- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
07-H3C EAD 安全检查典型配置举例-整本手册.pdf (2.95 MB)
H3C EAD安全检查
典型配置举例
资料版本:5W104-20230511
产品版本:EAD (E6204)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
EAD(Endpoint Admission Defense,终端准入控制)是集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理解决方案。主要作用是确保接入用户(包括其使用的终端)不存在安全隐患,以免对接入网络构成威胁。
本案例将介绍用户身份认证通过之后进行安全认证,确保接入网络的用户及终端满足安全策略规定的指标。
适用于需要为接入用户提供安全策略服务的企业网或校园网。
用户终端、接入设备、EIA/EAD服务器之间路由可达,使用iNode客户端进行身份验证(以802.1x认证为例,接入设备需支持802.1X协议)。
安全策略服务可以由一种或多种策略构成,用户可以根据需要进行取舍。本案例涉及安全检查策略如下:
· URL访问控制策略:URL访问控制策略可以通过安全策略下发给iNode客户端。iNode客户端根据策略,允许或禁止终端用户访问URL的行为。本案例禁止用户访问包含IP为172.10.25.64的URL。
· PC可控软件组策略:PC可控软件组定义了需要检测的软件/进程/服务/文件,并依据安全级别对违规行为进行处理。本案例以要求用户必须运行AccChecker、不能运行chrome为例。
· 防病毒软件策略:防病毒软件策略管理可以对智能管理中心支持的多种防病毒软件进行集中管理,提供了检查和限制杀毒引擎、病毒库版本等功能。本案例以检查防病毒软件是否安装为例进行介绍。
某公司计划在接入用户身份验证基础上进行安全认证。组网如图2所示。
部署EAD时依赖EIA组件,所以需要先部署EIA再部署EAD。
· EIA&EAD服务器IP地址为192.168.0.87。查看方式如下:
· 在集群部署环境中,会涉及EIA/EAD服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA/EAD服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA/EAD服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA/EAD服务器的IP地址,如图1所示。
图1 查看EIA/EAD服务器IP地址
· 接入设备IP地址为192.168.30.50。
· PC安装了Windows操作系统,并安装iNode客户端。
要为接入用户提供安全策略服务,在接入用户申请的接入服务中关联需要的安全策略即可。
配置步骤包括对EIA/EAD服务器、接入设备的配置,配置步骤如下:
· 配置EAD服务器
¡ 配置检查项
¡ 配置安全级别
¡ 配置安全策略
· 配置EIA服务器
¡ 配置接入策略
¡ 增加接入服务应用安全策略
¡ 增加接入用户并为接入用户申请服务
¡ 增加接入设备
· 配置接入设备
安全策略检查项的可选配置项如下,该步骤中可按需选择配置下述一个或多个配置项:
· URL访问控制
· PC可控软件组
· 防病毒软件检查
域名/IP地址URL分类管理功能用于定义域名/IP地址URL分类。可以在“URL访问控制策略”的域名/IP地址URL分类列表中增加已定义的域名/IP地址URL分类,并设置允许或拒绝访问能与该URL分类中的规则匹配的URL。
配置URL访问控制策略检查项的方法如下:
(1) 增加URL分类
URL分类包括IP地址URL分类和域名URL分类,根据实际需求增加一种或两种URL分类,本文档以增加IP地址URL分类为例进行介绍,步骤如下:
a. 选择“自动化”页签。单击左导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,进入配置检查项页面。切换至“访问控制 > IP地址URL分类”页签(若需增加域名URL分类,此处切换至“域名URL分类”页签即可),进入IP地址URL分类管理页面。
b. 单击<增加>按钮,进入增加IP地址URL分类页面,输入IP地址URL分类名称,如图3所示。
图3 增加IP地址URL分类
c. 单击“IP地址URL规则信息”区域的<增加>按钮,在弹出的增加IP地址URL规则窗口中输入IP地址段,如图4所示。
图4 增加IP地址URL规则
d. 单击<确定>按钮,完成增加IP地址URL规则操作。单击<确定>按钮,完成配置,如图5所示。
图5 IP地址URL分类配置完成
(2) 增加URL访问控制策略
a. 选择“自动化”页签。单击左导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,进入配置检查项页面。切换至“访问控制 > URL访问控制策略”页签,进入URL访问控制策略页面。
b. 单击<增加>按钮,进入增加URL访问控制策略页面,如图6所示。
图6 增加URL访问控制策略
配置参数如下:
- URL访问控制策略名称:输入URL访问控制策略名称。
- IP地址URL默认动作:选择IP地址URL默认动作。拒绝表示终端用户访问的URL无法与IP地址URL分类列表中的任一分类中的规则匹配时,访问将被拒绝;允许则表示可以访问。
c. 单击“IP地址URL分类信息”区域的<增加>按钮,在弹出的对话框中输入IP地址分类名称及动作,本文档以选择“拒绝”为例进行介绍,如图7所示。
图7 增加IP地址URL分类
d. 单击<确定>按钮,完成增加IP地址URL分类操作。单击<确定>按钮,完成配置,如图8所示。
图8 URL访问控制策略配置完成
(3) URL访问控制策略检查项配置完毕,若无需增加其他检查项,请跳转到3.2.3 增加安全策略。
PC可控软件组定义了需要检测的软件/进程/服务/文件。对软件/进程/服务/文件具体检测的内容如下:
· 软件:检测软件的安装情况。
· 进程:检测进程的运行情况。
· 服务:检测服务的启动情况。
· 文件:检测文件是否存在。
本文档以增加白软件组AccChecker为例进行介绍,步骤如下:
a. 选择“自动化”页签。单击左导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,切换至“PC可控软件”页签,进入PC可控软件页面,如图9所示。
图9 MD5工具下载
b. 单击页面右上角的“MD5工具”链接,将MD5工具下载到本地。鼠标双击打开MD5工具,弹出文件MD5摘要计算器界面,如图10所示。
图10 文件MD5摘要计算器
c. 单击<请选择可执行文件>按钮,选择要检查的进程文件名称。选择完成后,单击<计算MD5摘要>,进行MD5摘要计算,计算完成后,单击<复制>按钮,将MD5摘要进行保存,如图11所示。
(2) 增加可控软件组
a. 选择“自动化”页签。单击左导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,切换至“PC可控软件”页签,进入PC可控软件页面。
b. 单击<增加>按钮,进入增加PC可控软件组页面,如图12所示。
图12 增加PC可控软件组
配置参数如下:
- 组名称:输入新增的PC可控软件组名称。
- 类型:选择新增的PC可控软件组类型,包括软件、进程、服务和文件。本案例以“进程”为例。
- 不合格缺省处理方式:新增的PC可控软件组在安全级别中的不合格缺省处理方式。在增加安全级别且检查PC可控软件组不使用整体安全模式时,该PC可控软件组的不合格缺省处理方式即为此处配置的安全模式。整体安全模式在“自动化 > 终端业务 > 终端安全管理 > 准入安全级别”中配置。当配置了整体安全模式后,整体安全模式比不合格缺省处理方式的优先级高。
- 其他参数保持缺省值。
c. 增加进程信息的方式有增加单个进程信息及批量导入进程信息两种方式,本文档以增加单条进程信息为例进行介绍。
单击“进程信息”区域的<增加>按钮,进入增加进程页面,如图13所示。
配置参数如下:
- 进程名称:输入进程名称。
- 操作系统:选择用户终端的操作系统,以Windows为例。
- 检查类型:选择检查类型。以选择“MD5检查”为例。
- MD5摘要:将3.2.1 2. (1)计算MD5摘要步骤中复制的MD5摘要粘贴到该输入框中。
- 其他参数保持默认即可。
d. 单击<确定>按钮,完成PC可控软件组增加操作。单击<确定>按钮,完成配置,如图14所示。
图14 PC可控软件配置完成
白软件组AccChecker增加完成,重复上述步骤增加黑软件组chrome,此处不再赘述。
· MD5检查是一种高级的进程检查方式。管理员计算软件的MD5摘要(推荐使用EAD自带的计算工具计算MD5摘要)并通过EAD服务器将摘要下发给iNode客户端,iNode客户端根据服务器下发的MD5摘要检查终端用户是否运行了摘要对应的软件。
· 对必须运行的某个进程执行MD5检查的规则:在Windows任务管理器中匹配该进程对应的进程名称,匹配EAD服务器中配置的该进程对应的MD5码。如果两者都匹配,安全检查合格;否则安全检查不合格。案例中的白软件组属于此类。
· 对禁止运行的某个进程执行MD5检查的规则:在Windows任务管理器中匹配该进程对应的进程名称,匹配EAD服务器中配置的该进程对应的MD5码。只要两者有一个匹配,安全检查就不合格;反之安全检查合格。案例中的黑软件组属于此类。
· 进程的复杂检查和MD5检查方式只适用于Windows操作系统,Linux和Mac OS不支持。
(3) PC可控软件组检查项配置完毕,若无需增加其他检查项,请跳转到3.2.2 配置安全级别。
配置防病毒策略检查项的方法如下:
(1) 选择“自动化”页签,单击左导航树中的“终端业务 > 终端安全管理 > 配置检查项”菜单项,切换至“PC安全软件 > 防病毒软件策略管理”页签,进入防病毒软件策略管理页面。
(2) 单击<增加>按钮,进入增加防病毒软件策略页面,如图15所示。
(3) 输入策略名称,按需选择“基本信息”下方区域的防病毒软件,本文档以Windows操作系统金山毒霸防病毒软件为例进行介绍,勾选列表中“金山毒霸”项对应的“检查”复选框,如图16所示。
(4) 若需检查防病毒软件的版本等信息可单击修改图标
,弹出金山毒霸杀毒引擎和病毒库配置窗口,如图17所示。按需进行配置,具体配置方法请参考表1。
图17 配置金山毒霸
|
检查方法 |
版本检查方式 |
参数配置 |
|
日期格式 |
指定版本 |
选择杀毒引擎或病毒库的最低版本,格式为YYYY-MM-DD。早于该日期的版本均为不合格。 |
|
自适应 |
配置自适应天数。用户必须在距当前时间的天数内更新过杀毒引擎版本或病毒版本。 |
|
|
点分格式 |
指定版本 |
输入杀毒引擎或病毒库的最低版本,一般格式为X.X.X.X,每款杀毒软件略有不同。小于该字串的版本均为不合格。 |
|
日期或点分格式 |
同时配置日期格式和点分格式。检查病毒库版本时,如果能获取日期格式的病毒库版本,则判断日期格式是否合格;如果无法获取日期格式,则判断点分格式是否合格。 |
|
(5) 单击<确定>按钮,完成防病毒软件设置操作。单击<确定>按钮,完成配置,如图18所示。
(6) 防病毒软件策略检查项配置完毕,若无需增加其他检查项,请跳转到3.2.2 配置安全级别。
配置安全级别,即定义当各个检查项不符合安全策略要求时的处理方式。处理方式包括:下线、隔离、监控、提醒。下面介绍如下检查项的安全级别配置方法:
· 可控软件组
· 防病毒软件策略
其他控制策略不需要单独配置安全级别。具体配置方法如下:
(1) 选择“自动化”页签。单击左导航树中的“终端业务 > 终端安全管理 > 准入安全级别”菜单项,进入安全级别管理页面,如图19所示。
(2) 单击<增加>按钮,进入增加安全级别页面。配置“基本信息”区域参数,如图20所示。
参数说明:
¡ 安全级别名:输入安全级别名称。
¡ 不安全提示阈值:安全级别中所设置的最高级别为隔离和下线时,才能够设置此参数。当它的值不为0或空时,若用户安全认证不通过,系统会提醒用户在阈值规定时间内解决安全隐患;在阈值时间到达后,若用户的安全隐患仍未解决,则系统会让用户隔离或下线。在阈值规定时间内,用户可以正常访问网络。当它的值为0或空时,若用户安全认证不通过,则被立即隔离或强制下线。
¡ 其他参数保持缺省值。
(3) 配置“检查防病毒软件”区域的安全级别,本文档均设置为“隔离”模式。如图21所示。
(4) 配置“检查可控软件组”区域的可控软件组安全模式,方式有如下两种:
¡ 勾选“整体安全模式”项,并在下拉框中选择相应的安全模式,所有的可控软件组将采用相同的安全模式。
¡ 单击“逐条配置”链接,为每个可控软件组设置不同的安全模式。
本文档分别为黑软件组(chrome.exe)和白软件组(AccChecker.exe)设置为“下线”和“隔离”模式,如图22所示。
(5) 其他参数保持默认即可,单击<确定>按钮,完成配置,如图23所示。
安全策略是各种检查策略和监控策略的集合。在增加安全策略时,配置需要的策略即可。具体方法如下:
(1) 选择“自动化”页签。单击左导航树中的“终端业务 > 终端安全管理 > 准入安全策略”菜单项,进入安全策略管理页面。单击<增加>按钮,进入增加安全策略页面。
(2) 配置“基本信息”区域参数,如图24所示。
参数说明如下:
¡ 安全策略名:输入安全策略名称。
¡ 安全级别:选择上一步配置的安全级别。如果没有单独配置安全级别,根据需要选择系统定义的安全级别即可。
¡ 进行实时监控:根据需要选择是否进行实时监控。案例中支持实时监控的检查项包括:PC可控软件组、防病毒软件检查。
- 处理前等待时间:勾选实时监控后,需要输入处理前等待时间。如果输入0,则表示立刻进行隔离或者下线。
¡ 其他基本信息保持缺省值。
(3) 若应用的处理方式中包含“隔离”模式,请配置隔离方式,如图25所示:
参数说明如下:
¡ 配置隔离方式:勾选该复选框。
- 选择隔离方式:选择“向设备下发ACL”、“向客户端下发ACL”或者“下发VLAN”。本案例以“向设备下发ACL”、安全ACL配置为3021、隔离ACL配置为3020为例,下发时仅下发ACL号,ACL规则需要在设备上配置。
(4) 配置“PC”区域的URL访问控制策略,如图26所示:
图26 URL访问控制策略
参数说明如下:
¡ 启用URL访问控制策略:勾选该复选框,启用URL访问控制策略。
- URL访问控制策略:选择需要的URL访问控制策略名称。
- 检查hosts文件:检查用户所使用终端上的hosts文件配置项。如果配置项中存在列表中没有的IP地址,则iNode客户端强制用户下线。根据需要选择是否勾选该复选框。如果需要检查hosts文件,请在文本框中输入需要检查的IPv4地址。
(5) 配置防病毒软件策略,如图27所示:
参数说明如下:
¡ 检查防病毒软件:勾选该复选框,启用防病毒安全检查策略。
- 防病毒软件策略:选择需要的防病毒软件策略。
- 服务器地址:输入防病毒软件服务器IP地址。如果用户上网过程中防病毒软件检查不符合要求,在服务器配置了“服务器地址”后,iNode客户端将会提示用户访问该服务器来修复。
- 防病毒软件检查不合格提示:输入不合格提示信息。
(6) 配置“PC区域”的可控软件组。具体配置过程如下,结果如图28所示。
a. 启用“检查可控软件组”项,单击“逐条配置”链接,弹出可控软件对话框。
b. 单击列表中需增加的可控软件组对应的“检查类型”列,在弹出的下拉框中,选择“禁止运行”或“必须运行”。
c. 选择完成后,勾选该项,单击<确定>按钮,完成配置。
参数说明如下:
¡ 检查可控软件组:勾选该复选框,启用检查可控软件组安全策略。
- 可控软件组列表:勾选需要的可控软件组,并选择“必须运行”或者“禁止运行”。
- 服务器地址:输入EAD服务器IP地址。如果用户上网过程中所使用的可控软件不符合要求,在服务器配置了“服务器地址”后,iNode将会提示用户访问该服务器来修复。
- PC可控软件组检查不合格提示:输入不合格提示信息。
(7) 其他安全策略配置项保持缺省值即可。单击<确定>按钮,完成配置。
(1) 选择“自动化”页签,单击左航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。切换至“接入策略”页签,进入接入策略页面。
(2) 单击<增加>按钮,进入增加接入策略页面。由于不进行任何接入控制,此处只需输入接入策略名,其他参数保持默认即可,如图29_Ref370562182所示。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,完成接入策略配置。
(1) 选择“自动化”页签。单击左导航树中的“用户业务 > 接入服务”菜单项,进入接入服务管理页面。
(2) 单击<增加>按钮,进入增加接入服务页面,如图30所示。
参数说明如下:
¡ 服务名:输入服务名称。
¡ 服务后缀:输入服务后缀。EIA和设备配合对接入用户进行认证时,两者的配置必须符合表2的约束关系,本案例采用第一种组合。
¡ 缺省接入策略:选择3.2.4 配置接入策略中配置的接入策略。
¡ 缺省安全策略:选择3.2.3 增加安全策略中配置的安全策略,表示使用该接入服务的用户将使用此安全策略。
¡ 其他参数保持缺省值。
|
登录名 |
设备用于认证的Domain |
设备配置的相关命令 |
iMC中设备管理用户的账号名 |
|
X@Y |
Y |
With-domain |
X@Y |
|
Without-domain |
X |
||
|
X |
[Default Domain](缺省域) |
With-domain |
X@[Default Domain] |
|
Without-domain |
X |
(3) 单击<确定>按钮,完成接入服务配置。
(1) 选择“自动化”页签。单击左导航树中的“用户业务 > 接入用户”菜单项,进入接入用户页面。
(2) 单击<增加>按钮,进入增加接入用户页面。如图31所示。
参数说明如下:
¡ 用户姓名:接入用户的用户姓名。
¡ 账号名:输入用户进行认证的帐号,在EIA中唯一。
¡ 密码:输入用户进行认证的密码。
¡ 确认密码:再次输入用户进行认证的密码。
¡ 接入服务:在接入服务列表中勾选3.2.5 增加接入服务应用安全策略中配置的接入服务。
¡ 其他参数保持缺省值。
(3) 单击<确定>按钮,完成接入用户配置。
(1) 选择“自动化”页签,单击左导航树中的“用户业务 > 接入服务>”菜单项,进入接入服务页面。切换至“接入设备 > 接入设备配置”页签,进入接入设备配置页面。
(2) 单击<增加>按钮,进入增加接入设备页面,如图32所示。
参数说明如下:
¡ 认证端口:输入认证端口,默认为1812。
¡ 计费端口:输入计费端口,默认为1813。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果将[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。本例的密钥设置为123。
¡ 其他参数保持默认。
(3) 单击“设备列表”区域的<增加IPv4设备>按钮,在弹出的对话框中输入起始IP地址(即接入设备IP地址)并确定。如图33所示。
(4) 单击<确定>按钮,保存配置,如图34所示。
图34 增加IPv4设备完成
(5) 单击<确定>按钮,完成增加接入设备操作。
配置用户登录时完成身份验证、安全认证的服务器,以及简单的ACL控制策略。这里将EIA/EAD服务器指定为AAA服务器和安全检查服务器。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体方法如下:
(1) 以Telnet方式登录接入设备,并进入系统视图。
(2) 配置RADIUS scheme。IP地址指向EIA/EAD服务器,监听端口、共享密钥需与3.2.7 增加接入设备中的配置保持一致。
[Device]radius scheme 390
New Radius scheme
[Device-radius-390]primary authentication 192.168.0.87 1812
[Device-radius-390]primary accounting 192.168.0.87 1813
[Device-radius-390]key authentication 123
[Device-radius-390]key accounting 123
[Device-radius-390]nas-ip 192.168.30.50
[Device-radius-390]user-name-format with-domain
[Device-radius-390]quit
(3) 创建domain,设置用户登录设备时都要经过RADIUS方案的认证/授权/计费。EIA/EAD服务器和设备配合对接入用户进行认证时,两者的配置必须符合表2的约束关系。
[Device]domain wh
New Domain added
[Device-isp-wh]authentication lan-access radius-scheme 390
[Device-isp-wh]authorization lan-access radius-scheme 390
[Device-isp-wh]accounting lan-access radius-scheme 390
[Device-isp-wh]quit
(4) 配置802.1X。在全局和接口上使能802.1X认证,才能开启接口的认证功能。
[Device]dot1x
802.1x is enabled globally
[Device]dot1x interface Ethernet 1/0/3
802.1x is enabled on port Ethernet1/0/3
(5) 创建ACL,请根据安全策略中配置的隔离方式创建对应的ACL。不安全ACL 3020只允许用户访问有限资源,安全ACL 3021不做限制。
[Device]acl number 3020
[Device-acl-adv-3020]rule 1 permit ip destination 192.168.0.87 0
[Device-acl-adv-3020]rule 2 deny ip
[Device-acl-adv-3020]quit
[Device]acl number 3021
[Device-acl-adv-3021]rule 1 permit ip
[Device-acl-adv-3021]quit
下面分别介绍案例中涉及的安全策略不合规时的验证结果。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
在802.1X认证界面输入帐号和密码,单击<连接>按钮进行认证。通过身份认证和安全认证后,在界面上会显示身份认证和安全认证的状态,如图35所示。
(1) 在IE浏览器中输入不允许访问的URL。此URL包含在URL访问控制策略禁止访问的IP地址URL分类中。
(2) 访问URL时失败,iNode客户端弹出提示信息窗口,如图36所示。
(1) 在不运行白软件组软件的前提下,进行802.1X认证。身份验证成功后,开始安全认证。认证信息区域提示安全认证结果。
(2) 白软件组检查不合格,服务器会根据之前配置的“隔离”模式隔离用户。802.1X客户端图标显示为隔离状态。自动弹出安全检查结果详细信息页面,如图37所示。
(1) 在运行黑软件组软件的前提下,进行802.1X认证。
(2) 身份验证成功后,开始安全认证。认证信息区域提示安全认证结果,如图38所示。
(3) 黑软件组检查不合格,EAD服务器会根据之前配置的“下线”模式强制用户下线。802.1X客户端图标显示为不在线状态。
(1) 没有安装要求的防病毒软件,身份验证成功后,开始安全认证。认证信息区域提示安全认证不成功的结果,如图39所示。
(2) 防病毒软件检查不合格,服务器会根据之前配置的“隔离”模式隔离用户。
隔离ACL 3020只允许用户访问有限资源,安全ACL 3021不做限制,如下图所示。
图40 安全ACL 3021
图41 查看安全ACL
图42 隔离ACL 3020
图43 查看隔离ACL
支持
