H3C_EAD安全解决方案及实施步骤

H3CEAD安全解决方案实施方案指导书机密第1页作者：fangss1H3CEAD安全解决方案指导书实施方案二零一零年十二月四日H3CEAD安全解决方案实施方案指导书机密第2页作者：fangss2目录1EAD解决方案介绍...............................................................................................31.1EAD系统介绍..................................................................................................32EAD解决方案实施指导.......................................................................................42.1802.1X认证方式.............................................................................................42.1.1协议综述..................................................................................................42.1.2802.1X认证体系的结构.........................................................................52.1.3802.1x典型组网.....................................................................................52.1.4802.1x与其他认证协议的简单比较.....................................................82.2PORTAL认证方式............................................................................................82.2.1Portal协议概述...........................................................................................82.2.3portal典型组网..........................................................................................112.2.4portal协议旁挂方式认证流程图..............................................................142.2.5portal两种方式组网的优缺点..................................................................142.3L2TPVPNEAD................................................................................................142.4无线EAD........................................................................................................153INODE客户端安装及配置.................................................................................163.1INODE客户端软件安装的软硬件环境需求..................................................163.2各种环境下INODE客户端的安装指导.......................................................173.2.1802.1x环境下的iNode客户端安装过程...........................................173.2.2Portal环境下iNode软件的安装..........................................................193.2.3l2tp环境下的iNode软件的安装.......................................................223.3INODE终端配置............................................................................................223.3.1802.1x组网环境终端配置...................................................................223.3.2Portal环境下客户端设置...................................................................273.3.3L2TP环境下iNode软件的设置...........................................................314接入设备端配置..................................................................................................354.18021X环境下接入层设备配置举例.............................................................354.2PORTAL环境下接入设备的配置.....................................................................404.3L2TP－VPN终端设备配置...............................................................................425RADIUS服务器配置...........................................................................................455.1802.1X服务器端配置...................................................................................455.1.1接入设备配置........................................................................................455.1.2EAD安全策略创建.................................................................................465.1.3创建服务，关联创建的EAD安全策略................................................495.1.4创建接入用户，关联服务....................................................................495.2PORTAL环境下IMC(智能管理中心)端相应配置..........................................505.2.1portal部分操作...................................................................................515.2.2增加安全策略........................................................................................525.2.3增加服务,并关联安全策略..................................................................52H3CEAD安全解决方案实施方案指导书机密第3页作者：fangss35.2.4创建接入用户，关联服务....................................................................531EAD解决方案介绍1.1EAD系统介绍H3CEAD（EndpointAdmissionDefense，端点准入防御）解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。H3CEAD安全解决方案实施方案指导书机密第4页作者：fangss4iMCEAD组件是EAD解决方案的核心部件。通过这种防病毒软件、安全客户端、接入设备、iMC智能管理中心的整合，EAD解决方案能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害，保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁，避免来自网络内部的入侵；再配合传统的防火墙或IDS设备，最大限度的防止非法入侵。在EAD解决方案的框架下，用户的认证过程可以分为两个步骤：用户身份认证和安全认证。用户身份认证在iMCUAM组件上进行，通过用户名和密码来确定用户是否合法。身份认证通过后，用户处在隔离区，与此同时发起安全认证，安全认证由iMCEAD组件完成。如果安全认证通过，则用户的隔离状态被解除，可以正常访问网络资源；如果安全认证不通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。iMCEAD组件、iMC智能管理平台组件（含UAM接入）必须与设备、客户端、第三方服务器等配合才能形成完整的EAD解决方案。下图是iMCEAD的结构图：2EAD解决方案实施指导EAD安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用环境和组网模式,H3C的EAD安全解决方案都提供了完善而有针对性解决方案,就目前应用场景来说,最常见的组网模式大致有以下几种:802.1x环境,Portal环境,L2tp环境.下面依次都各个组网模式进行介绍，其中的无线认证方式，是作为有线网络的补充和延伸，客户端的安装，服务器端的设置是一样的，做到了解即可。重点说明有线网络环境下的EAD安全解决方案如何实施。2.1802.1x认证方式2.1.1协议综述IEEE802.1x称为基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol）。主要是为了解决局域网用户的接入认证问题。H3CEAD安全解决方案实施方案指导书机密第5页作者：fangss5IEEE802.1x协议的体系结构包括三个重要的部分：客户端（SupplicantSystem）、认证系统(AuthenticatorSystem)、认证服务器(AuthenticationServerSystem)。客户端用户通过启动客户端软件发起802.1x协议的认证,EA