EAD解决方案案例赵朝如.docx
- 文档编号:27751772
- 上传时间:2023-07-04
- 格式:DOCX
- 页数:24
- 大小:332.91KB
EAD解决方案案例赵朝如.docx
《EAD解决方案案例赵朝如.docx》由会员分享,可在线阅读,更多相关《EAD解决方案案例赵朝如.docx(24页珍藏版)》请在冰豆网上搜索。
EAD解决方案案例赵朝如
EAD典型配置案例
概述
功能描述
华为3ComEAD(EndpointAdmissionDefense,端点准入防御)安全产品是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的安全防护。
华为3ComEAD安全产品由四个功能组件组成:
安全客户端及客户端插件接口、客户端管理代理、安全策略服务器和CAMS安全组件。
CAMS安全组件的主要功能是对终端用户的安全策略进行配置;安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置(如强制病毒客户端升级、强制打补丁),确保全网安全策略的统一。
同时,它们通过客户端管理代理与安全客户端相配合,记录用户的安全日志,并提供查询及监控功能,为网络管理员提供网络安全状态的详细信息。
通过这种防病毒软件、安全客户端、接入设备、CAMS的整合,华为3ComEAD安全产品能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁,避免来自网络内部的入侵;再配合传统的防火墙或IDS设备,华为3ComEAD安全产品可以构建分布式的、内外结合的网络安全架构,最大限度的防止非法入侵。
在EAD解决方案的框架下,用户的认证过程可以分为两个步骤:
用户身份认证和安全认证。
用户身份认证在CAMS平台上进行,通过用户名和密码来确定用户是否合法。
身份认证通过后,用户处在上图中的隔离区,与此同时发起安全认证。
如果安全认证通过,则用户的隔离状态被解除,可以正常访问网络资源;如果安全认证不通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。
使用限制
A)必须使用支持802.1X协议扩展透传Access-Accept报文以及支持ACL动态下发功能(采用Session-Control报文交互机制)的以太网交换机,下表为目前支持该功能的设备版本:
设备类型
S5024G-24/20TP
S3528P
S3050C
S3026E
S3026C
S3526C
软件版本
0019
0016
0030
0029
0029
0034
备注
基于MAC认证需要配置流模版/可基于端口下发ACL
支持EAD功能的我司交换机设备版本
B)H3C认证客户端的版本:
V2.30-0221及以上版本
C)
D)CAMS的版本:
V1.20-0388及以上版本(Windows版本),需要安装和购买EAD组件
E)
F)第三方病毒客户端软件:
G)
瑞星:
金山:
江民:
Symantec:
NortonAntivirus企业版7.60,个人版等(EAD部分特性支持)
H)客户端操作系统版本:
I)
MicrosoftWindows2000、XP、Server2003等
典型组网及配置
组网图
图1CAMS与交换机配合实现EAD功能特性组网示意图
图2
组网说明:
图1所示为推荐的安装模式,而为了节省用户投资,目前CAMS平台与安全策略服务器目前只能安装在一台服务器上;客户端管理代理服务器可以与CAMS分开安装以保证安全性,当然也可以安装在同一台机器上(其安装文件与CAMS自助平台在一起)。
本文假设两者安装在不同的服务器上并做如下假设,实际参数请根据实际组网变化:
CAMS(平台与安全策略服务器)IP:
192.168.4.26
ClientProxyServer(客户端管理代理服务器)IP:
192.168.4.44
LANSwitch(安全联动设备即NAS)IP:
192.168.4.100
配置步骤:
事先检查项
检查项
检查项说明
CAMS版本
安装Windows版本V1.20-0388以上版本
1X客户端版本
V2.30-0221版本及以后版本
接入设备版本
支持802.1X协议扩展透传Access-Accept报文以及支持ACL动态下发功能(采用Session-Control报文交互机制)的以太网交换机,版本详见上文描述
服务
在[服务管理/服务配置]中增加一条服务。
用户
在[用户管理/帐号用户]中增加一个帐号并申请上面的服务
交换机配置
以下以交换机S3026E作为NAS接入设备做EAD特性相关配置介绍。
配置IP地址及路由
[S3026E]quit--退出系统配置视图(以下退出某项配置均要用quit命令)
配置IP地址:
[S3026E]interfaceVlan-interface1
[S3026E-Vlan-interface1]]ipaddress192.168.4.100255.255.255.0--配置IP地址掩码
配置缺省路由:
[S3026E]iproute-static0.0.0.00.0.0.0192.168.4.1preference60
上述IP、掩码、路由等需要根据实际情况修改配置,达到接入设备与CAMS三层可达(即可以ping通)的目的。
1.1.1配置Radius认证策略及域
1.1.2
配置Radius认证策略:
[S3026E]radiusschemecams
[S3026E-radius-cams]server-typehuawei--认证协议(扩展)
[S3026E-radius-cams]primaryauthentication192.168.4.261812--CAMS认证IP、端口
[S3026E-radius-cams]primaryaccounting192.168.4.261813--CAMS计费IP、端口
[S3026E-radius-cams]keyauthenticationexpert--认证密钥
[S3026E-radius-cams]keyaccountingexpert--计费密钥(必须与认证密钥相同)
[S3026E-radius-cams]user-name-formatwith-domain–用户名格式(有域名)
[S3026E-radius-cams]session-control-server192.168.4.26--策略服务器地址(即CAMSIP)
配置认证域:
[S3026E]domaincams
[S3026E-isp-cams]radius-schemecams--应用上面配置的Radius认证策略
[S3026E-isp-cams]self-service-urlenablehttp:
//192.168.4.44/selfservice/modPasswd1x.jsp|userName–-配置自助url
配置缺省域生效:
[S3026E]domaindefaultenablecams--配置cams域为缺省认证域
认证和计费密钥、端口如果需要修改,则两个密钥必须相同且与CAMS配置同步(参见图2);同时与必须策略服务器配置文件定义相一致(策略服务器配置只用到认证端口与密钥,见后面3.3.4节)。
(注意:
如果需要给用户申请使用具有不同后缀的多个服务,则需要在我司交换机上配置不同的域,如下:
[S3026E]domainhuawei-3com
[S3026E-isp-huawei-3com]radius-schemecams--应用Radius认证策略
用户申请了带后缀的服务后,在客户端用该服务认证时必须输入格式如下:
用户名@域名,如camsservice@huawei-3com)
配置802.1x认证
[S3026E]dot1x--全局启动802.1x认证
[S3026E]dot1xport-methodmacbased--配置基于MAC的认证方式(缺省)
[S3026E]dot1xinterfaceEthernet0/1toEthernet0/10--在端口0/1~0/10启动802.1x认证
如果需要可以配置802.1x认证的认证方式,如与LDAP配合需要chap认证方式;而如果需要启用设备无关特性,需要配置为eap透传方式,如下:
[S3026E]dot1xauthentication-methodeap--配置EAP透传模式的认证方式
如果需要限制客户端版本信息,可以使能802.1x认证的版本检测,如下:
[S3026E]dot1x--使能802.1x的版本检测功能
如果需要使能客户端防代理功能,需要使能802.1x认证的防代理设置,如下:
[S3026E]dot1xsupp-proxy-checklogoff--使能全局下的防代理功能
[S3026E]dot1xsupp-proxy-checklogoffinterfaceEthernet0/1toEthernet0/10
--使能每个端口的防代理功能
配置ACL
EAD方案对认证客户端的安全状态进行检测,然后根据实际认证上网用户PC的状态对其进行访问控制,则需要在设备上配置对应的隔离ACL(对应图1中的“隔离区”)和安全上网ACL(对应图1中的“Internet”安全区),即安全认证不通过的用户只能被限制在“隔离区”访问,而只有安全认证通过的用户才能正常在安全区进行访问。
当用户由于安全问题被隔离时也可被隔离在隔离区域ACL中。
[S3026E]aclnumber3000--配置隔离ACL
[S3026E-acl-adv-3000]rule0denyip
[S3026E-acl-adv-3000]rule1permitudpdestination-porteqbootps
[S3026E-acl-adv-3000]rule2permitudpdestination-porteqbootpc
[S3026E-acl-adv-3000]rule3permitipdestination192.168.4.440
[S3026E]aclnumber3001--配置安全ACL
[S3026E-acl-adv-3001]rule0permitip
说明:
EAD方案必须要求客户端在认证上网后无论何时均可以与客户端管理代理服务器进行正常的TCP/IP通讯,所以隔离ACL必须配置可以访问客户端管理代理地址(图1中为192.168.4.44)。
隔离ACL3000中的前两条规则是允许DHCP请求回应报文的可通过性,即如果客户端在认证后要动态获取IP地址则必须配置这两条规则。
我司设备的ACL规则匹配原则为“后下发的先匹配”,不能如下形式配置ACL,否则无法对用户的访问权限进行控制(因为自动匹配模式下rule0permitip首先匹配):
[S3026E]aclnumber3002match-orderauto
[S3026E-acl-adv-3002]rule1denyipdestination192.168.4.300
[S3026E-acl-adv-3002]rule0permitip
S3528P/G设备配置流模板支持基于MAC的ACL下发配置方法
S3528P/G设备必须配置规定了ACL相关字段的流模板并应用于认证端口才能支持基于MAC的802.1x认证和ACL下发。
下面以S3528P设备为例介绍流模板配置方法。
配置流模板(其中相关字段分别对应于上面的3000和3001ACL中的目的IP和协议类型,端口字段等信息):
[S3528P]flow-templateuser-definedsmacdipip-protocoldport
应用流模板到认证端口:
[S3528P]interfaceEthernet0/1
[S3528P-Ethernet0/1]flow-templateuser-defined
ACL配置如上配置即可。
(注意由于流模板的可定义字段长度有限,因而如果ACL中配置了流模板未定义的字段如sip,sport等是无法下发成功的。
建议采用上述定义方法)
CAMS配置
以下配置(3.3.1-3.3.3,3.4节)均需要以系统管理员admin的权限登录CAMS配置台(%CAMSIP%/cams,本文为http:
//192.168.4.26/cams/),缺省密码为Admin。
接入设备信息配置
在CAMS的[系统管理/系统配置/接入设备配置]中增加接入交换机设备的IP、认证端口、共享密钥、业务类型(LAN),确定并返回到系统配置页面点击<立即生效>按钮,使这些信息生效。
如下图所示:
增加接入设备信息配置示意图
策略服务系统参数配置(1.20以后的版本不需要配置)
在CAMS配置台的[系统管理/系统配置]中修改“策略服务参数配置”,如图3所示红色方框部分,将“策略服务器IP”修改为CAMS的IP地址(由于安全策略服务器与CAMS安装在同一台服务器上,因而可以如图填写为127.0.0.1),“代理服务器IP”修改为图1中的客户端管理代理服务器(即ClientProxyServer)的IP地址,“自助服务平台主机地址”填入安装的用户自助服务器的地址和端口信息(一般用户自助服务与客户端管理代理安装在同一台服务器上);最后启用“端点准入防御启用标志”,点击确定按钮,并且返回到系统配置页面点击<立即生效>按钮使得策略服务配置生效。
(其他的参数建议保留初始值,有必要可以参考在线帮助进行修改)
策略服务参数配置示意图
策略服务器配置
在CAMS服务器上以管理员身份登录,在CAMS安装路径的server/bin/路径下执行config.bat脚本(如果是Linux版本就以root用户身份在相关路径下执行#sh./config.sh),会弹出策略服务器配置窗口,如图4所示。
安全策略服务器配置初始界面示意图
此配置工具可以对安全策略服务器及客户端管理代理服务器进行向导式或详细(高级)配置,并且可以进行初步测试,如图5为策略服务器的数据库相关向导式配置界面。
强烈建议不需要修改缺省的通讯与监听端口信息。
(注意Linux版本的配置向导中数据库类型为Oracle)
安全策略服务器数据库配置界面示意图
如果需要更改设备的认证密钥或端口,则需要进入高级配置界面(CAMSB03D092以后的版本策略服务器配置向导也提供对设备通讯认证密钥的修改,此处只需点击下一步即可设置如图6所示),如图5点击<高级配置>按钮,确认进入高级配置,在弹出的配置界面上选择“策略服务器”>>“接入设备配置”标签页,如图7所示,在其中更改或增加接入设备的IP地址以及端口、密钥信息(建议用*来通配标识接入设备IP,注意此处密钥和端口要与设备上配置的相一致)。
安全策略服务器接入设备通讯配置界面示意图(CAMSB03D092版本提供)
修改完安全策略服务器配置或者客户端管理代理服务器配置后,需要重新启动服务,重启CAMS服务器上的安全策略服务器对应的服务“Huawei-3ComCAMSStrategyCenter”(在控制面板>>管理工具>>服务中查看);如果安全策略客户端管理代理服务器与用户自助安装在不同于CAMS的服务器上,也需要在修改配置后重启服务,控制面板>>管理工具>>服务中查找客户端管理代理对应的服务“Huawei-3ComCAMSEndpointProxy”,请重新启动该服务。
安全策略服务器的接入设备信息配置界面示意图
安全策略配置
EAD解决方案是按照在CAMS上配置的安全策略来匹配检查客户端认证上网时的安全状态的。
安全策略中可以定义的检查规则很多,包括病毒库以及杀毒引擎版本、系统软件(目前仅包含Windows操作系统)补丁,可控制软件使用情况检查等,因而需要首先为用户配置好,之后将定义的安全策略应用到服务即可。
此步的配置均在CAMS配置管理台左侧导航页的[安全管理]目录中完成。
定义配置系统软件及其补丁
在CAMS配置台的[安全管理/软件补丁管理]中点击<软件补丁管理>连接进入软件补丁管理页面,首先点击页面中的<软件定义>按钮,进入<软件定义管理>页面,由于目前仅支持Windows操作系统的补丁检查和管理,因而此处建议仅增加Windows相关的软件定义,点击右上角的<增加软件定义>进入如图8所示的“增加软件定义”页面,软件名称中输入的必须是“Windows”,而软件版本中的输入必须限制为下面描述的名称。
目前支持的Windows操作系统软件版本定义方法:
软件名:
Windows
软件版本:
2000、2000ServicePack1、2000ServicePack2、2000ServicePack3、2000ServicePack4、XP、XPServicePack1、XPServicePack2、Server2003等
软件语言:
简体中文、英文及所有语言(可选)
增加系统软件定义配置页面示意图
(注意:
在CAMSB03D090以后的版本中软件定义均在安装过程中完成了,不需要特别配置。
)
增加软件补丁定义配置页面示意图
增加完软件定义后返回到软件补丁管理界面,点击<增加补丁>按钮,进入如图9的增加软件补丁页面,此处需要根据要求用户检查的Windows补丁项定义补丁名称以及适用的软件版本。
Windows系统软件补丁名称的定义方法:
KB+补丁数字版本号,如:
KB896422(即取补丁文件名“Windows2000-KB896422-x86-CHS.EXE”中间的版本信息)。
可控制软件定义及配置
可控制软件管理页面可以定义和删除控制用户安装和使用的软件配置项,即EAD可以控制用户必须安装、禁止安装、必须允许或者禁止允许某些软件,如果不符合安全策略定义的可控制软件规则就不能通过安全认证。
可控制软件的增加需要手工编辑(在CAMSB03D100后提供辅助用户自动编辑的功能)可控制软件的定义文件(XML文件格式),然后添加到管理界面中。
该文件格式定义如下所示:
以系统缺省增加的NortonAntiVirus.xml为例:
xmlversion="1.0"encoding="UTF-8"?
>
其中
软件名称
可控软件的定义文件必须定义为xml为后缀的文件,保存在本地的路径下,之后通过点击[安全管理-可控制软件管理]页面中的增加按钮进入增加页面之后点击“浏览”选择本地的已经定义好的可控制软件定义XML文件,<确定>即可。
如果已经存在了相同文件名或者软件名
安全策略配置
单击系统菜单树中的[安全管理/安全策略]菜单项,在“安全策略管理”窗口中单击<增加>按钮,设置如图10所示的安全策略参数。
图10增加安全策略
图中分为几个不同的组成部分,其中重要的参数含义说明如下:
(1)基本信息
安全策略模式:
分为隔离、提醒、监控三种模式(注意:
只有隔离模式必须配置隔离ACL和安全ACL)。
为了保证网络的安全,这里设置成为隔离模式,即当用户安全认证有不通过的检查项时,将用户隔离。
只有用户正确修复后才能够通过安全认证,正常访问网络资源;
隔离ACL:
在LAN接入设备上设置的ACL,它定义了被隔离用户能够访问的网络范围,即网络中的隔离区。
一般情况下,可以将病毒服务器、软件补丁服务器地址配置在隔离ACL中;
安全ACL:
在LAN接入设备上设置的ACL,它定义了通过安全认证的用户能够访问的网络范围,即网络中的安全区。
设置的隔离ACL和安全ACL都必须允许用户访问客户端管理代理服务器。
(2)安全检查
检查杀毒引擎版本:
根据设置的条件检查认证用户的杀毒引擎版本。
此处设置了检查方式为自适应方式以及自适应顺延时间为300天,表示只要用户的杀毒引擎版本时间与当前CAMS系统时间相差不超过300天,即通过该项检查;
检查病毒库版本:
含义与杀毒引擎版本检查类似;
进行病毒扫描:
在安全认证时对用户进行内存、系统区或全面的病毒扫描,由于全面扫描耗时较长,一般情况下不建议采用,此处选择扫描内存;
检查可控制软件:
在安全认证时检查列表中各个软件的安装运行情况,如果与此处设置的不符,则安全认证不通过;
检查软件补丁:
在安全认证时检查列表中选中的软件补丁,如果用户未安装,则安全认证不通过。
&说明:
杀毒引擎版本以及病毒库版本的时间设置需要参考防病毒厂商的更新频率,如果设置不当有可能影响最终用户的安全认证。
(3)安全监控
在用户通过安全认证后由病毒客户端监控选择的项目,如果安全策略模式设置为隔离模式,则当发现已设置的异常情况时,系统对用户进行隔离;如果是提醒模式,当发现异常情况时对用户进行提醒并记录安全日志,但不对其进行隔离;如果是监控模式,则不提醒也不隔离用户,只记录安全日志。
(4)系统修复
设置系统修复的相关信息,此处均设置了手动修复方式以及对应的服务器地址。
当用户认证不通过时,系统会提示用户到相关服务器进行修复操作。
(5)客户端提示
设置了在不同情况下客户端给用户的提示,使得用户对自己的认证状态以及出问题的原因一目了然。
安全设置生效
安全管理的相关配置信息在修改后会定时更新安全策略服务器缓存中的信息,单击左侧菜单树中的[安全管理/安全设置生效]菜单项,可以手动通知安全策略服务器立即更新缓存数据。
用户认证
完成上述步骤后,用户即可使用申请的服务进行认证,此时会出现如下两种情况:
通过安全认证
如果用户通过了所有的安全检查,其客户端将显示与图11类似的窗口。
图11通过安全认证的客户端窗口
从图中可以看出,通过安全认证后,客户端连接图标变为
,并且客户端的日志窗口以及状态栏中会出现相关的提示信息。
1.2未通过安全认证
1.3
如果由于某些检查项不合格,未通过安全认证,则客户端会弹出一系列与下述窗口类似的向导窗口提示用户进行相关修复操作。
图12认证失败提示向导一
图13认证失败提示向导二
图14认证失败提示向导三
图15认证失败提示向导四
从提示向导中用户可以得知有哪些项目未通过安全检查,并可以了解到从哪里进行相关的修复操作。
用户可以根据其中的信息进行手动修复操作。
当用户未通过安全认证时,客户端窗口如图16所示。
图16安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- EAD 解决方案 案例 赵朝如