一.网络需求:对接入用户做802.1x+TLS证书+EAD认证,当客户通过身份认证后,向策略服务器请求安全检查,只有当安全检查通过后才能访问网络资源。

. 网络拓扑

.设备端配置:

portaldevice]dis ver

H3C Comware Platform Software

Comware Software, Version 5.20, Release 2202P19

Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C S5500-28C-EI uptime is 0 week, 0 day, 20 hours, 49 minutes

[portaldevice s5500-EI]dis cu

#

version 5.20, Release 2202P19

dot1x//全局开启dot1x功能

vlan 1

vlan 10

#

vlan 20

#

radius scheme szh

primary authentication 172.16.100.200

primary accounting 172.16.100.200

key authentication hua

key accounting hua

user-name-format without-domain

domain szh//portal配置,引用radius 方案szh.

authentication portal radius-scheme szh

authorization portal radius-scheme szh

accounting portal radius-scheme szh

access-limit disable

state active

idle-cut disable

self-service-url disable

[h1]domain ya//802.1X配置,引用radius 方案szh.

authentication lan-access radius-scheme szh

authorization lan-access radius-scheme szh

accounting lan-access radius-scheme szh

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system

#

interface NULL0

#

interface Vlan-interface10

ip address 192.168.10.1 255.255.255.0

#

interface Vlan-interface20

ip address 192.168.20.1 255.255.255.0

#

interface GigabitEthernet1/0/4

port access vlan 20

dot1x

#snmp v3的配置

snmp-agent

snmp-agent local-engineid 800063A203000FE2B23AD7

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info version v3

snmp-agent group v3 test_group privacy read-view test_view write-view test_view notify-view test_view

snmp-agent mib-view included test_view iso

snmp-agent usm-user v3 test_user test_group authentication-mode md5 !QM%/G4DG<2=O9"81L7YOQ!! privacy-mode des56 !QM%/G4DG<2=O9"81L7YOQ!!

[h2]#

四.EAD业务组件的配置(因为服务将引用EAD中的策略

Tip:此例只用EAD业务组件的可控软件组管理和流量控制策略管理项演示

1.可控软件组管理配置

1)创建可控软件组(controlgroupname

这里控制的是进程[h3],所以要输入进程的全称:最好的截图软件.exe

(2) 显示的是创建的可控软件信息,单击“确定”完成创建

2.流量策略管理配置

1)创建策略并输入监控数值,单击确定

3.安全级别管理配置

(1)创建安全级别并设置执行动作[h4],单击确定。

4.安全策略配置

创建安全策略(securitystrategy)并引用安全级别(securityleve,选择可控软件组中预先配置好软件组名(controlgroupname,选择定时检查中流量监控策略(strategyname).单击“确定”操作完成。

五.802.1X配置

1.创建服务(8021xcerEADservice

并引用之前创建的安全策略(securitystrategy),选择EAP TLS证书认证。

2.创建用户姓名(eadusername

3.创建用户账号(xiaoma)[h5]并绑定到之前创建的服务(8021xcerEADservice

六.IMC证书配置

下一步:导入根证书

下一步:导入服务器证书

下一步:输入服务器私钥密码

下一步:根证书和服务器证书导入成功,单击确定完成证书配置

七.客户端证书配置

1.双击根证书,单击“安装证书”

2.单击“下一步”

3.单击“下一步”

4.单击“完成”

5.提示证书导入成功

此时只完成了根证书的导入,接下来导入客户端证书

6.单击“下一步”

7.单击“下一步”

8.输入服务器的私钥密码,与服务器端的相同

9.单击“下一步”

10.提示客户端证书导入成功

八.iNODE配置

1.新建一个连接,单击“下一步”

2.选择“801.1X协议”,单击“下一步”

3.输入连接名:802EAD,用户名:xiaoma,密码:***[h6]单击“下一步

4.单击“证书设置

5.选择客户端证书:xiaoma,单击“确定”

6.单击“完成”创建成功

7.双击刚创建的连接

8.显示身份验证成功

9.启动安全检查会话

4.弹出安全检查结果页面:提示没有通过安全检查

在通过身份验证后,进行安全检查,由于打开了可控软件“最好的截图软件”触发了策略服务的策略,并执行“隔离”动作。

小节:

1.在证书认证时,用户账号必须与客户端证书名一致(证书名以及服务器和客户端的私钥密码是申请时定义的)否则认证不成功,在TLS双向认证时,客户端必须要用能输入密码的证书。

2.802.1X+EAD相当于身份认证+安全检查,先通过身份验证,再结合策略服务器的策略对客户端的安全进行检查,并由定义的安全级别对检查结果执行相应的动作。个人理解:可以将EAD配置的过程看做是在V5交换机做QOS配置:先定义管理项(防病毒软件管理,可控软件管理…),然后定义行为(安全级别的定义),再则定义策略(安全策略管理),最后应用(在服务中绑定)。

3.本案例的配置思路:

EAD各策略管理配置--->EAD安全级别配置--->EAD策略配置:引用策略管理和安全级别--->服务配置:引用策略---->用户姓名,账号配置:将用户账号与服务关联---->服务器证书导入---->客户端证书导入---->iNODE设置。

服务与策略,用户与服务都是相互关联,在删除策略时必须先删除服务,而删除服务,必须先删除用户名。

附:

这算是一个比较完整的案例了,EAD策略有很多策略管理组件,配置一样,关键是思路。


[h1]此配置与本案例无关

[h2]SNMP V3的配置

,与认证无关,只用于设备管理

[h3]可以是软件,进程,服务,进程必须与任务管理器上显示一致

[h4]有四种模式:

1、下线模式:安全认证检查结果为不通过时,直接断开网络连接。

2、监控模式:安全认证检查结果为不通过时,开放用户上网权限,只记录不合格的用户终端信息,不进行修复提醒。

3、提醒模式:安全认证检查结果为不通过时,开放用户上网权限,记录不合格的用户终端信息并进行修复提醒。

4、隔离模式:安全认证检查结果为不通过时,限制用户终端只能访问隔离区的服务器,只有系统修复后,才能正常访问网络。

[h5]必须与客户端证书名一致

[h6]用户名和密码可以不输,因为下面输入的“安全用户名”就是用户账号