一.网络需求:对接入用户做802.1x+TLS证书+EAD认证,当客户通过身份认证后,向策略服务器请求安全检查,只有当安全检查通过后才能访问网络资源。
二. 网络拓扑:
三.设备端配置:
portaldevice]dis ver
H3C Comware Platform Software
Comware Software, Version 5.20, Release 2202P19
Copyright (c) 2004-2010 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C S5500-28C-EI uptime is 0 week, 0 day, 20 hours, 49 minutes
[portaldevice s5500-EI]dis cu
#
version 5.20, Release 2202P19
dot1x//全局开启dot1x功能
vlan 1
vlan 10
#
vlan 20
#
radius scheme szh
primary authentication 172.16.100.200
primary accounting 172.16.100.200
key authentication hua
key accounting hua
user-name-format without-domain
domain szh//portal配置,引用radius 方案szh.
authentication portal radius-scheme szh
authorization portal radius-scheme szh
accounting portal radius-scheme szh
access-limit disable
state active
idle-cut disable
self-service-url disable
[h1]domain ya//802.1X配置,引用radius 方案szh.
authentication lan-access radius-scheme szh
authorization lan-access radius-scheme szh
accounting lan-access radius-scheme szh
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
interface NULL0
#
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
#
interface GigabitEthernet1/0/4
port access vlan 20
dot1x
#snmp v3的配置
snmp-agent
snmp-agent local-engineid 800063A203000FE2B23AD7
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info version v3
snmp-agent group v3 test_group privacy read-view test_view write-view test_view notify-view test_view
snmp-agent mib-view included test_view iso
snmp-agent usm-user v3 test_user test_group authentication-mode md5 !QM%/G4DG<2=O9"81L7YOQ!! privacy-mode des56 !QM%/G4DG<2=O9"81L7YOQ!!
[h2]#
四.EAD业务组件的配置(因为服务将引用EAD中的策略)
Tip:此例只用EAD业务组件的可控软件组管理和流量控制策略管理项演示
1.可控软件组管理配置
(1)创建可控软件组(controlgroupname)
这里控制的是进程[h3],所以要输入进程的全称:最好的截图软件.exe
(2) 显示的是创建的可控软件信息,单击“确定”完成创建
2.流量策略管理配置
(1)创建策略并输入监控数值,单击确定
3.安全级别管理配置
(1)创建安全级别并设置执行动作[h4],单击确定。
4.安全策略配置
创建安全策略(securitystrategy)并引用安全级别(securityleve),选择可控软件组中预先配置好软件组名(controlgroupname),选择定时检查中流量监控策略(strategyname).单击“确定”操作完成。
五.802.1X配置
1.创建服务(8021xcerEADservice)
并引用之前创建的安全策略(securitystrategy),选择EAP TLS证书认证。
2.创建用户姓名(eadusername)
3.创建用户账号(xiaoma)[h5]并绑定到之前创建的服务(8021xcerEADservice)
六.IMC证书配置
下一步:导入根证书
下一步:导入服务器证书
下一步:输入服务器私钥密码
下一步:根证书和服务器证书导入成功,单击确定完成证书配置
七.客户端证书配置
1.双击根证书,单击“安装证书”
2.单击“下一步”
3.单击“下一步”
4.单击“完成”
5.提示证书导入成功
此时只完成了根证书的导入,接下来导入客户端证书
6.单击“下一步”
7.单击“下一步”
8.输入服务器的私钥密码,与服务器端的相同
9.单击“下一步”
10.提示客户端证书导入成功
八.iNODE配置
1.新建一个连接,单击“下一步”
2.选择“801.1X协议”,单击“下一步”
3.输入连接名:802EAD,用户名:xiaoma,密码:***,[h6]单击“下一步
4.单击“证书设置”
5.选择客户端证书:xiaoma,单击“确定”
6.单击“完成”创建成功
7.双击刚创建的连接
8.显示身份验证成功
9.启动安全检查会话
4.弹出安全检查结果页面:提示没有通过安全检查
在通过身份验证后,进行安全检查,由于打开了可控软件“最好的截图软件”触发了策略服务的策略,并执行“隔离”动作。
小节:
1.在证书认证时,用户账号必须与客户端证书名一致(证书名以及服务器和客户端的私钥密码是申请时定义的)否则认证不成功,在TLS双向认证时,客户端必须要用能输入密码的证书。
2.802.1X+EAD相当于身份认证+安全检查,先通过身份验证,再结合策略服务器的策略对客户端的安全进行检查,并由定义的安全级别对检查结果执行相应的动作。个人理解:可以将EAD配置的过程看做是在V5交换机做QOS配置:先定义管理项(防病毒软件管理,可控软件管理…),然后定义行为(安全级别的定义),再则定义策略(安全策略管理),最后应用(在服务中绑定)。
3.本案例的配置思路:
EAD各策略管理配置--->EAD安全级别配置--->EAD策略配置:引用策略管理和安全级别--->服务配置:引用策略---->用户姓名,账号配置:将用户账号与服务关联---->服务器证书导入---->客户端证书导入---->iNODE设置。
服务与策略,用户与服务都是相互关联,在删除策略时必须先删除服务,而删除服务,必须先删除用户名。
附:
这算是一个比较完整的案例了,EAD策略有很多策略管理组件,配置一样,关键是思路。
[h1]此配置与本案例无关
[h2]SNMP V3的配置
,与认证无关,只用于设备管理
[h3]可以是软件,进程,服务,进程必须与任务管理器上显示一致
[h4]有四种模式:
1、下线模式:安全认证检查结果为不通过时,直接断开网络连接。
2、监控模式:安全认证检查结果为不通过时,开放用户上网权限,只记录不合格的用户终端信息,不进行修复提醒。
3、提醒模式:安全认证检查结果为不通过时,开放用户上网权限,记录不合格的用户终端信息并进行修复提醒。
4、隔离模式:安全认证检查结果为不通过时,限制用户终端只能访问隔离区的服务器,只有系统修复后,才能正常访问网络。
[h5]必须与客户端证书名一致
[h6]用户名和密码可以不输,因为下面输入的“安全用户名”就是用户账号