H3CEAD安全解决方案指导书.docVIP

H3C EAD安全解决方案指导书 实施方案 二零一零年十二月四日 目录 1 EAD解决方案介绍 4 1.1 EAD系统介绍 4 2 EAD解决方案实施指导 5 2.1 802.1x认证方式 5 2.1.1 协议综述 5 2.1.2 802.1X认证体系的结构 5 2.1.3 802.1x典型组网 6 2.1.4 802.1x与其他认证协议的简单比较 9 2.2 Portal认证方式 9 2.2.1 Portal协议概述 9 2.2.3 portal典型组网 12 2.2.4 portal协议旁挂方式认证流程图 14 2.2.5 portal两种方式组网的优缺点 15 2.3 L2TP VPN EAD 15 2.4 无线EAD 16 3 iNode客户端安装及配置 17 3.1 iNode客户端软件安装的软硬件环境需求 17 3.2 各种环境下iNode客户端的安装指导 18 3.2.1 802.1x环境下的iNode客户端安装过程 18 3.2.2 Portal环境下iNode软件的安装 21 3.2.3 l2tp环境下的iNode软件的安装 25 3.3 iNode终端配置 25 3.3.1 802.1x组网环境终端配置 25 3.3.2 Portal环境下客户端设置 30 3.3.3 L2TP环境下iNode软件的设置 33 4 接入设备端配置 37 4.1 8021x环境下接入层设备配置举例 38 4.2 portal环境下接入设备的配置 42 4.3 L2tp－vpn终端设备配置 44 5 Radius服务器配置 47 5.1 802.1X服务器端配置 47 5.1.1 接入设备配置 47 5.1.2 EAD安全策略创建 49 5.1.3 创建服务，关联创建的EAD安全策略 51 5.1.4 创建接入用户，关联服务 52 5.2 Portal环境下IMC(智能管理中心)端相应配置 53 5.2.1 portal部分操作 53 5.2.2 增加安全策略 54 5.2.3 增加服务,并关联安全策略 55 5.2.4 创建接入用户，关联服务 55 EAD解决方案介绍 EAD系统介绍 H3C EAD（Endpoint Admission Defense，端点准入防御）解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。 iMC EAD组件是EAD解决方案的核心部件。通过这种防病毒软件、安全客户端、接入设备、iMC智能管理中心的整合，EAD解决方案能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害，保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁，避免来自网络内部的入侵；再配合传统的防火墙或IDS设备，最大限度的防止非法入侵。在EAD解决方案的框架下，用户的认证过程可以分为两个步骤：用户身份认证和安全认证。 用户身份认证在iMC M组件上进行，通过用户名和密码来确定用户是否合法。身份认证通过后，用户处在隔离区，与此同时发起安全认证，安全认证由iMC EAD组件完成。如果安全认证通过，则用户的隔离状态被解除，可以正常访问网络资源；如果安全认证不通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。 iMC EAD组件、iMC智能管理平台组件（含M接入）必须与设备、客户端、第三方服务器等配合才能形成完整的EAD解决方案。 EAD解决方案实施指导 EAD安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用环境和组网模式,H3C的EAD安全解决方案都提供了完善而有针对性解决方案,就目前应用场景来说,最常见的组网模式大致有以下几种:802.1x环境,Portal环境,L2tp环境.下面依次都各个组网模式进行介绍，其中的无线认证方式，是作为有线网络的补充和延伸，客户端的安装，服务器端的设置是一样的，做到了解即可。重点说明有线网络环境下的EAD安全解决方案如何实施。 802.1x认证方式 协议综述 IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。主要是为了解决局域网用户的接入认证问题。 IEEE 802.1x协议的体系结构包括三个重要的部分：客户端（Supplicant System）、认证系统(Authenticator System)、认证服务器(Authentication Server System)。客户端用户通过启动客户端软件发起802.1x协议的认证, EAPOL报文经过认证系统的受控口和认证服务器进行认证交互后，如通过认证，则