H3C_EAD安全解决方案及实施步骤.docx

《H3C_EAD安全解决方案及实施步骤.docx》由会员分享，可在线阅读，更多相关《H3C_EAD安全解决方案及实施步骤.docx（56页珍藏版）》请在三一办公上搜索。

1、H3C EAD安全解决方案实施方案指导书 H3C EAD安全解决方案指导书实施方案 二零一零年十二月四日目录1EAD解决方案介绍41.1EAD系统介绍42EAD解决方案实施指导52.1802.1x认证方式52.1.1协议综述52.1.2802.1X认证体系的结构52.1.3802.1x典型组网62.1.4802.1x与其他认证协议的简单比较92.2Portal认证方式92.2.1Portal协议概述92.2.3portal典型组网122.2.4portal协议旁挂方式认证流程图142.2.5portal两种方式组网的优缺点152.3L2TP VPN EAD152.4无线EAD163INODE客

2、户端安装及配置173.1iNode客户端软件安装的软硬件环境需求173.2各种环境下iNode客户端的安装指导183.2.1802.1x环境下的iNode客户端安装过程183.2.2Portal环境下iNode软件的安装213.2.3l2tp环境下的iNode软件的安装253.3iNode终端配置253.3.1802.1x组网环境终端配置253.3.2Portal环境下客户端设置303.3.3L2TP环境下iNode软件的设置334接入设备端配置374.18021x环境下接入层设备配置举例384.2portal环境下接入设备的配置424.3L2tpvpn终端设备配置445RADIUS服务器配置

3、475.1802.1X服务器端配置475.1.1接入设备配置475.1.2EAD安全策略创建495.1.3创建服务，关联创建的EAD安全策略515.1.4创建接入用户，关联服务525.2Portal环境下IMC(智能管理中心)端相应配置535.2.1portal部分操作535.2.2增加安全策略545.2.3增加服务,并关联安全策略555.2.4创建接入用户，关联服务551 EAD解决方案介绍1.1 EAD系统介绍H3C EAD（Endpoint Admission Defense，端点准入防御）解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全

4、部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。iMC EAD组件是EAD解决方案的核心部件。通过这种防病毒软件、安全客户端、接入设备、iMC智能管理中心的整合，EAD解决方案能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害，保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁，避免来自网络内部的入侵；再配合传统的防火墙或IDS设备，最大限度的防止非法入侵。在EAD解决方案的框架下，用户的认证过程可以分为两个步骤：用户身份认证和安全认证。用户身份认证在iMC UAM组件上进行，通过用户名和密码来确定用户是否合法。身份认证通过后，用户处在隔离区，与此同时发起安

5、全认证，安全认证由iMC EAD组件完成。如果安全认证通过，则用户的隔离状态被解除，可以正常访问网络资源；如果安全认证不通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。iMC EAD组件、iMC智能管理平台组件（含UAM接入）必须与设备、客户端、第三方服务器等配合才能形成完整的EAD解决方案。下图是iMC EAD的结构图：2 EAD解决方案实施指导 EAD安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用环境和组网模式,H3C的EAD安全解决方案都提供了完善而有针对性解决方案,就目前应用场景来说,最常见的组网模式大致有以下几种:802.1x环境,Portal环境,

6、L2tp环境.下面依次都各个组网模式进行介绍，其中的无线认证方式，是作为有线网络的补充和延伸，客户端的安装，服务器端的设置是一样的，做到了解即可。重点说明有线网络环境下的EAD安全解决方案如何实施。2.1 802.1x认证方式 2.1.1 协议综述IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。主要是为了解决局域网用户的接入认证问题。IEEE 802.1x协议的体系结构包括三个重要的部分：客户端（Supplicant System）、认证系统(Authenticator System)、认证服务器(Au

7、thentication Server System)。客户端用户通过启动客户端软件发起802.1x协议的认证, EAPOL报文经过认证系统的受控口和认证服务器进行认证交互后，如通过认证，则用户接入网络成功。2.1.2 802.1X认证体系的结构IEEE 802.1X的体系结构中包括三个主要部分l Supplicant System客户端系统；l Authenticator System认证系统；l Authentication Sever System认证服务器系统。三者的关系如下图：IEEE 802.1X的体系结构图2.1.3 802.1x典型组网 802.1X推荐的组网推荐的组网：组网说

8、明：1802.1x认证起在接入层交换机上.2采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行.3由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）.4控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源）5由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可采用802.1x的免认证规则，具体配置参照华三相关

9、设备操作手册。6为确保性能，iMC EAD一般要求分布式部署7 对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上，中间设备只需做到能透传EAP封装radius属性即可8二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。9在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线不安全提示阈值的方式来模拟构造隔离区，实现E

10、AD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。组网说明：802.1x认证起在接入层交换机上（要求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格终端用户DHCP或静态IP地址均可采用下线不安全提示阈值方式认证过程简单，稳定。由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的，安全性上不如二次acl下发方式好。802.1X的认证过程l 802.1x的基本认证过程是：1

11、. 最初通道的状态为unauthorized，认证系统处于Initial状态，此时客户端和认证系统通道上只能通过EAPOL报文；2. 用户端返回response报文后，认证系统接收到EAP报文后承载在Radius格式的报文中，再发送到认证服务器，认证服务器接受到认证系统传递过来的认证需求，认证完成后将认证结果下发给认证系统，完成对端口的管理。3. 认证通过后，通道的状态切换为authorized，用户的流量就将接受VLAN、CAR参数、优先级、用户的访问控制列表等参数的监管，此时该通道可以通过任何报文。l 认证通过之后的保持：认证系统Authenticator可以定时要求Client重新认证，

12、时间可设。重新认证的过程对User是透明的。2.1.4 802.1x与其他认证协议的简单比较认证协议802.1xPppoeweb是否需安装客户端软件需要（Windows xp 系统不需）需要不需业务报文传送效率高低高组播支持能力好不好好设备端要求低高较高处理流程清晰清晰复杂有线网上安全性扩展后可用可用可用2.2 Portal认证方式2.2.1 Portal协议概述Portal协议在英语中是“入口”的意思，portal认证通常称为“web认证”。基本思想为未认证用户访问网络时会被强制重定向到某站点，进行身份认证只有通过身份认证才能访问网络资源。2.2.2 portal协议原理Portal协议框架

13、如上所示，portal的认证方式分为两种，一种为IE浏览器，也即web认证方式；另一种为inode客户端认证方式。Portal协议是一种基于UDP报文，包括portal server和portal设备两个协议主体的认证协议。交互流程如下所示。对于这两种认证方式，认证的流程用下 Web认证方式：用户输入域名或者ip地址后发起http请求，portal设备经处理后，反馈给用户一个强制认证的页面，需要用户输入账号和密码进行验证。用户浏览器将用户名和密码发送给porta web后，经过中间bas设备将portal报文转换为radius报文，将用户名和密码封装后发送给后方的端点准入控制服务器进行验证，认

14、证成功后，用户即能正常访问网络资源。否则提示用户验证失败，访问受限。采用inode客户端方式认证：这种方式用户直接在inode客户端中输入用户名和密码（总局人员只有第一次安装时输入，以后每次开机自启动），经bas设备（中间的交换设备）重定向给inode后，剩下的报文在inode客户端和portal核心之间交互。Portal 核心通过和bas设备的交互，将用户名和密码传送给bas设备，bas设备和端点准入控制服务器之间进行radius报文的交互，认证成功后，用户即可访问网络资源，认证失败给出提示，禁止用户访问网络资源2.2.3 portal典型组网 portal的直连方式（二层模式） Porta

15、l直连方式（三层模式）三层Portal认证与二层Portal认证的比较组网方式上，三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备；非三层认证方式则要求认证客户端和接入设备之间没有三层转发。三层Portal认证仅以IP地址唯一标识用户；而二层Portal认证以IP和MAC地址的组合来唯一标识用户，即到portal设备的报文为带vlan-tag的二层报文。portal的旁挂方式当用户网关和bas设备不是同一个设备或者在原有网络上需要采用portal认证时，需要采用旁挂方式组网。如下图所示Portal设备侧挂在网关上，由网关将需要portal EAD认证的流量策略路由到Portal设备上

16、做EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到portal设备上，不需要认证的流量可以正常通过网关转发）一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD Portal设备的具体型号请参考EAD的版本说明书网关设备需要支持策略路由终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。2.2.4 portal协议旁挂方式认证流程图旁挂方式中，用户流量在gateway设备处匹配策略路由进行重定向给portal BAS设备，触发portal认证，

17、portal将用户输入的账号和密码封装成radius报文发送端点准入服务器，经过服务器的验证后，用户获取到访问网络的权限。报文回送给gateway设备，之后进行正常的报文转发。用户数据流量回来后，通过路由进行正常的报文转发。如下图所示。2.2.5 portal两种方式组网的优缺点 1从适用范围来讲，直连方式常应用于新建的网络，如果原来网络已经建设好，为了不对现有网络产生大的影响，可以采用旁挂的方式； 2从对网络的影响程度上，直连方式对现有网络影响最大，因此对于那些网络已经建设好的地方，不建议采用直连portal方式；而旁挂方式能很好的解决这个问题，只需要增加配置将原有流量有选择的重定向给por

18、tal设备即可，对网络影响较小。而且可以平滑过渡。 2.3 L2TP VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。组网说明：终端用户采用l2tp方式做身份认证如果需要安全性防护可以采用l2tp over IPSec的方案二次acl下发均下发到安全联动VPN网关上，网关的具体型号请参考EAD版本说明书附件:iNode客户端经过L2TP远端拨号认证接入内网案例2.4 无线EAD无线EAD目前只支持Portal方式的EAD，不支持基于802.1x认证方式的EAD。组网说明：AC除了完成AP的注册及控制外，同时起用portal认证一般采用下线的方

19、式即可实现将终端用户放入隔离区来实现EAD 支持EADAC的具体型号请参考EAD的版本说明书终端用户与iMC之间不能有NAT终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。由于AC转发性能的考虑，用户的网关不要设在AC上附件:某大学图书馆无线portal与网络中心认证案例3 iNode客户端安装及配置3.1 iNode客户端软件安装的软硬件环境需求硬件需求iNode 智能客户端可安装和运行在普通PC机上，其基本硬件需求为：主频为667MHz或更高的CPU；128MB以上内存；20MB以上的硬盘空间软件需求

20、iNode 智能客户端所支持的操作系统如下：Windows 2000 SP4；Windows XP；Windows Server 2003；Windows vista。各种环境下iNode客户端的安装指导3.1.1 802.1x环境下的iNode客户端安装过程出现iNode客户端安装欢迎界面， 点击下一步 接受许可协议中的条款，点击下一步 选择安装路径，建议默认安装路径，确认后点击下一步 确认后，点击安装 Inode客户端需要Visual C+ 2005的开发环境，安装过程中，系统会检查该环境安装与否，如果没有安装，会默认安装安装完成后，重新启动系统生效Portal环境下iNode软件的安装

21、出现欢迎界面,点击下一步 接受许可证协议条款,点击下一步 选择文件安装位置,点击下一步 准备就绪后点击安装 安装进度条, 安装过程中,有可能出现此提示框,需要先关闭360等杀毒软件,否则会影响客户端的正常安装 客户端采用了C+的环境,需要具备此环境才能正常运行.安装过程中系统会自动检查是否已经安装,否则会出现上面所示画面 安装完成后重新启动系统完成客户端的安装 3.1.2 l2tp环境下的iNode软件的安装L2tp环境下的iNode软件安装过程和802.1X类似，在此不赘述，如果需要写iNode的安装指导，参考8021x的安装指导3.2 iNode终端配置3.2.1 802.1x组网环境终端

22、配置 点击新建连接，选择“是” 出现欢迎界面，点击下一步 选择802.1x协议，点击下一步 选择连接类型“普通连接”，点击下一步 输入分配的用户名和密码，如果环境中存在mac认证或者结合USB-KEY进行证书认证的话，可以选中“启用高级认证”，点击下一步选择认证时采用的网卡，同时选择“运行时自动认证”，“上传IPV4地址”，至于“上传客户端版本”，虽然默认是选中的，但是在特殊环境下，需要将其关闭，比如在无线的证书认证中。根据实际需求选择后点击，完成客户端的设置 完成界面，点击“创建”点击新建的连接，认证成功如下3.2.2 Portal环境下客户端设置 新建连接向导，点击下一步 选择认证协议“p

23、ortal协议” 根据需求选择不同连接类型，这里我选择普通连接设置连接用户名和密码,点击下一步进入创建快捷方式界面点击图标的属性,输入portal服务器的地址 (这个地址一定不能修改,不然会影响到客户端和服务器端的正常通讯) 完成设置后，点击进行认证，认证成功如下图认证成功后在imc端的在线用户列表、3.2.3 L2TP环境下iNode软件的设置 进入新建向导，点击下一步 选择连接协议“l2tp over vpn协议”，点击下一步 选择连接类型“普通连接” 输入用户名和密码，点击下一步 根据实际情况设置，点击高级 选择认证模式“chap”，默认为pap认证模式 重点设置网关名字和对端网关设备名

24、字，建议选中keepalive报文完成设置后，点击认证成功如下（没有关联EAD安全策略）注意点:在做l2tp的接入认证中,用户名/密码认证正确后,是需要在域地址池中分配一个地址给用户的.,用户使用这个地址和IMC进行直接通讯.,也就是路由必须可达.不然用户的EAD安全检查是无法进行的,并且在一段时间连接超时后,提示”无法连接到策略服务器,连接超时”,这点是需要注意的.4 接入设备端配置4.1 8021x环境下接入层设备配置举例要求：认证用户属于这个默认域，radius服务器地址为10.1.1.1/24,密码 H3c,指定验证后进行EAD安全检查配置脚本如下5120_EIdi cu # vers

25、ion 5.20, Release 2202P06# sysname 5120_EI-配置系统名称# domain default enable # telnet server enable# undo lldp enable -关闭lldp协议# dot1x-全局启动dot1x dot1x authentication-method eap-验证dot1x方式为eap透传 dot1x free-ip 172.25.1.3 255.255.255.255-到域控的数据流允许不经过认证即放行 dot1x free-ip 172.25.1.2 255.255.255.255-同上#acl numb

26、er 3000 -配置安全acl3000（必须和imc上的acl配置一致） rule 1 permit ipacl number 3001-配置隔离acl3001(必须和imc上的acl配置一致) rule 1 permit ip destination 172.25.1.2 0 rule 2 permit ip destination 172.25.1.3 0#vlan 1#vlan 701 to 702#vlan 902- 创建管理vlan#radius scheme system server-type extended primary authentication 127.0.0.1

27、1645 primary accounting 127.0.0.1 1646 user-name-format without-domainradius scheme h3c-创建radius模版h3c server-type extended-服务类型为扩展，支持EAD安全检查 primary authentication 172.25.255.12-首选认证服务器地址 primary accounting 172.25.255.12-首选计费服务器地址 key authentication h3c-接入层交换机和radius服务器之间的验证密码 key accounting h3c-接入层

28、交换机和radius服务器之间的计费密码 user-name-format without-domain-用户名格式为不带域名后缀#domain -新建域名 authentication lan-access radius-scheme h3c-关联新建radius模版h3c authorization lan-access radius-scheme h3c-关联新建radius模版h3c accounting lan-access radius-scheme h3c-同上 access-limit disable state active idle-cut disable self-ser

29、vice-url disable#interface Vlan-interface1#interface Vlan-interface902-配置网管地址，和imc进行radius报文交互的ip地址 ip address 172.25.254.68 255.255.255.192#interface GigabitEthernet1/0/1#interface GigabitEthernet1/0/2-在想认证的接口上开启dot1x认证，其它接口依次类推 port access vlan 702 dot1x#interface GigabitEthernet1/0/3#interface Gi

30、gabitEthernet1/0/4#interface GigabitEthernet1/0/5#interface GigabitEthernet1/0/6#interface GigabitEthernet1/0/7#interface GigabitEthernet1/0/8#interface GigabitEthernet1/0/9#interface GigabitEthernet1/0/10#interface GigabitEthernet1/0/11#interface GigabitEthernet1/0/12#interface GigabitEthernet1/0/1

31、3#interface GigabitEthernet1/0/14#interface GigabitEthernet1/0/15#interface GigabitEthernet1/0/16#interface GigabitEthernet1/0/17#interface GigabitEthernet1/0/18#interface GigabitEthernet1/0/19# interface GigabitEthernet1/0/20#interface GigabitEthernet1/0/21#interface GigabitEthernet1/0/22#interface

32、 GigabitEthernet1/0/23#interface GigabitEthernet1/0/24#interface GigabitEthernet1/0/25#interface GigabitEthernet1/0/26#interface GigabitEthernet1/0/27#interface GigabitEthernet1/0/28#interface GigabitEthernet1/0/29#interface GigabitEthernet1/0/30#interface GigabitEthernet1/0/31#interface GigabitEthe

33、rnet1/0/32#interface GigabitEthernet1/0/33#interface GigabitEthernet1/0/34#interface GigabitEthernet1/0/35#interface GigabitEthernet1/0/36#interface GigabitEthernet1/0/37#interface GigabitEthernet1/0/38#interface GigabitEthernet1/0/39#interface GigabitEthernet1/0/40 port access vlan 702 poe enable#i

34、nterface GigabitEthernet1/0/41# interface GigabitEthernet1/0/42#interface GigabitEthernet1/0/43#interface GigabitEthernet1/0/44#interface GigabitEthernet1/0/45#interface GigabitEthernet1/0/46#interface GigabitEthernet1/0/47#interface GigabitEthernet1/0/48-上联口，配置为trunk类型，允许业务vlan和管理vlan通过 port link-t

35、ype trunk port trunk permit vlan all#interface GigabitEthernet1/0/49 shutdown#interface GigabitEthernet1/0/50 shutdown#interface GigabitEthernet1/0/51 shutdown#interface GigabitEthernet1/0/52 shutdown#nqa entry imcl2topo ping type icmp-echo destination ip 172.25.254.123 frequency 270000# ip route-st

36、atic 0.0.0.0 0.0.0.0 172.25.254.126-配置默认路由# snmp-agent-启用snmp简单网络管理协议 snmp-agent local-engineid 800063A2033CE5A60C6B90 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version all snmp-agent target-host trap address udp-domain 172.25.255.12 params securityname

37、public# nqa schedule imcl2topo ping start-time now lifetime 630720000#user-interface aux 0 3user-interface vty 0 4 authentication-mode none user privilege level 3#Return4.2 portal环境下接入设备的配置H3Cdi cu # version 5.20, Release 1910# sysname H3C# domain default enable -指定默认域为# telnet server enable# portal

38、 server 1 ip 172.25.255.12 key h3c url http:/172.25.255.12/portal 指定portal服务器为172.25.255.12,使用默认端口50100，密钥为h3c#vlan 1# domain -新建域 authentication lan-access radius-scheme h3c-指定验证的radius模版为h3c authorization lan-access radius-scheme h3c- 指定授权的radius模版为h3c accounting lan-access radius-scheme h3c-指定计费的

39、radius模版为h3c access-limit disable state active idle-cut disable self-service-url disable#dhcp server ip-pool 1-为内网分配地址 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.106.0.20#interface Ethernet0/0-连接外网的接口 port link-mode route ip address 172.18.2.47 255.255.255.0 undo ip

40、v6 fast-forwarding#interface Serial0/0 link-protocol ppp undo ipv6 fast-forwarding#interface NULL0#interface Vlan-interface1-应用刚新建的portal服务器到内网接口上 ip address 192.168.1.1 255.255.255.0 undo ipv6 fast-forwarding portal server 1 method direct# ip route-static 0.0.0.0 0.0.0.0 172.18.2.1-缺省路由# snmp-agent snmp-agent local-engineid 800063A203000FE2A25B0C snmp-agent community read public snmp-agent community write private snmp-agent sys-info version all snmp-agent target-host trap address udp-domain 172.25.255.12 params securityname public# dhcp enabl