通 过网关转发 一般采用下线的方式即可实现将终端用户放入隔离区来实现 EAD Portal 设备的具体型号请参考 EAD 的版本说明书 网关设备需要支持策略路由
