1 EAD解決方案技術(shù)原理介紹
1.1 技術(shù)背景
網(wǎng)絡(luò)安全問題的解決,,三分靠技術(shù),,七分靠管理,嚴(yán)格管理是企業(yè),、機(jī)構(gòu)及用戶免受網(wǎng)絡(luò)安全問題威脅的重要措施,。事實(shí)上,多數(shù)企業(yè),、機(jī)構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全,。網(wǎng)絡(luò)用戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、升級(jí)病毒庫的現(xiàn)象普遍存在;隨意接入網(wǎng)絡(luò),、私設(shè)代理服務(wù)器,、私自訪問保密資源、非法拷貝機(jī)密文件,、利用非法軟件獲取利益等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會(huì)直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行,,還可能使企業(yè)蒙受巨大的商業(yè)損失,。
為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足,應(yīng)對(duì)網(wǎng)絡(luò)安全威脅,,H3C推出了終端準(zhǔn)入控制(EAD,,End user Admission Domination)解決方案。該方案從用戶終端準(zhǔn)入控制入手,,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品,、系統(tǒng)補(bǔ)丁管理產(chǎn)品,、桌面管理產(chǎn)品的聯(lián)動(dòng),對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略,,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,,可以加強(qiáng)用戶終端的主動(dòng)防御能力,大幅度提高網(wǎng)絡(luò)安全,。
EAD在用戶接入網(wǎng)絡(luò)前,,通過統(tǒng)一管理的安全策略強(qiáng)制檢查用戶終端的安全狀態(tài),并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略,,對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級(jí),、系統(tǒng)補(bǔ)丁升級(jí)等操作;在保證用戶終端具備自防御能力并安全接入的前提下,可以通過動(dòng)態(tài)分配ACL,、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限,,從而提升網(wǎng)絡(luò)的整體安全防御能力。
EAD還引入了資產(chǎn)管理,、軟件分發(fā),、USB監(jiān)控等功能,提供了企業(yè)內(nèi)網(wǎng)PC集中管理運(yùn)維的方案,,以高效率的管理手段和措施,,協(xié)助企業(yè)IT部門及時(shí)盤點(diǎn)內(nèi)網(wǎng)資產(chǎn)、掌控內(nèi)網(wǎng)資產(chǎn)變更情況,。
1.2 EAD方案介紹
EAD終端準(zhǔn)入控制方案包括兩個(gè)重要功能:安全防護(hù)和安全監(jiān)控,。安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證,保證只有安全的終端才能接入網(wǎng)絡(luò),,對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù),,保障終端和網(wǎng)絡(luò)的安全;安全監(jiān)控是指在上網(wǎng)過程中,系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài),,并針對(duì)用戶終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施,,實(shí)時(shí)保障網(wǎng)絡(luò)安全。
目前EAD還引入的資產(chǎn)管理,、軟件分發(fā),、USB監(jiān)控等功能,與之前的準(zhǔn)入防御功能并沒有交叉,,下面分別介紹EAD解決方案的端點(diǎn)準(zhǔn)入防御,,資產(chǎn)管理,軟件分發(fā)等功能,。
1.2.1 EAD端點(diǎn)準(zhǔn)入防御方案介紹
l 身份驗(yàn)證:用戶終端接入網(wǎng)絡(luò)時(shí),,首先進(jìn)行用戶身份認(rèn)證,,非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x,,Portal認(rèn)證,。
l 安全檢查:身份認(rèn)證通過后進(jìn)行終端安全檢查,由EAD安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)(包括補(bǔ)丁版本,、病毒庫版本,、軟件安裝、系統(tǒng)服務(wù),、注冊(cè)表,、是否登錄密碼為弱密碼等)是否合格。
l 安全隔離:不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù),。
l 安全修復(fù):進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁,、病毒庫的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作,,直到安全狀態(tài)合格,。
l 動(dòng)態(tài)授權(quán):如果用戶身份驗(yàn)證、安全檢查都通過,,則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息(包括網(wǎng)絡(luò)訪問權(quán)限等)下發(fā)給安全聯(lián)動(dòng)設(shè)備,,由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。
l 實(shí)時(shí)監(jiān)控:在用戶網(wǎng)絡(luò)使用過程中,,安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略,,實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài),一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略,,則向EAD安全策略服務(wù)器上報(bào)安全事件,,由EAD安全策略服務(wù)器按照預(yù)定義的安全策略,采取相應(yīng)的控制措施,,比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶,。
1.2.2 EAD端點(diǎn)準(zhǔn)入防御方案特點(diǎn)
安全狀態(tài)評(píng)估
Ø 終端補(bǔ)丁檢測(cè):評(píng)估客戶端的補(bǔ)丁安裝是否合格,可以檢測(cè)的補(bǔ)丁包括:操作系統(tǒng)(Windows 2000/XP/2003等,,不包括Windows 98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁,。
Ø 安全客戶端版本檢測(cè):可以檢測(cè)安全客戶端iNode Client的版本,防止使用不具備安全檢測(cè)能力的客戶端接入網(wǎng)絡(luò),,同時(shí)支持客戶端自動(dòng)升級(jí),。
Ø 安全狀態(tài)定時(shí)評(píng)估:安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài),防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致,。
Ø 自動(dòng)補(bǔ)丁管理:提供與微軟WSUS/SMS(全稱:Windows Server Update Services/System Management Server)協(xié)同的自動(dòng)補(bǔ)丁管理,當(dāng)用戶補(bǔ)丁不合格時(shí),,自動(dòng)安裝補(bǔ)丁,。
Ø
終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè):可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè),,包括已安裝程序列表、已安裝補(bǔ)丁列表,、已運(yùn)行進(jìn)程列表,、共享目錄信息、分區(qū)表,、屏保設(shè)置和已啟動(dòng)服務(wù)列表等,。
Ø
防病毒聯(lián)動(dòng):主要包含兩個(gè)方面,一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí),,檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫和掃描引擎版本是否符合安全要求等,,不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū);二是端點(diǎn)用戶接入網(wǎng)絡(luò)后,EAD定期檢查防病毒軟件的運(yùn)行狀態(tài),,如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū),。
聯(lián)動(dòng)方式目前包括強(qiáng)聯(lián)動(dòng)和弱聯(lián)動(dòng),強(qiáng)聯(lián)動(dòng)需要防病毒軟件廠商提供聯(lián)動(dòng)插件,,iNode客戶端通過該聯(lián)動(dòng)插件完成對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制,。弱聯(lián)動(dòng)不需要防病毒廠商提供聯(lián)動(dòng)插件,iNode客戶端通過其他方式實(shí)現(xiàn)對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制,。當(dāng)前支持的強(qiáng)AV聯(lián)動(dòng)支持的防病毒軟件有:瑞星,、金山和江民。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有:諾頓,、趨勢(shì),、McAfee
、安博士,、CA安全甲胄,、VRV、卡巴斯基等,。
Ø ARP防火墻:iNode客戶端將截獲用戶的ARP報(bào)文,,并且根據(jù)如下原則判斷是否是非法ARP報(bào)文:
n 發(fā)出的ARP報(bào)文必須滿足:
①以太網(wǎng)源地址=發(fā)送端以太網(wǎng)地址=本機(jī)發(fā)包網(wǎng)卡的MAC地址
?、诎l(fā)送端IP地址=本機(jī)發(fā)包網(wǎng)卡的IP地址
?、墼跐M足上面兩條的前提下判斷是否是ARP請(qǐng)求報(bào)文,如果是請(qǐng)求報(bào)文必須滿足是廣播報(bào)文,。
n 接收的ARP報(bào)文必須滿足:
?、僖蕴W(wǎng)源地址=發(fā)送端以太網(wǎng)地址。
如果iNode發(fā)現(xiàn)報(bào)文為非法ARP報(bào)文,,那么將會(huì)對(duì)報(bào)文做丟棄處理,。
用戶權(quán)限管理
Ø
強(qiáng)身份認(rèn)證:在用戶身份認(rèn)證時(shí),可綁定用戶接入IP,、MAC,、接入設(shè)備IP,、端口和VLAN等信息,進(jìn)行強(qiáng)身份認(rèn)證,,防止帳號(hào)盜用,、限定帳號(hào)所使用的終端,確保接入用戶的身份安全,。
Ø “危險(xiǎn)”用戶隔離:對(duì)于安全狀態(tài)評(píng)估不合格的用戶,,可以限制其訪問權(quán)限(通過ACL隔離),使其只能訪問防病毒服務(wù)器,、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源,。
Ø “危險(xiǎn)”用戶在線隔離:用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)(如感染不能殺除的病毒),EAD可以在線隔離并通知用戶,。
Ø
軟件安裝和運(yùn)行檢測(cè):檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài),。可以限制接入網(wǎng)絡(luò)的用戶必須安裝,、運(yùn)行或禁止安裝,、運(yùn)行其中某些軟件。對(duì)于不符合安全策略的用戶可以記錄日志,、提醒或隔離,。
Ø 支持匿名認(rèn)證:iNode客戶端與EAD安全策略服務(wù)器配合提供用戶匿名認(rèn)證功能,用戶不需要輸入用戶名,、密碼即可完成身份認(rèn)證和安全認(rèn)證,。
Ø 接入時(shí)間、區(qū)域控制:可以限制用戶只能在允許的時(shí)間和地點(diǎn)(接入設(shè)備和端口)上網(wǎng),。
Ø 限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò):防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁,,避免因此可能造成的信息安全問題。
Ø 代理限制:可以限制用戶使用和設(shè)置代理服務(wù)器,。
用戶行為監(jiān)控
Ø
終端強(qiáng)制或提醒修復(fù):強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí),,病毒庫升級(jí),補(bǔ)丁安裝;目前只支持手工方式(金山的客戶端可以與系統(tǒng)中心做自動(dòng)升級(jí)),。
Ø 安全狀態(tài)監(jiān)控:定時(shí)監(jiān)控終端用戶的安全狀態(tài),,發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。
Ø 安全日志審計(jì):定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志;查詢用戶的安全狀態(tài)日志,、安全事件日志以及在線用戶的安全狀態(tài),。
Ø 強(qiáng)制用戶下線:管理員可以強(qiáng)制行為“可疑”的用戶下線。
1.2.3 桌面資產(chǎn)管理方案介紹
EAD解決方案不僅能夠?qū)τ脩舻亩它c(diǎn)準(zhǔn)入安全進(jìn)行管理,,而且能夠?qū)τ脩艟W(wǎng)絡(luò)中的資產(chǎn)進(jìn)行管理和控制,,其基本的功能包括:資產(chǎn)管理、軟件分發(fā)。
桌面資產(chǎn)管理應(yīng)用模型如下:
桌面資產(chǎn)管理的應(yīng)用流程如下圖所示:
身份驗(yàn)證及安全認(rèn)證:EAD的桌面資產(chǎn)管理功能是與EAD的端點(diǎn)準(zhǔn)入功能緊密結(jié)合的:在安全認(rèn)證成功之后,,服務(wù)器將DAM服務(wù)器的地址和端口下發(fā)給DAM客戶端,。作為另外一種選擇,DAM服務(wù)器的地址和端口,,也可以采用iNode客戶端管理中心定制指定。
資產(chǎn)上線:資產(chǎn)上線分成幾種情況:
1,、已管理資產(chǎn)的上線:服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號(hào)找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息,,客戶端之后請(qǐng)求資產(chǎn)策略,服務(wù)器回應(yīng)資產(chǎn)策略給客戶端,。
2,、客戶端注冊(cè)方式的新資產(chǎn)(該資產(chǎn)由管理員增加)上線:服務(wù)端要求客戶端輸入資產(chǎn)編號(hào),客戶端提交后,,服務(wù)端根據(jù)資產(chǎn)編號(hào)找到資產(chǎn)信息,,發(fā)給客戶端確認(rèn),確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài),,回應(yīng)確認(rèn)信息,,客戶端之后請(qǐng)求資產(chǎn)策略,服務(wù)器回應(yīng)資產(chǎn)策略給客戶端,。
3,、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線:服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號(hào);客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入,之后上傳給服務(wù)端,,服務(wù)端回應(yīng)確認(rèn)信息,,客戶端之后請(qǐng)求資產(chǎn)策略,服務(wù)器回應(yīng)資產(chǎn)策略給客戶端,。
4,、重裝操作系統(tǒng)之后的客戶端上線:服務(wù)端根據(jù)客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄,之后回應(yīng)資產(chǎn)信息給客戶端;客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配,,之后,,客戶端發(fā)送確認(rèn)報(bào)文給服務(wù)端;服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來;服務(wù)端回應(yīng)確認(rèn)信息,客戶端之后請(qǐng)求資產(chǎn)策略,,服務(wù)器回應(yīng)資產(chǎn)策略給客戶端,。
5、安裝了多操作系統(tǒng)的資產(chǎn)上線:用戶啟動(dòng)一個(gè)操作系統(tǒng)并上線成功后,,在另一個(gè)操作系統(tǒng)下又發(fā)起上線請(qǐng)求;服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況,,將只允許最后安裝的操作系統(tǒng)的客戶端可以上線;服務(wù)端回應(yīng)確認(rèn)信息,客戶端之后請(qǐng)求資產(chǎn)策略,,服務(wù)器回應(yīng)資產(chǎn)策略給客戶端,。
資產(chǎn)信息上報(bào):客戶端獲取本地資產(chǎn)信息,保存到本地,,并上報(bào)給服務(wù)端;客戶端定期會(huì)掃描本地資產(chǎn)信息,,如發(fā)現(xiàn)有變更,,更新本地保存的資產(chǎn)文件,同時(shí)將資產(chǎn)變更信息上報(bào)給服務(wù)端,。
USB使用信息上報(bào):客戶端實(shí)時(shí)監(jiān)測(cè)USB插入情況,,如果有USB插入、向USB中寫入文件,、或者拔出USB,,都會(huì)寫入文件,客戶端定期上報(bào)USB使用信息給服務(wù)端,。
軟件分發(fā):服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù),,客戶端向服務(wù)端請(qǐng)求資產(chǎn)策略,服務(wù)端回應(yīng)同時(shí),,將分發(fā)任務(wù)下達(dá)給客戶端,,客戶端連接到分發(fā)服務(wù)器進(jìn)行軟件下載,下載到本地之后可由用戶自行安裝,,也可以自動(dòng)安裝,。
1.2.4 桌面資產(chǎn)管理功能特點(diǎn)
終端資產(chǎn)管理
ü 基于用戶的資產(chǎn)管理:資產(chǎn)與認(rèn)證用戶相結(jié)合,支持直接查詢某個(gè)用戶資產(chǎn)狀況,,也可以基于資產(chǎn)信息找到對(duì)應(yīng)的用戶,,方便管理員的管理。
ü 資產(chǎn)編號(hào)處理:可自動(dòng)/手工生成資產(chǎn)編號(hào),,為資產(chǎn)分配責(zé)任人或自動(dòng)關(guān)聯(lián)責(zé)任人,。可對(duì)資產(chǎn)信息進(jìn)行查詢和手工掃描,。對(duì)資產(chǎn)信息上報(bào)的策略可以進(jìn)行自定義,。
ü 支持資產(chǎn)信息的增刪改:管理員可以增加、刪除,、修改資產(chǎn)信息,。
ü 支持資產(chǎn)分組管理:對(duì)資產(chǎn)通過分組統(tǒng)一管理,默認(rèn)放置于缺省分組中,。分組支持嵌套,,支持分組間的資產(chǎn)轉(zhuǎn)移,方便管理,。
ü 資產(chǎn)信息審計(jì):可對(duì)軟硬件資產(chǎn)進(jìn)行查詢,,支持按CPU、制造商,、型號(hào),、操作系統(tǒng)等統(tǒng)計(jì)資產(chǎn),便于管理員分類進(jìn)行企業(yè)資產(chǎn)盤點(diǎn)。
ü 資產(chǎn)變更審計(jì):可針對(duì)資產(chǎn)變更信息進(jìn)行審計(jì),,審計(jì)內(nèi)容包含資產(chǎn)名,、編號(hào)、變更類型,、變更內(nèi)容,、資產(chǎn)責(zé)任人、變更時(shí)間等,,便于管理員及時(shí)掌握企業(yè)資產(chǎn)變動(dòng)情況,。
ü 支持USB使用審計(jì):支持USB插拔及使用的審計(jì),審計(jì)內(nèi)容包括插拔時(shí)間,、資產(chǎn)名、文件名,、文件大小,、操作時(shí)間等,便于企業(yè)安全審計(jì),。
ü 支持USB等外設(shè)使用控制:支持對(duì)USB,、軟驅(qū)、光驅(qū),、Modem,、串口、并口,、1394,、紅外、藍(lán)牙等外設(shè)使用的控制,。
軟件分發(fā)
ü 分發(fā)任務(wù)管理:支持軟件分發(fā)任務(wù)的增加,,修改,查詢和刪除以及關(guān)閉功能;可以按資產(chǎn)分組,、選中單個(gè)或者多個(gè)資產(chǎn)進(jìn)行資產(chǎn)批量分發(fā),,可以自定義分發(fā)操作的時(shí)間,支持HTTP,,F(xiàn)TP和文件共享三種方式的分發(fā)服務(wù)器的參數(shù)配置功能,。
ü 軟件分發(fā)查詢:支持按照資產(chǎn)查詢軟件分發(fā)歷史,支持按照分發(fā)任務(wù)查詢每個(gè)資產(chǎn)的軟件分發(fā)狀態(tài),。
ü 軟件分發(fā):支持HTTP,、FTP和文件共享等三種協(xié)議的軟件分發(fā),軟件分發(fā)給終端之后,,安裝的方式可以根據(jù)管理員指定好的策略進(jìn)行靜默安裝或者普通安裝,。也可支持按資產(chǎn)分組、資產(chǎn)進(jìn)行批量方式的軟件分發(fā)。
2 無線EAD解決方案介紹
無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制和數(shù)據(jù)傳輸兩個(gè)層面,。在訪問控制層面上,,非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后,將會(huì)直接面對(duì)企業(yè)的核心服務(wù)器,,威脅企業(yè)的核心業(yè)務(wù),,因此能對(duì)無線接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問控制系統(tǒng)必不可少,。
在無線網(wǎng)絡(luò)中,,結(jié)合使用EAD解決方案,可以有效的滿足園區(qū)網(wǎng)的無線安全準(zhǔn)入的需求,。
2.1 無線EAD解決方案典型組網(wǎng)-Portal認(rèn)證方式
2.1.1 組網(wǎng)特點(diǎn)介紹
1. FIT AP與無線控制器之間的連接可以使用二層連接,,也可以使用三層連接。
2. 用戶接入時(shí)需要使用Windows客戶端接入無線網(wǎng)絡(luò)" title="無線網(wǎng)絡(luò)">無線網(wǎng)絡(luò),,然后使用iNode進(jìn)行Portal接入,。
3. Portal接入控制方式使用二層Portal(匯聚交換機(jī)作為客戶端網(wǎng)關(guān))。
4. 在組網(wǎng)中,,用戶IP地址不發(fā)生變化的情況下,,可以在AP之間漫游。
5. 基于用戶身份的控制信息在AC上下發(fā),。
2.1.2 無線用戶認(rèn)證流程
1. 無線用戶接入企業(yè)網(wǎng)絡(luò),,根據(jù)實(shí)際需要對(duì)無線鏈路的保護(hù)可以使用WPA-PSK,WPA2-PSK等多種方式,。
2. 在客戶端的報(bào)文發(fā)送到無線控制器后,,解開LWAPP封裝,并對(duì)客戶端進(jìn)行HTTP重定向,。
3. 在無線控制器與iMC之間交互RADIUS報(bào)文,,對(duì)接入用戶進(jìn)行身份認(rèn)證。
4. 當(dāng)Portal認(rèn)證完成后,,iMC向AC下發(fā)用戶權(quán)限控制策略,。此時(shí)用戶被隔離在隔離區(qū),等待安全認(rèn)證,。
5. iMC通知客戶端身份認(rèn)證成功,,進(jìn)行安全認(rèn)證。
6. 客戶端進(jìn)行安全認(rèn)證,。
7. 通過安全認(rèn)證后,,對(duì)用戶下發(fā)基于用戶身份的安全控制策略。
2.1.3 無線EAD典型組網(wǎng)實(shí)施效果
1.在無線控制器上進(jìn)行Portal認(rèn)證,,在無線用戶通過身份認(rèn)證之前,,只能訪問無線控制上指定的資源,。
2.合法用戶接入網(wǎng)絡(luò)后,其訪問權(quán)限受在無線控制器上下發(fā)的基于用戶的ACL控制,。特定的服務(wù)器只能由被授權(quán)的用戶訪問,。
3.用戶正常接入網(wǎng)絡(luò)前,必須通過安全客戶端的安全檢查,,確保沒有感染病毒且病毒庫版本和補(bǔ)丁得到及時(shí)升級(jí),。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來的安全風(fēng)險(xiǎn)。
4.通過使用iNode客戶端,,可對(duì)用戶的終端使用行為進(jìn)行嚴(yán)格管理,,比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡等,。
5.如果在相同AC的AP間漫游時(shí)用戶IP未發(fā)生變化,,則無需再次進(jìn)行用戶身份認(rèn)證。
2.1.4 無線EAD典型組網(wǎng)中涉及的設(shè)備
在網(wǎng)絡(luò)中部署無線EAD的典型組網(wǎng),,需要配置如下設(shè)備:
.無線控制器:
H3C" title="H3C">H3C WX3024
H3C WX5002
H3C WX6103,,H3C LSQM1WCMB0,H3C LSBM1WCM2A0
.AP:
H3C WA2110-AG
H3C WA2210-AG
H3C WA2220-AG
H3C WA1208E
.策略服務(wù)器:
H3C iMC/CAMS
.n 認(rèn)證客戶端:
H3C iNode