无线EAD解决方案技术白皮书

无线EAD解决方案技术白皮书

杭州华三通信技术有限公司

目录

1.EAD解决方案概述 (4)

2.无线网络安全概述 (5)

2.1.802.1X (5)

2.2.EAP(Extensible Authentication Protocol) (5)

2.2.1.EAP协议报文介绍 (5)

2.2.2.EAP协议的组成 (6)

2.2.3.基于EAP的无线用户接入流程 (7)

2.2.4.WPA (7)

2.2.5.IEEE 802.11i (8)

3.无线EAD解决方案介绍 (9)

3.1.无线EAD解决方案典型组网1 (9)

3.1.1.组网特点介绍 (10)

3.1.2.无线用户的认证流程 (11)

3.1.3.无线EAD典型组网1实施效果 (11)

3.1.4.无线EAD典型组网1中涉及的设备 (12)

3.2.无线EAD解决方案典型组网2 (12)

3.2.1.组网特点介绍 (13)

3.2.2.无线用户上线流程 (13)

3.2.3.无线EAD典型组网2实施效果 (13)

3.2.4.无线EAD典型组网2中涉及的设备 (13)

3.3.两种组网的比较 (13)

4.参考资料 (14)

本文档描述了在无线网络环境中集成EAD解决方案，为无线接入用户提供安全可靠的网络环境。包括在无线网络环境中EAD的组网方案，数据流程及对应的设备型号。

缩略语清单List of abbreviations：

Full spelling 英文全名Chinese explanation 中文解释Abbreviations缩略

语

WPA Wi-Fi Protected Access Wi-Fi网络安全访问

WPA2 Wi-Fi Protected Access2Wi-Fi网络安全访问第二版

EAD Endpoint Admission Defense 端点准入防御

1. EAD解决方案概述

目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足：

被动防御，缺乏主动抵抗能力

在多数情况下，当一个终端受到感染时，病毒已经散布于整个网络。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。

单点防御，对病毒的重复、交叉感染缺乏控制

目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。

分散管理，安全策略不统一，缺乏全局防御能力

只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。

为了解决现有安全防御体系中存在的不足，H3C推出了端点准入防御（EAD）解决方案，旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括：

检查——检查用户终端的安全状态和防御能力

用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端，容易遭受外部攻击，属于“易感”终端；已感染病毒的终端，会对网络中的其他设施发起攻击，属于“危险”终端。

EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术（802.1X、VPN、Portal等），可以确保接入终端的合法与安全。

隔离——隔离“危险”和“易感”终端

在EAD方案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源，这些受限的网络资源被称之为“隔离区”，可以通过ACL或VLAN方式实现。

修复——强制修复系统补丁、升级防病毒软件

EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端

被限制到“隔离区”以后，EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级，配合防病毒服务器或补丁服务器，帮助用户完成手工或自动升级操作，达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。

管理与监控

集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施，需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。

2. 无线网络安全概述

2.1. 802.1X

802.1X是IEEE定义的基于端口的访问控制框架。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与WLAN设备关联后，是否可以使用WLAN设备的服务要取决于802.1X 的认证结果。如果认证通过，则WLAN设备为STA打开这个逻辑端口，否则不允许用户连接网络。

802.1X协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。

在开启了802.1X的网络中，无线用户接入网络的过程如下：

1. WLAN客户端接入网络时，在association阶段，WLAN设备为客户端创建逻辑接口，并

拒绝没有经过802.1X认证的用户的所有流量。

2. WLAN客户端发送EAPOL-START开始802.1X认证。客户端发送的认证报文由EAP封

装，由WLAN设备透传到认证服务器上。

3. 当客户端认证通过后，WLAN设备允许此客户端接入网络，并且与客户端之间协商加密

密钥，并为后续的数据报文进行加密。

2.2. EAP(Extensible Authentication Protocol)

2.2.1. EAP协议报文介绍

EAP是IETF定义的一种用于承载多种认证协议的框架。EAP可以承载在不同的传输协议上，如802.1X，RADIUS，TCP等等。

EAP报头的格式如下：