- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-iMC EAD安全检查典型配置举例
本章节下载: 01-iMC EAD安全检查典型配置举例 (1.08 MB)
iMC EAD安全检查
典型配置举例
资料版本:5W100-20160718
|
Copyright © 2014 ,2016杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
EAD(Endpoint Admission Defense,终端准入控制)是集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理解决方案。主要作用是确保接入用户(包括其使用的终端)不存在安全隐患,以免对接入网络构成威胁。
本案例将介绍用户身份认证通过之后进行安全认证,确保接入网络的用户及终端满足安全策略规定的指标。
适用于需要为接入用户提供安全策略服务的企业网或校园网。
用户终端、接入设备、UAM/EAD服务器之间路由可达,使用iNode客户端进行身份验证(以802.1x认证为例,接入设备需支持802.1X协议)。
安全策略服务可以由一种或多种策略构成,用户可以根据需要进行取舍。本案例涉及安全检查策略如下:
· URL访问控制策略:URL访问控制策略可以通过安全策略下发给iNode客户端。iNode客户端根据策略,允许或禁止终端用户访问URL的行为。本案例禁止用户访问包含IP为192.168.0.156和192.168. 0.157的URL。
· PC可控软件组策略:PC可控软件组定义了需要检测的软件/进程/服务/文件,并依据安全级别对违规行为进行处理。本案例以要求用户必须运行AccChecker并且不能运行金山词霸为例。
· 防病毒软件策略:防病毒软件策略管理可以对智能管理中心支持的多种防病毒软件进行集中管理,提供了检查和限制杀毒引擎、病毒库版本等功能。本案例以检查赛门铁克为例。
某公司计划在接入用户身份验证基础上进行安全认证。组网如图1所示。UAM和EAD服务器IP地址为192.168.0.87,接入设备IP地址为192.168.30.50。PC安装了Windows操作系统,并安装iNode客户端。
配置步骤包括对UAM和EAD、接入设备、iNode客户端的配置。
要为接入用户提供安全策略服务,在接入用户申请的接入服务中关联需要的安全策略即可。3.2.1 配置检查项介绍了如下安全策略检查项的配置方法:
· URL访问控制
· PC可控软件组
· 防病毒软件检查
配置URL访问控制策略检查项的方法如下:
(1) 增加URL分类
URL分类包括IP地址URL分类和域名URL分类,根据实际需求增加一种或两种URL分类,这里以增加IP地址URL分类为例:
a. 选择“用户”页签。单击导航树中的“安全策略管理 > 终端访问控制管理 > IP地址URL分类”菜单项,进入IP地址URL分类管理页面。
b. 单击<增加>按钮,进入增加IP地址URL分类页面。如图2所示。
图2 增加IP地址URL分类
c. 配置如下参数:
¡ IP地址URL分类名称:输入IP地址URL分类名称。
¡ IP地址URL规则信息:单击<增加>按钮,在增加IP地址URL规则窗口输入IP地址段的设置并确定。如图3所示。
图3 增加IP地址URL规则
其他参数保持缺省值。
d. 单击<确定>按钮。
(2) 增加URL访问控制策略
a. 选择“用户”页签。单击导航树中的“安全策略管理 > 终端访问控制管理 > URL访问控制策略管理”菜单项,进入URL访问控制策略管理页面。
b. 单击<增加>按钮,进入增加URL访问控制策略页面。如图4所示。
图4 增加URL访问控制策略
c. 配置参数如下:
¡ URL访问控制策略名称:输入URL访问控制策略名称。
¡ IP地址URL默认动作:选择IP地址URL默认动作。拒绝表示终端用户访问的URL无法与IP地址URL分类列表中的任一分类中的规则匹配时,访问将被拒绝;允许则表示可以访问。
¡ IP地址URL分类列表:单击<增加>按钮,在增加IP地址URL分类窗口选择之前配置的IP地址URL分类名称,选择动作并确定。这里以拒绝为例,如图5所示。
图5 增加IP地址URL分类
其他参数保持缺省值。
d. 单击<确定>按钮。
(3) URL访问控制策略检查项配置完毕,如果不需要其他检查项,请跳转到3.2.3 增加安全策略。
配置PC可控软件组安全策略检查项的方法如下:
(1) 计算MD5摘要
从iMC下载MD5工具,计算待控制进程的MD5摘要,方法如下:
a. 选择“用户”页签。单击导航树中的“安全策略管理 > PC可控软件组”菜单项,进入PC可控软件组管理页面。如图6所示。
图6 MD5工具下载
b. 点击MD5工具链接,下载到本地,选择要检查的进程文件名称,进行MD5摘要计算,如图7所示。
图7 计算MD5摘要
(2) 增加可控软件组
这里以增加白软件组AccChecker,增加黑软件组金山词霸为例,具体方法如下:
a. 选择“用户”页签。单击导航树中的“安全策略管理 > PC可控软件组”菜单项,进入PC可控软件组管理页面。
b. 单击<增加>按钮,进入增加PC可控软件组页面。
c. 在基本信息区域配置如下参数:
¡ 组名称:输入新增的PC可控软件组名称。
¡ 类型:选择新增的PC可控软件组类型,包括软件、进程、服务和文件。本案例以“进程”为例。
¡ 不合格缺省处理方式:选择新增的PC可控软件组在安全级别中的不合格缺省处理方式。在增加安全级别且检查PC可控软件组不使用整体安全模式时,该PC可控软件组的不合格缺省处理方式即为此处配置的安全模式。
其他参数保持缺省值,如图8所示。
图8 增加PC可控软件组
d. 在进程信息区域单击<增加>按钮,进入增加进程页面。
e. 如图3-9所示,配置进程信息参数:
¡ 进程名称:输入进程名称。
¡ 操作系统:选择用户终端的操作系统,以Windows为例。
¡ 检查类型:选择检查类型。以选择“MD5检查”为例。
¡ MD5摘要:将计算出的MD5摘要复制到该输入框中。
其他参数保持默认即可。
f. 同样的方法增加黑软件组金山词霸。
· MD5检查是一种高级的进程检查方式。管理员计算软件的MD5摘要(推荐使用iMC自带的计算工具计算MD5摘要)并通过iMC将摘要下发给iNode客户端,iNode客户端根据服务器下发的MD5摘要检查终端用户是否运行了摘要对应的软件。
· 对必须运行的某个进程执行MD5检查的规则:在Windows任务管理器中匹配该进程对应的进程名称,匹配iMC中配置的该进程对应的MD5码。如果两者都匹配,安全检查合格;否则安全检查不合格。案例中的白软件组属于此类。
· 对禁止运行的某个进程执行MD5检查的规则:在Windows任务管理器中匹配该进程对应的进程名称,匹配iMC中配置的该进程对应的MD5码。只要两者有一个匹配,安全检查就不合格;反之安全检查合格。案例中的黑软件组属于此类。
· 进程的复杂检查和MD5检查方式只适用于Windows操作系统,Linux和Mac OS不支持。
(3) PC可控软件组检查项配置完毕,如果不需要其他检查项,请跳转到3.2.2 配置安全级别。
配置防病毒策略检查项的方法如下:
(1) 单击导航树中的“用户 > 安全策略管理 > PC安全软件策略管理 > 防病毒软件策略”菜单项,进入防病毒软件策略管理页面。
(2) 单击<增加>按钮,进入增加防病毒软件策略页面,如图10所示。
(3) 配置基本信息参数,输入策略名称,其他参数保持缺省值。
(4) 根据需要,在基本信息下方区域选择对应的防病毒软件,以Windows操作系统赛门铁克防病毒软件为例,如图11所示。
(5) 勾选赛门铁克对应的“检查”复选框,并点击修改图标
,弹出赛门铁克杀毒引擎和病毒库配置窗口。
(6) 本案例配置参数如图12所示,具体配置方法请参考表1。
|
检查方法 |
版本检查方式 |
参数配置 |
|
日期格式 |
指定版本 |
选择杀毒引擎或病毒库的最低版本,格式为YYYY-MM-DD。早于该日期的版本均为不合格。 |
|
自适应 |
配置自适应天数。用户必须在距当前时间的天数内更新过杀毒引擎版本或病毒版本。 |
|
|
点分格式 |
指定版本 |
输入杀毒引擎或病毒库的最低版本,一般格式为X.X.X.X,每款杀毒软件略有不同。小于该字串的版本均为不合格。 |
|
日期或点分格式 |
同时配置日期格式和点分格式。检查病毒库版本时,如果能获取日期格式的病毒库版本,则判断日期格式是否合格;如果无法获取日期格式,则判断点分格式是否合格。 |
|
(7) 单击<确定>按钮,防病毒软件配置完毕。返回增加防病毒软件策略页面。
(8) 单击<确定>按钮,防病毒软件策略检查项增加完毕。
(9) 防病毒软件策略检查项配置完毕,如果不需要其他检查项,请跳转到3.2.2 配置安全级别。
配置安全级别,即定义当各个检查项不符合安全策略要求时的处理方式。处理方式包括:下线、隔离、监控、提醒。下面介绍案例中如下检查项的安全级别配置方法:
· 可控软件组
· 防病毒软件策略
其他控制策略不需要单独配置安全级别。具体方法如下:
(1) 选择“用户”页签。单击导航树中的“安全策略管理 > 安全级别管理”菜单项,进入安全级别管理页面。
(2) 单击<增加>按钮,进入增加安全级别页面。
(3) 在安全级别基本信息区域配置如下参数:
· 安全级别名:输入安全级别名称。
· 不安全提示阈值:安全级别中所设置的最高级别为隔离和下线时,才能够设置此参数。当它的值不为0或空时,若用户安全认证不通过,系统会提醒用户在阈值规定时间内解决安全隐患;在阈值时间到达后,若用户的安全隐患仍未解决,则系统会让用户隔离或下线。在阈值规定时间内,用户可以正常访问网络。当它的值为0或空时,若用户安全认证不通过,则被立即隔离或强制下线。
其他参数保持缺省值,如图13所示。
(4) 在检查可控软件组区域配置该检查项安全级别,如果勾选整体安全模式,所有的可控软件组将采用相同的安全模式。本案例分别为黑软件金山词霸(XDict.exe)和白软件组AccChecker设置为“下线”和“隔离”模式,如图14所示。
(5) 在检查防病毒软件区域配置该检查项安全级别,本案例均设置为“隔离”模式。如图3-15所示。
(6) 其他参数保持默认即可。
(7) 单击<确定>按钮。
安全策略是各种检查策略和监控策略的集合。在增加安全策略时,配置需要的策略即可。具体方法如下:
(1) 选择“用户”页签。单击导航树中的“安全策略管理 > 安全策略管理”菜单项,进入安全策略管理页面。
(2) 单击<增加>按钮,进入增加安全策略页面。
(3) 配置如下基本信息:
· 安全策略名:输入安全策略名称。
· 安全级别:选择上一步配置的安全级别。如果没有单独配置安全级别,根据需要选择系统定义的安全级别即可。
· 进行实时监控:根据需要选择是否进行实时监控。案例中支持实时监控的检查项包括:PC可控软件组、防病毒软件检查。
¡ 处理前等待时间:勾选实时监控后,需要输入处理前等待时间。如果输入0,则表示立刻进行隔离或者下线。
其他基本信息保持缺省值,如图16所示。
(4) 如果应用的处理方式中包含“隔离”模式,请配置隔离方式,如图17所示:
· 配置隔离方式:勾选该复选框。
· 选择隔离方式:选择“向设备下发ACL”、“向客户端下发ACL”或者“下发VLAN”。本案例以“向设备下发ACL”、安全ACL配置为3021、隔离ACL配置为3020为例,下发时仅下发ACL号,ACL规则需要在设备上配置。
(5) 配置URL访问控制策略,如图18所示:
· 启用URL访问控制策略:勾选该复选框,启用URL访问控制策略。
· URL访问控制策略:选择需要的URL访问控制策略名称。
· 检查hosts文件:检查用户所使用终端上的hosts文件配置项。如果配置项中存在列表中没有的IP地址,则iNode客户端强制用户下线。根据需要选择是否勾选该复选框。如果需要检查hosts文件,请在文本框中输入需要检查的IPv4地址。
图18 URL访问控制策略
(6) 配置可控软件组,如图19所示:
· 检查可控软件组:勾选该复选框,启用检查可控软件组安全策略。
· 可控软件组列表:勾选需要的可控软件组,并选择“必须运行”或者“禁止运行”。
· 服务器地址:输入EAD服务器IP地址。如果用户上网过程中所使用的可控软件不符合要求,在服务器配置了“服务器地址”后,iNode将会提示用户访问该服务器来修复。
· PC可控软件组检查不合格提示:输入不合格提示信息。
(7) 配置防病毒软件策略,如图20所示:
· 检查防病毒软件:勾选该复选框,启用防病毒安全检查策略。
· 防病毒软件策略:选择需要的防病毒软件策略。
· 服务器地址:输入防病毒软件服务器IP地址。如果用户上网过程中防病毒软件检查不符合要求,在服务器配置了“服务器地址”后,iNode客户端将会提示用户访问该服务器来修复。
· 防病毒软件检查不合格提示:输入不合格提示信息。
(8) 其他安全策略配置项保持缺省值即可。
(9) 单击<确定>按钮。
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略列表。
(2) 单击<增加>按钮,进入增加接入策略页面,如图21_Ref370562182所示。
(3) 配置接入策略名为test-access-policy。
(4) 单击<确定>按钮。
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。
(2) 单击<增加>按钮,进入增加安全策略页面,如图22所示。
(3) 配置如下参数:
· 服务名:输入服务名称。
· 服务后缀:输入服务后缀。iMC UAM和设备配合对接入用户进行认证时,两者的配置必须符合表2的约束关系,本案例采用第一种组合。
· 缺省安全策略:选择上一步配置的安全策略,表示使用该接入服务的用户将使用此安全策略。
其他参数保持缺省值。
|
登录名 |
设备用于认证的Domain |
设备配置的相关命令 |
iMC中设备管理用户的账号名 |
|
X@Y |
Y |
With-domain |
X@Y |
|
Without-domain |
X |
||
|
X |
[Default Domain](缺省域) |
With-domain |
X@[Default Domain] |
|
Without-domain |
X |
(4) 单击<确定>按钮。
(1) 选择“用户”页签。单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。
(2) 单击<增加>按钮,进入增加接入用户页面。如图23所示。
(3) 配置如下参数:
· 用户姓名:接入用户所关联的iMC平台用户。有两种方式关联平台用户:
¡ 单击<选择>按钮,选择一个已存在的平台用户。
¡ 单击<增加用户>按钮,新增一个平台用户。
· 账号名:输入用户进行认证的帐号,在UAM中唯一。
· 密码:输入用户进行认证的密码。
· 确认密码:再次输入用户进行认证的密码。
· 接入服务:在接入服务列表中勾选之前配置接入服务。
其他参数保持缺省值。
(4) 单击<确定>按钮。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。
(2) 单击<增加>按钮,进入增加接入设备页面,如图24所示。
(3) 配置以下参数:
· 认证端口:输入认证端口,默认为1812。
· 计费端口:输入计费端口,默认为1813。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与UAM配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。本例的密钥设置为123。
· 设备列表:单击<手工增加>按钮,输入起始IP地址(即接入设备IP地址)并确定。如图25所示。
其他参数保持缺省值。
(4) 单击<确定>按钮,完成增加接入设备。
配置用户登录时完成身份验证、安全认证的服务器,以及简单的ACL控制策略。这里将iMC指定为AAA服务器和安全检查服务器。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体方法如下:
(1) 以Telnet方式登录接入设备,并进入系统视图。
(2) 配置RADIUS scheme。IP地址指向iMC UAM服务器,监听端口、共享密钥需与iMC中接入设备的配置保持一致。
[Device]radius scheme 390
New Radius scheme
[Device-radius-390]primary authentication 192.168.0.87 1812
[Device-radius-390]primary accounting 192.168.0.87 1813
[Device-radius-390]key authentication 123
[Device-radius-390]key accounting 123
[Device-radius-390]nas-ip 192.168.30.50
[Device-radius-390]server-type extended
[Device-radius-390]user-name-format with-domain
[Device-radius-390]quit
Server-type extended配置设备的服务类型为extended,可以更好的支持H3C扩展的RADIUS属性,V7版本默认为extended。
(3) 创建domain,设置用户登录设备时都要经过RADIUS方案391的认证/授权/计费。iMC UAM和设备配合对接入用户进行认证时,两者的配置必须符合表3-2的约束关系。
[Device]domain 391
New Domain added
[Device-isp-391]authentication lan-access radius-scheme 390
[Device-isp-391]authorization lan-access radius-scheme 390
[Device-isp-391]accounting lan-access radius-scheme 390
[Device-isp-391]quit
(4) 配置802.1X。在全局和接口上使能802.1X认证,才能开启接口的认证功能。
[Device]dot1x
802.1x is enabled globally
[Device]dot1x interface Ethernet 1/0/3
802.1x is enabled on port Ethernet1/0/3
(5) 创建ACL,请根据安全策略中配置的隔离方式创建对应的ACL。不安全ACL 3020只允许用户访问有限资源,安全ACL 3021不做限制。
[Device]acl number 3020
[Device-acl-adv-3020]rule 1 permit ip destination 192.168.0.87 0
[Device-acl-adv-3020]rule 2 deny ip
[Device-acl-adv-3020]quit
[Device]acl number 3021
[Device-acl-adv-3021]rule 1 permit ip
[Device-acl-adv-3021]quit
下面分别介绍案例中涉及的安全策略不合规时的验证结果。
iNode客户端版本必须与iMC UAM/EAD配套,具体的配套关系请参见UAM版本说明书和EAD版本说明书。
具体创建过程请参考iNode智能客户端联机帮助。
在802.1X认证界面输入帐号和密码,单击<连接>按钮进行认证。通过身份认证和安全认证后,在界面上会显示身份认证和安全认证的状态,如图26所示。
(1) 在IE浏览器中输入不允许访问的URL。例如“http://192.168.0.156:8080/imc”,此URL包含在URL访问控制策略禁止访问的IP地址URL分类中。
(2) 访问URL时失败,iNode客户端弹出提示信息窗口,如图27所示。
(1) 不运行白软件组,进行802.1X认证。
(2) 身份验证成功后,开始安全认证。认证信息区域提示安全认证结果,如图28所示。
(3) 白软件组检查不合格,服务器会根据之前配置的“隔离”模式隔离用户。802.1X客户端图标显示为隔离状态。自动弹出安全检查结果详细信息页面,如图29所示。
(1) 运行黑软件组后,进行802.1X认证。
(2) 身份验证成功后,开始安全认证。认证信息区域提示安全认证结果,如图30所示。
(3) 黑软件组检查不合格,EAD服务器会根据之前配置的“下线”模式强制用户下线。802.1X客户端图标显示为不在线状态。自动弹出安全检查结果详细信息页面,如图31所示。
(1) 参考3.2.1 3. 防病毒软件检查设置高于实际的杀毒引擎或病毒库最低版本,发起802.1X认证。
(2) 身份验证成功后,开始安全认证。认证信息区域提示安全认证不成功的结果,如图32所示。
(3) 防病毒软件检查不合格,服务器会根据之前配置的“隔离”模式隔离用户。802.1X客户端图标显示为隔离状态。自动弹出安全检查结果详细信息页面,如图33所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
