一、EAD的特性介绍
作为一种结合企业网络现有架构,为企业量身定做的AC+Fit AP的无线局域网端点准入方案可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力,同时在目前主流认证方式的基础上结合客户需求独家扩展Portal认证条件,使网络安全性大大增加。H3C的AC+Fit AP的无线局域网端点准入防御方案具有以下特点:(1) 在支持802.1x和Portal基本认证基础上,为企业网客户实际应用扩展Portal认证条件:客户实际应用中只有通过IE才可以激活Portal认证,扩展Portal激活条件规定只要出现TCP/UDP报文就可以激活Portal认证,例如客户不一定启动IE,有FTP等流量经过端口既可以激活认证。双因素决定客户安全和权限,在原有的基础上增加对客户身份认证之后,在决定客户的访问权限。这样操作可以使不同的客户具备不同的权限,访问不同的网络资源,IT资源细化分层。
(2) 整合防病毒与网络接入控制,大幅提高安全性,EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。
(3) 全面隔离“危险”终端,可以配合设备采用ACL隔离的方式,以到达物理或网络隔离的效果,实现对“危险”终端的全面隔离。
(4) 详细的安全事件日志与审计。
(5) 专业防病毒厂商的合作,通过EAD的联动,防病毒软件的价值得到提升,从单点防御转化为整体防御。
二、EAD的应用场合
EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,配合H3C的AC+Fit AP的无线局域网,实现对企业网络入口安全保护。EAD可以为以下应用场景提供安全防护解决方案:
大型企业往往拥有分支或下属机构,分支机构可以通过专线或WAN连接企业总部,某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在企业入口路由器或BAS中实施EAD准入认证,强制接入用户进行Portal认证和安全状态检查,以达到企业网络入口安全防护的目的。
在配置过程中,请注意以下几点:
》接入设备上服务器端口配置正确。
》相关AAA配置正确。
三、组网图
四、配置步骤
配置AC
1. 主要配置步骤
在dot1x接入端配置802.1x和认证。
(1) 启用port-security,配置dot1x认证方式为chap
[AC]port-security enable
[AC]dot1x authentication-method chap
(2) 配置认证策略
[AC]radius scheme cams
[AC-radius-cams]server-type extended
[AC-radius-cams]primary authentication 8.1.1.4
[AC-radius-cams]primary accounting 8.1.1.4
[AC-radius-cams]key authentication h3c
[AC-radius-cams]key accounting h3c
[AC-radius-cams]security-policy-server 8.1.1.1
[AC-radius-cams]security-policy-server 8.1.1.4
[AC-radius-cams]timer realtime-accounting 3
[AC-radius-cams]user-name-format without-domain
[AC-radius-cams]undo stop-accounting-buffer enable
[AC-radius-cams]accounting-on enable
(3) 配置认证域CAMS,并把它设置为系统缺省域
[AC-radius-cams]domain cams
[AC-isp-cams]authentication default radius-scheme cams
[AC-isp-cams]authorization default radius-scheme cams
[AC-isp-cams]accounting default radius-scheme cams
[AC-isp-cams]domain default enable cams
[AC-isp-cams]quit
(4) 配置下发的ACL
[AC]acl number 3000
[AC-acl-adv-3000]rule permit ip
[AC-acl-adv-3000]acl number 3001
[AC-acl-adv-3001]rule permit udp
[AC-acl-adv-3001]rule deny tcp
[AC-acl-adv-3001]quit
(5) 配置射频策略
[AC]wlan radio-policy rp
[AC-wlan-rp-rp]beacon-interval 500
[AC-wlan-rp-rp]quit
(6) 配置无线服务模板
[AC]interface WLAN-ESS1
[AC-WLAN-ESS1]port-security port-mode userlogin-secure
[AC-WLAN-ESS1]wlan service-template 1 clear
[AC-wlan-st-1]ssid h3c-clear
[AC-wlan-st-1]bind WLAN-ESS 1
[AC-wlan-st-1]authentication-method open-system
[AC-wlan-st-1]service-template enable
[AC-wlan-st-1]quit
(7) 配置AP
[AC]wlan ap ap3 model WA2100
[AC-wlan-ap-ap3]serial-id Rock
[AC-wlan-ap-ap3]radio 1 type 11g
[AC-wlan-ap-ap3-radio-1]radio-policy rp
[AC-wlan-ap-ap3-radio-1]service-template 1
[AC-wlan-ap-ap3-radio-1]radio enable
(8) 配置VLAN接口及缺省路由
[AC-wlan-ap-ap3-radio-1]interface Vlan-interface1
[AC-Vlan-interface1]ip address 192.168.1.50 255.255.255.0
[AC-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
[AC-Vlan-interface1]quit
2. 配置信息
如果你需要配置信息,你可以下载:
配置CAMS
CAMS版本:2.10 试用版(CAMS 详细版本号:2.10-R0209)
在CAMS上配置dot1x认证项:
1. 系统配置
2. 配置安全策略
3. 配置计费策略
4. 配置服务策略
5. 配置帐号用户
6. iNode客户端配置
