收藏
下载资源

h3cead安全解决方案指导书

上传人:F****n 文档编号:93489780 上传时间:2019-07-22 格式:DOC 页数:55 大小:3.92MB
返回 下载 相关 举报
h3cead安全解决方案指导书_第1页
第1页 / 共55页
h3cead安全解决方案指导书_第2页
第2页 / 共55页
h3cead安全解决方案指导书_第3页
第3页 / 共55页
h3cead安全解决方案指导书_第4页
第4页 / 共55页
h3cead安全解决方案指导书_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《h3cead安全解决方案指导书》由会员分享,可在线阅读,更多相关《h3cead安全解决方案指导书(55页珍藏版)》请在金锄头文库上搜索。

1、H3C EAD 安全解决方案实施方案指导书 机密第 1 页作者:fangss1 H3C EAD 安全解决方案指导书安全解决方案指导书 实施方案实施方案 二零一零年十二月四日二零一零年十二月四日 H3C EAD 安全解决方案实施方案指导书 机密第 2 页作者:fangss2 目录 1EAD 解决方案介绍4 1.1EAD 系统介绍.4 2EAD 解决方案实施指导5 2.1802.1X认证方式5 2.1.1协议综述.5 2.1.2802.1X 认证体系的结构5 2.1.3802.1x 典型组网6 2.1.4802.1x 与其他认证协议的简单比较9 2.2PORTAL认证方式9 2.2.1 Porta

2、l 协议概述9 2.2.3 portal 典型组网12 2.2.4 portal 协议旁挂方式认证流程图14 2.2.5 portal 两种方式组网的优缺点15 2.3L2TP VPN EAD.15 2.4无线 EAD.16 3INODE 客户端安装及配置 .17 3.1INODE客户端软件安装的软硬件环境需求.17 3.2各种环境下INODE客户端的安装指导18 3.2.1802.1x 环境下的 iNode 客户端安装过程18 3.2.2Portal 环境下 iNode 软件的安装 21 3.2.3l2tp 环境下的 iNode 软件的安装25 3.3INODE终端配置.25 3.3.180

3、2.1x 组网环境终端配置25 3.3.2Portal 环境下客户端设置30 3.3.3L2TP 环境下 iNode 软件的设置33 4接入设备端配置.37 4.18021X环境下接入层设备配置举例 .38 4.2PORTAL环境下接入设备的配置 .42 4.3L2TPVPN终端设备配置.44 5RADIUS 服务器配置.47 5.1802.1X 服务器端配置.47 5.1.1接入设备配置.47 5.1.2EAD 安全策略创建49 5.1.3创建服务,关联创建的 EAD 安全策略.51 5.1.4创建接入用户,关联服务.52 5.2PORTAL环境下 IMC(智能管理中心)端相应配置53 5.

4、2.1portal 部分操作53 5.2.2增加安全策略.54 H3C EAD 安全解决方案实施方案指导书 机密第 3 页作者:fangss3 5.2.3增加服务,并关联安全策略.55 5.2.4创建接入用户,关联服务.55 1EAD 解决方案介绍 1.1 EAD 系统介绍 H3C EAD(Endpoint Admission Defense,端点准入防御)解决方案是一套 融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整 合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的 H3C EAD 安全解决方案实施方案指导书 机密第 4 页作者:fangss4 安全

5、防护。 iMC EAD 组件是 EAD 解决方案的核心部件。通过这种防病毒软件、安全 客户端、接入设备、iMC 智能管理中心的整合,EAD 解决方案能够防止已感染 病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御 能力的用户因暴露在非安全的网络中而受到威胁,避免来自网络内部的入侵; 再配合传统的防火墙或 IDS 设备,最大限度的防止非法入侵。在 EAD 解决方 案的框架下,用户的认证过程可以分为两个步骤:用户身份认证和安全认证。 用户身份认证在 iMC UAM 组件上进行,通过用户名和密码来确定用户是 否合法。身份认证通过后,用户处在隔离区,与此同时发起安全认证,安全认 证

6、由 iMC EAD 组件完成。如果安全认证通过,则用户的隔离状态被解除,可 以正常访问网络资源;如果安全认证不通过,则继续隔离用户,直到用户完成 相关修复操作后通过安全认证为止。 iMC EAD 组件、iMC 智能管理平台组件(含 UAM 接入)必须与设备、客 户端、第三方服务器等配合才能形成完整的 EAD 解决方案。下图是 iMC EAD 的结构图: 2EAD 解决方案实施指导 EAD 安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用 环境和组网模式,H3C 的 EAD 安全解决方案都提供了完善而有针对性解决方案, 就目前应用场景来说,最常见的组网模式大致有以下几种:802.1

7、x 环境,Portal 环境, L2tp 环境.下面依次都各个组网模式进行介绍,其中的无线认证方式,是作为有 线网络的补充和延伸,客户端的安装,服务器端的设置是一样的,做到了解即 可。重点说明有线网络环境下的 EAD 安全解决方案如何实施。 2.1 802.1x 认证方式 2.1.1协议综述 IEEE 802.1x 称为基于端口的访问控制协议(Port based network access H3C EAD 安全解决方案实施方案指导书 机密第 5 页作者:fangss5 control protocol)。主要是为了解决局域网用户的接入认证问题。 IEEE 802.1x协议的体系结构包括三个

8、重要的部分:客户端(Supplicant System)、认证系统(Authenticator System)、认证服务器(Authentication Server System)。客户端用户通过启动客户端软件发起802.1x协议的认证, EAPOL报文 经过认证系统的受控口和认证服务器进行认证交互后,如通过认证,则用户接 入网络成功。 2.1.2802.1X 认证体系的结构 IEEE 802.1X 的体系结构中包括三个主要部分 Supplicant System客户端系统; Authenticator System认证系统; Authentication Sever System认证服务器

9、系统。 三者的关系如下图: Controlled Port Uncontrolled Port EAPOL IEEE 802.1X 的体系结构图 2.1.3802.1x 典型组网 802.1X 推荐的组网推荐的组网: H3C EAD 安全解决方案实施方案指导书 机密第 6 页作者:fangss6 组网说明:组网说明: 1802.1x 认证起在接入层交换机上. 2采用二次 ACL 下发的方式(隔离 acl,安全 acl)来实现对安全 检查不合格的用户进行隔离,对安全检查合格的用户放行. 3由于是二次 acl 下发的方式,要求接入层交换机为 H3C 交换机 (具体的交换机型号请参考 EAD 的产品

10、版本配套表). 4控制点低,控制严格(采用 802.1x 认证方式,接入用户未通 过认证前无法访问任何网络资源) 5由于 802.1x 控制非常严格,非通过认证的用户无法访问任何 网络资源,但有些场景下用户需要用户未认证前能访问一些服务 器,如 DHCP,DNS,AD(active directory 域控),此时可采用 802.1x 的免认证规则,具体配置参照华三相关设备操作手册。 6为确保性能,iMC EAD 一般要求分布式部署 7 对于不支持二次 acl 下发的交换机(我司部分设备及所有第 三方厂家交换机) ,可以通过使用 iNode 的客户端 acl 功能来实现 隔离区的构造,即将原本

11、下发到设备上的 acl 下发到 iNode 客户 端上,中间设备只需做到能透传 EAP 封装 radius 属性即可 8二次 acl 下发需要 iNode 定制“客户端 acl 特性” ,该特性需 要 iNode 安装额外的驱动,对终端操作系统的稳定性有较高的要 求。 9在接入层设备不是 H3C 交换机的情况下,由于设备不支持二次 acl 下发无法采用二次 acl 下发的方式来构造隔离区,此时可以通 过下线不安全提示阈值的方式来模拟构造隔离区,实现 EAD 功 能。具体实现为:用户安全检查不合格时,EAD 不立即将终端用户 H3C EAD 安全解决方案实施方案指导书 机密第 7 页作者:fan

12、gss7 下线而是给出一定的修复时间(不安全提示阈值) ,终端用户可以 如果在该时间内完成的安全策略修复则可以正常通过 EAD 认证访 问网络,如果在该时间内未完成安全策略修复则被下线。 组网说明:组网说明: 802.1x 认证起在接入层交换机上(要求接入层交换机对 802.1x 协 议有很好的支持) ,控制点低,控制严格 终端用户 DHCP 或静态 IP 地址均可 采用下线不安全提示阈值方式认证过程简单,稳定。 由于终端用户在不安全时在“不安全提示阈值”时间内与安全用 户访问网络的权限是一样的,安全性上不如二次 acl 下发方式好。 802.1X 的认证过程 802.1x的基本认证过程是:的

13、基本认证过程是: 1.最初通道的状态为unauthorized,认证系统处于Initial状态,此时客户端 和认证系统通道上只能通过EAPOL报文; 2.用户端返回response报文后,认证系统接收到EAP报文后承载在Radius 格式的报文中,再发送到认证服务器,认证服务器接受到认证系统传递 过来的认证需求,认证完成后将认证结果下发给认证系统,完成对端口 的管理。 H3C EAD 安全解决方案实施方案指导书 机密第 8 页作者:fangss8 3.认证通过后,通道的状态切换为authorized,用户的流量就将接受 VLAN、CAR参数、优先级、用户的访问控制列表等参数的监管,此时 该通道

14、可以通过任何报文。 认证通过之后的保持认证通过之后的保持: 认证系统 Authenticator 可以定时要求 Client 重新认证,时间可设。重新认 证的过程对 User 是透明的。 2.1.4 802.1x 与其他认证协议的简单比较 认证协议802.1xPppoeweb 是否需安装客 户端软件 需要 (Windows xp 系统不需) 需要不需 业务报文传送 效率 高低高 组播支持能力好不好好 设备端要求低高较高 处理流程清晰清晰复杂 有线网上安全 性 扩展后可用可用可用 2.2Portal 认证方式 2.2.1 Portal 协议概述 Portal 协议在英语中是“入口”的意思,por

15、tal 认证通常称为“web 认 证” 。基本思想为未认证用户访问网络时会被强制重定向到某站点,进 行身份认证只有通过身份认证才能访问网络资源。 2.2.2 portal 协议原理 H3C EAD 安全解决方案实施方案指导书 机密第 9 页作者:fangss9 Portal 协议框架如上所示,portal 的认证方式分为两种,一种为 IE 浏览器,也 即 web 认证方式;另一种为 inode 客户端认证方式。Portal 协议是一种基于 UDP 报文,包括 portal server 和 portal 设备两个协议主体的认证协议。交互流程 如下所示。 对于这两种认证方式,认证的流程用下 We

16、b 认证方式:用户输入域名或者 ip 地址后发起 http 请求,portal 设备经处理 后,反馈给用户一个强制认证的页面,需要用户输入账号和密码进行验证。 H3C EAD 安全解决方案实施方案指导书 机密第 10 页作者:fangss10 用户浏览器将用户名和密码发送给 porta web 后,经过中间 bas 设备将 portal 报 文转换为 radius 报文,将用户名和密码封装后发送给后方的端点准入控制服务 器进行验证,认证成功后,用户即能正常访问网络资源。否则提示用户验证失 败,访问受限。 采用 inode 客户端方式认证:这种方式用户直接在 inode 客户端中输入用户名和 密码(总局人员只有第一次安装时输入,以后每次开机自启动) ,经 bas 设备 (中间的交换设备)重定向给 inode 后,剩下的报文在 inode 客户端和 portal 核 心之间交互。 H3C EAD 安全解决方案实施方案指导书 机密第 11 页作者:fangss11 Portal 核心通过和 bas 设备

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号