无线EAD解决方案

　　1 EAD解决方案技术原理介绍

　　1.1 技术背景

　　网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。

　　为了解决现有网络安全管理中存在的不足，应对网络安全威胁，H3C推出了终端准入控制(EAD，End user Admission Domination)解决方案。该方案从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、桌面管理产品的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。

　　EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。

　　EAD还引入了资产管理、软件分发、USB监控等功能，提供了企业内网PC集中管理运维的方案，以高效率的管理手段和措施，协助企业IT部门及时盘点内网资产、掌控内网资产变更情况。

　　1.2 EAD方案介绍

　　EAD终端准入控制方案包括两个重要功能：安全防护和安全监控。安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全;安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。

　　目前EAD还引入的资产管理、软件分发、USB监控等功能，与之前的准入防御功能并没有交叉，下面分别介绍EAD解决方案的端点准入防御，资产管理，软件分发等功能。

　　1.2.1 EAD端点准入防御方案介绍

　　图1 EAD解决方案端点准入防御应用模型图

　　l 身份验证：用户终端接入网络时，首先进行用户身份认证，非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x，Portal认证。

　　l 安全检查：身份认证通过后进行终端安全检查，由EAD安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装、系统服务、注册表、是否登录密码为弱密码等)是否合格。

　　l 安全隔离：不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。

　　l 安全修复：进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作，直到安全状态合格。

　　l 动态授权：如果用户身份验证、安全检查都通过，则EAD安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备，由安全联动设备实现按用户身份的权限控制。

　　l 实时监控：在用户网络使用过程中，安全客户端根据安全策略服务器下发的监控策略，实时监控用户终端的安全状态，一旦发现用户终端安全状态不符合企业安全策略，则向EAD安全策略服务器上报安全事件，由EAD安全策略服务器按照预定义的安全策略，采取相应的控制措施，比如通知安全联动设备隔离用户。

　　图2 EAD安全准入流程图

　　1.2.2 EAD端点准入防御方案特点

　　安全状态评估

　　Ø 终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统(Windows 2000/XP/2003等，不包括Windows 98)等符合微软补丁规范的热补丁。

　　Ø 安全客户端版本检测：可以检测安全客户端iNode Client的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。

　　Ø 安全状态定时评估：安全客户端可以定时检测用户安全状态，防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。

　　Ø 自动补丁管理：提供与微软WSUS/SMS(全称：Windows Server Update Services/System Management Server)协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。

　　Ø 终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。

　　Ø 防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后，EAD定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。

　　联动方式目前包括强联动和弱联动，强联动需要防病毒软件厂商提供联动插件，iNode客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱联动不需要防病毒厂商提供联动插件，iNode客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有：瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有：诺顿、趋势、McAfee 、安博士、CA安全甲胄、VRV、卡巴斯基等。

　　Ø ARP防火墙：iNode客户端将截获用户的ARP报文，并且根据如下原则判断是否是非法ARP报文：

　　n 发出的ARP报文必须满足：

　　①以太网源地址=发送端以太网地址=本机发包网卡的MAC地址

　　②发送端IP地址=本机发包网卡的IP地址

　　③在满足上面两条的前提下判断是否是ARP请求报文，如果是请求报文必须满足是广播报文。

　　n 接收的ARP报文必须满足：

　　①以太网源地址=发送端以太网地址。

　　如果iNode发现报文为非法ARP报文，那么将会对报文做丢弃处理。

　　用户权限管理

　　Ø 强身份认证：在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。

　　Ø “危险”用户隔离：对于安全状态评估不合格的用户，可以限制其访问权限(通过ACL隔离)，使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。

　　Ø “危险”用户在线隔离：用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒)，EAD可以在线隔离并通知用户。

　　Ø 软件安装和运行检测：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。

　　Ø 支持匿名认证：iNode客户端与EAD安全策略服务器配合提供用户匿名认证功能，用户不需要输入用户名、密码即可完成身份认证和安全认证。

　　Ø 接入时间、区域控制：可以限制用户只能在允许的时间和地点(接入设备和端口)上网。

　　Ø 限制终端用户使用多网卡和拨号网络：防止用户终端成为内外网互访的桥梁，避免因此可能造成的信息安全问题。

　　Ø 代理限制：可以限制用户使用和设置代理服务器。

　　用户行为监控

　　Ø 终端强制或提醒修复：强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级，病毒库升级，补丁安装;目前只支持手工方式(金山的客户端可以与系统中心做自动升级)。

　　Ø 安全状态监控：定时监控终端用户的安全状态，发现感染病毒后根据安全策略可将其限制到隔离区。

　　Ø 安全日志审计：定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。

　　Ø 强制用户下线：管理员可以强制行为“可疑”的用户下线。

　　1.2.3 桌面资产管理方案介绍

　　EAD解决方案不仅能够对用户的端点准入安全进行管理，而且能够对用户网络中的资产进行管理和控制，其基本的功能包括：资产管理、软件分发。

　　桌面资产管理应用模型如下：

　　图3 桌面资产管理应用模型

　　桌面资产管理的应用流程如下图所示：

　　图4 桌面资产管理工作流程

　　身份验证及安全认证：EAD的桌面资产管理功能是与EAD的端点准入功能紧密结合的：在安全认证成功之后，服务器将DAM服务器的地址和端口下发给DAM客户端。作为另外一种选择，DAM服务器的地址和端口，也可以采用iNode客户端管理中心定制指定。

　　资产上线：资产上线分成几种情况：

　　1、已管理资产的上线：服务器根据客户端上传的资产编号找到资产记录即回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

　　2、客户端注册方式的新资产(该资产由管理员增加)上线：服务端要求客户端输入资产编号，客户端提交后，服务端根据资产编号找到资产信息，发给客户端确认，确认后服务端将该资产置为已管理状态，回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

　　3、服务器自动生成新资产方式的上线：服务端根据客户端上传的资产指纹信息生成新资产编号;客户端弹出资产信息录入界面并由用户录入，之后上传给服务端，服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

　　4、重装操作系统之后的客户端上线：服务端根据客户端传递过来的指纹信息找到已有的资产记录，之后回应资产信息给客户端;客户端用户确认服务器返回的资产信息与自己的资产相匹配，之后，客户端发送确认报文给服务端;服务端确认后将正在上线的资产与自身已有记录关联起来;服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

　　5、安装了多操作系统的资产上线：用户启动一个操作系统并上线成功后，在另一个操作系统下又发起上线请求;服务端发现多操作系统情况，将只允许最后安装的操作系统的客户端可以上线;服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端。

　　资产信息上报：客户端获取本地资产信息，保存到本地，并上报给服务端;客户端定期会扫描本地资产信息，如发现有变更，更新本地保存的资产文件，同时将资产变更信息上报给服务端。

　　USB使用信息上报：客户端实时监测USB插入情况，如果有USB插入、向USB中写入文件、或者拔出USB，都会写入文件，客户端定期上报USB使用信息给服务端。

　　软件分发：服务端为资产创建分发任务，客户端向服务端请求资产策略，服务端回应同时，将分发任务下达给客户端，客户端连接到分发服务器进行软件下载，下载到本地之后可由用户自行安装，也可以自动安装。

　　1.2.4 桌面资产管理功能特点

　　终端资产管理

　　ü 基于用户的资产管理：资产与认证用户相结合，支持直接查询某个用户资产状况，也可以基于资产信息找到对应的用户，方便管理员的管理。

　　ü 资产编号处理：可自动/手工生成资产编号，为资产分配责任人或自动关联责任人。可对资产信息进行查询和手工扫描。对资产信息上报的策略可以进行自定义。

　　ü 支持资产信息的增删改：管理员可以增加、删除、修改资产信息。

　　ü 支持资产分组管理：对资产通过分组统一管理，默认放置于缺省分组中。分组支持嵌套，支持分组间的资产转移，方便管理。

　　ü 资产信息审计：可对软硬件资产进行查询，支持按CPU、制造商、型号、操作系统等统计资产，便于管理员分类进行企业资产盘点。

　　ü 资产变更审计：可针对资产变更信息进行审计，审计内容包含资产名、编号、变更类型、变更内容、资产责任人、变更时间等，便于管理员及时掌握企业资产变动情况。

　　ü 支持USB使用审计：支持USB插拔及使用的审计，审计内容包括插拔时间、资产名、文件名、文件大小、操作时间等，便于企业安全审计。

　　ü 支持USB等外设使用控制：支持对USB、软驱、光驱、Modem、串口、并口、1394、红外、蓝牙等外设使用的控制。

　　软件分发

　　ü 分发任务管理：支持软件分发任务的增加，修改，查询和删除以及关闭功能;可以按资产分组、选中单个或者多个资产进行资产批量分发，可以自定义分发操作的时间，支持HTTP，FTP和文件共享三种方式的分发服务器的参数配置功能。

　　ü 软件分发查询：支持按照资产查询软件分发历史，支持按照分发任务查询每个资产的软件分发状态。

　　ü 软件分发：支持HTTP、FTP和文件共享等三种协议的软件分发，软件分发给终端之后，安装的方式可以根据管理员指定好的策略进行静默安装或者普通安装。也可支持按资产分组、资产进行批量方式的软件分发。

　　2 无线EAD解决方案介绍

　　无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上，非授权或者非安全的客户一旦接入网络后，将会直接面对企业的核心服务器，威胁企业的核心业务，因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。 在无线网络中，结合使用EAD解决方案，可以有效的满足园区网的无线安全准入的需求。

　　2.1 无线EAD解决方案典型组网-Portal认证方式

　　图5 无线EAD典型组网-Portal方式(使用独立无线控制器)

　　图6 无线EAD解决方案典型组网-Portal方式(使用无线控制器插卡)

　　2.1.1 组网特点介绍

　　1. FIT AP与无线控制器之间的连接可以使用二层连接，也可以使用三层连接。

　　2. 用户接入时需要使用Windows客户端接入无线网络，然后使用iNode进行Portal接入。

　　3. Portal接入控制方式使用二层Portal(汇聚交换机作为客户端网关)。

　　4. 在组网中，用户IP地址不发生变化的情况下，可以在AP之间漫游。

　　5. 基于用户身份的控制信息在AC上下发。

　　2.1.2 无线用户认证流程

　　图7 无线用户认证流程-Portal认证方式

　　1. 无线用户接入企业网络，根据实际需要对无线链路的保护可以使用WPA-PSK，WPA2-PSK等多种方式。

　　2. 在客户端的报文发送到无线控制器后，解开LWAPP封装，并对客户端进行HTTP重定向。

　　3. 在无线控制器与iMC之间交互RADIUS报文，对接入用户进行身份认证。

　　4. 当Portal认证完成后，iMC向AC下发用户权限控制策略。此时用户被隔离在隔离区，等待安全认证。

　　5. iMC通知客户端身份认证成功，进行安全认证。

　　6. 客户端进行安全认证。

　　7. 通过安全认证后，对用户下发基于用户身份的安全控制策略。

　　2.1.3 无线EAD典型组网实施效果

　　1.在无线控制器上进行Portal认证，在无线用户通过身份认证之前，只能访问无线控制上指定的资源。

　　2.合法用户接入网络后，其访问权限受在无线控制器上下发的基于用户的ACL控制。特定的服务器只能由被授权的用户访问。

　　3.用户正常接入网络前，必须通过安全客户端的安全检查，确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。

　　4.通过使用iNode客户端，可对用户的终端使用行为进行严格管理，比如禁止设置代理服务器、禁用双网卡等。

　　5.如果在相同AC的AP间漫游时用户IP未发生变化，则无需再次进行用户身份认证。

　　2.1.4 无线EAD典型组网中涉及的设备

　　在网络中部署无线EAD的典型组网，需要配置如下设备：

　　n 无线控制器：

　　H3C WX3024

　　H3C WX5002

　　H3C WX6103，H3C LSQM1WCMB0，H3C LSBM1WCM2A0

　　n AP：

　　H3C WA2110-AG

　　H3C WA2210-AG

　　H3C WA2220-AG

　　H3C WA1208E

　　n 策略服务器：

　　H3C iMC/CAMS

　　n 认证客户端：

　　H3C iNode