《无线ead解决方案技术白皮书》由会员分享,可在线阅读,更多相关《无线ead解决方案技术白皮书(14页珍藏版)》请在金锄头文库上搜索。
1、 无线 EAD 解决方案技术白皮书 杭州华三通信技术有限公司 无线EAD解决方案技术白皮书 文档密级: 内部公开杭州华三通信技术有限公司 第2页, 共14页目录1. EAD解决方案概述 .4 2. 无线网络安全概述.5 2.1. 802.1X.5 2.2. EAP(Extensible Authentication Protocol).5 2.2.1. EAP协议报文介绍.5 2.2.2. EAP协议的组成 .6 2.2.3. 基于EAP的无线用户接入流程.7 2.2.4. WPA .7 2.2.5. IEEE 802.11i.8 3. 无线EAD解决方案介绍.9 3.1. 无线EAD解决方
2、案典型组网1 .9 3.1.1. 组网特点介绍.10 3.1.2. 无线用户的认证流程 .11 3.1.3. 无线EAD典型组网1实施效果 .11 3.1.4. 无线EAD典型组网1中涉及的设备 .12 3.2. 无线EAD解决方案典型组网2 .12 3.2.1. 组网特点介绍.13 3.2.2. 无线用户上线流程.13 3.2.3. 无线EAD典型组网2实施效果 .13 3.2.4. 无线EAD典型组网2中涉及的设备 .13 3.3. 两种组网的比较 .13 4. 参考资料.14 无线EAD解决方案技术白皮书 文档密级: 内部公开杭州华三通信技术有限公司 第3页, 共14页本文档描述了在无
3、线网络环境中集成EAD解决方案, 为无线接入用户提供安全可靠的网络环境。包括在无线网络环境中EAD的组网方案,数据流程及对应的设备型号。 缩略语清单缩略语清单List of abbreviations: Abbreviations缩略缩略 语语 Full spelling 英文全名英文全名 Chinese explanation 中文解释中文解释WPA Wi-Fi Protected Access Wi-Fi 网络安全访问 WPA2 Wi-Fi Protected Access2 Wi-Fi 网络安全访问第二版 EAD Endpoint Admission Defense 端点准入防御 无线E
4、AD解决方案技术白皮书 文档密级: 内部公开杭州华三通信技术有限公司 第4页, 共14页1. EAD解决方案概述解决方案概述 目前,针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒和蠕虫的威胁,存在严重不足: ? 被动防御被动防御,缺乏主动抵抗能力 在多数情况下,当一个终端受到感染时,病毒已经散布于整个网络。亡羊补牢的方法固然有效,但企业用户更多需要的是:在安全
5、威胁尚未发生时就对网络进行监控和修补,使其能够自己抵御来自外部的侵害。而对网络管理员来说,目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成主动防御能力低下。 ? 单点防御单点防御,对病毒的重复、交叉感染缺乏控制 目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。 ? 分散管理分散管理,安全策略不统一,缺乏全局防御能力 只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。在分散
6、管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁,只有集中管理、强制终端用户执行,才能够起到统一策略、全局防范的效果。 为了解决现有安全防御体系中存在的不足,H3C推出了端点准入防御(EAD)解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击
7、。其主要功能包括: ? 检查检查检查用户终端的安全状态和防御能力 用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端,容易遭受外部攻击,属于“易感”终端;已感染病毒的终端,会对网络中的其他设施发起攻击,属于“危险”终端。EAD通过对终端安全状态的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时,配合不同方式的身份验证技术(802.1X、VPN、Portal等),可以确保接入终端的合法与安全。 ? 隔离隔离隔离“危险”和“易感”终端 在EAD方案中,系统补丁、病毒库版本不及时更新或已感染病毒的用
8、户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源, 这些受限的网络资源被称之为 “隔离区” , 可以通过ACL或VLAN方式实现。 ? 修复修复强制修复系统补丁、升级防病毒软件 EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端无线EAD解决方案技术白皮书 文档密级: 内部公开杭州华三通信技术有限公司 第5页, 共14页被限制到“隔离区”以后,EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级,配合防病毒服务器或补丁服务器,帮助用户完成手工或自动升级操作,达到提升终端主动防御能力的目的。完成修
9、复并达到安全策略的要求以后,用户终端将被取消隔离,可以正常访问网络。 ? 管理与监控管理与监控 集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施,需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。 2. 无线网络安全概述无线网络安全概述 2.1. 802.1X 802.1X是IEEE定义的基于端口的访问控制框架。 该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与WLAN设备关联后,是否可以使用WLAN设备的服务要取决于802.1X的认证结果。如果认证通过,则WLAN设备为STA打开这个逻辑端口,否则不允许用户连接网络。 802.1X协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。 在开启了802.
