H3CEAD安全解决方案指导书V12文档格式.docx

1、初稿方胜山2010.11.29V1.1增加802.1X,prtal认证原理2010.12.04V1.2增加编号1 EAD解决方案介绍1.1 EAD系统介绍H3C EAD（Endpoint Admission Defense，端点准入防御）解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。iMC EAD组件是EAD解决方案的核心部件。通过这种防病毒软件、安全客户端、接入设备、iMC智能管理中心的整合，EAD解决方案能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害，保护

2、缺乏防御能力的用户因暴露在非安全的网络中而受到威胁，避免来自网络内部的入侵；再配合传统的防火墙或IDS设备，最大限度的防止非法入侵。在EAD解决方案的框架下，用户的认证过程可以分为两个步骤：用户身份认证和安全认证。用户身份认证在iMC UAM组件上进行，通过用户名和密码来确定用户是否合法。身份认证通过后，用户处在隔离区，与此同时发起安全认证，安全认证由iMC EAD组件完成。如果安全认证通过，则用户的隔离状态被解除，可以正常访问网络资源；如果安全认证不通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。iMC EAD组件、iMC智能管理平台组件（含UAM接入）必须与设备、客户端、

3、第三方服务器等配合才能形成完整的EAD解决方案。下图是iMC EAD的结构图：2 EAD解决方案实施指导 EAD安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用环境和组网模式,H3C的EAD安全解决方案都提供了完善而有针对性解决方案,就目前应用场景来说,最常见的组网模式大致有以下几种:802.1x环境,Portal环境,L2tp环境.下面依次都各个组网模式进行介绍，其中的无线认证方式，是作为有线网络的补充和延伸，客户端的安装，服务器端的设置是一样的，做到了解即可。重点说明有线网络环境下的EAD安全解决方案如何实施。2.1 802.1x认证方式 2.1.1 协议综述IEEE 802

4、.1x 称为基于端口的访问控制协议（Port based network access control protocol）。主要是为了解决局域网用户的接入认证问题。IEEE 802.1x协议的体系结构包括三个重要的部分：客户端（Supplicant System）、认证系统（Authenticator System）、认证服务器（Authentication Server System）。客户端用户通过启动客户端软件发起802.1x协议的认证, EAPOL报文经过认证系统的受控口和认证服务器进行认证交互后，如通过认证，则用户接入网络成功。2.1.2 802.1X认证体系的结构IEEE 802.

5、1X的体系结构中包括三个主要部分 Supplicant System客户端系统； Authenticator System认证系统； Authentication Sever System认证服务器系统。三者的关系如下图：IEEE 802.1X的体系结构图2.1.3 802.1x典型组网 802.1X推荐的组网推荐的组网：组网说明：1802.1x认证起在接入层交换机上.2采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行.3由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）.4

6、控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源）5由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD（active directory域控），此时可采用802.1x的免认证规则，具体配置参照华三相关设备操作手册。6为确保性能，iMC EAD一般要求分布式部署7 对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上，中间设备只需做到能透

7、传EAP封装radius属性即可8二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。9在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。具体实现为：用户安全检查不合格时，EAD不立即将终端用户下线而是给出一定的修复时间（不安全提示阈值），终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络，如果在该时间内未完成安全策略修复则被下线。802.1x认证起在接入层交换机上（要

8、求接入层交换机对802.1x协议有很好的支持），控制点低，控制严格终端用户DHCP或静态IP地址均可采用下线不安全提示阈值方式认证过程简单，稳定。由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的，安全性上不如二次acl下发方式好。802.1X的认证过程 802.1x的基本认证过程是：1. 最初通道的状态为unauthorized，认证系统处于Initial状态，此时客户端和认证系统通道上只能通过EAPOL报文；2. 用户端返回response报文后，认证系统接收到EAP报文后承载在Radius格式的报文中，再发送到认证服务器，认证服务器接受到认证系统传递过来的认

9、证需求，认证完成后将认证结果下发给认证系统，完成对端口的管理。3. 认证通过后，通道的状态切换为authorized，用户的流量就将接受VLAN、CAR参数、优先级、用户的访问控制列表等参数的监管，此时该通道可以通过任何报文。 认证通过之后的保持：认证系统Authenticator可以定时要求Client重新认证，时间可设。重新认证的过程对User是透明的。2.1.4 802.1x与其他认证协议的简单比较认证协议802.1xPppoeweb是否需安装客户端软件需要（Windows xp 系统不需）需要不需业务报文传送效率高低组播支持能力好不好设备端要求较高处理流程清晰复杂有线网上安全性扩展后可

10、用可用2.2 Portal认证方式2.2.1 Portal协议概述Portal协议在英语中是“入口”的意思，portal认证通常称为“web认证”。基本思想为未认证用户访问网络时会被强制重定向到某站点，进行身份认证只有通过身份认证才能访问网络资源。2.2.2 portal协议原理Portal协议框架如上所示，portal的认证方式分为两种，一种为IE浏览器，也即web认证方式；另一种为inode客户端认证方式。Portal协议是一种基于UDP报文，包括portal server和portal设备两个协议主体的认证协议。交互流程如下所示。对于这两种认证方式，认证的流程用下 Web认证方式：用户输

11、入域名或者ip地址后发起http请求，portal设备经处理后，反馈给用户一个强制认证的页面，需要用户输入账号和密码进行验证。用户浏览器将用户名和密码发送给porta web后，经过中间bas设备将portal报文转换为radius报文，将用户名和密码封装后发送给后方的端点准入控制服务器进行验证，认证成功后，用户即能正常访问网络资源。否则提示用户验证失败，访问受限。采用inode客户端方式认证：这种方式用户直接在inode客户端中输入用户名和密码（总局人员只有第一次安装时输入，以后每次开机自启动），经bas设备（中间的交换设备）重定向给inode后，剩下的报文在inode客户端和portal核

12、心之间交互。Portal 核心通过和bas设备的交互，将用户名和密码传送给bas设备，bas设备和端点准入控制服务器之间进行radius报文的交互，认证成功后，用户即可访问网络资源，认证失败给出提示，禁止用户访问网络资源2.2.3 portal典型组网 portal的直连方式（二层模式） Portal直连方式（三层模式）三层Portal认证与二层Portal认证的比较组网方式上，三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备；非三层认证方式则要求认证客户端和接入设备之间没有三层转发。三层Portal认证仅以IP地址唯一标识用户；而二层Portal认证以IP和MAC地址的组合来唯一标

13、识用户，即到portal设备的报文为带vlan-tag的二层报文。portal的旁挂方式当用户网关和bas设备不是同一个设备或者在原有网络上需要采用portal认证时，需要采用旁挂方式组网。如下图所示Portal设备侧挂在网关上，由网关将需要portal EAD认证的流量策略路由到Portal设备上做EAD认证，这种组网方式对现场改动小，策略灵活（仅将需要认证的流量策略路由到portal设备上，不需要认证的流量可以正常通过网关转发）一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD Portal设备的具体型号请参考EAD的版本说明书网关设备需要支持策略路由终端用户与iMC之间不能有NA

14、T终端用户到iMC的流量一定要经过portal设备，不能出现终端用户不经过portal设备直接访问iMC的情况，否则portal认证会异常。2.2.4 portal协议旁挂方式认证流程图旁挂方式中，用户流量在gateway设备处匹配策略路由进行重定向给portal BAS设备，触发portal认证，portal将用户输入的账号和密码封装成radius报文发送端点准入服务器，经过服务器的验证后，用户获取到访问网络的权限。报文回送给gateway设备，之后进行正常的报文转发。用户数据流量回来后，通过路由进行正常的报文转发。如下图所示。2.2.5 portal两种方式组网的优缺点 1从适用范围来讲，直连方式常应用于新建的网络，如果原来网络已经建设好，为了不对现有网络产生大的影响，可以采用旁挂的方式； 2从对网络的影响程度上，直连方式对现有网络影响最大，因此对于那些网络已经建设好的地方，不建议采用直连portal方式；而旁挂方式能很好的解决这个问题，只需要增加配置将原有流量有选择的重定向给portal设备即可，对网络影响较小。而且可以平滑过渡。 2.3 L2TP VPN EAD终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。终端用户采用l2tp方式做身份认证如果需要安全性防护可以采用l2tp over IPSec的方案二