【文章內(nèi)容簡(jiǎn)介】 a authentication login default line命令（不同型號(hào)交換機(jī)可能命令略有不同）。此命令作用是將telnet時(shí)進(jìn)行的認(rèn)證放在交換機(jī)本地，如果不配置的話，假如以前telnet交換機(jī)只需要輸入密碼的話，那么在下次進(jìn)行telnet登陸時(shí)，交換機(jī)將會(huì)提示要求輸入用戶名和密碼進(jìn)行認(rèn)證。華為交換機(jī) ，目前提供3種認(rèn)證方法：PAP認(rèn)證、CHAP認(rèn)證、EAP中繼認(rèn)證。缺省情況下。此處需要修改設(shè)置為EAP認(rèn)證。[Quidway] dot1x authenticationmethod eap 創(chuàng)建RADIUS 組dot1x 并進(jìn)入其視圖[Quidway] radius scheme dot1x 設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS 服務(wù)器的IP 地址[Quidwayradiusdot1x] primary authentication 設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS 服務(wù)器的IP 地址[Quidwayradiusdot1x] primary accounting 設(shè)置系統(tǒng)與認(rèn)證RADIUS 服務(wù)器交互報(bào)文時(shí)的加密密碼[Quidway radiusdot1x] key authentication 123456[Quidway radiusdot1x] key accounting 123456 指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS 服務(wù)器[Quidwayradiusdot1x] usernameformat withoutdomain[Quidwayradiusdot1x] quit 創(chuàng)建用戶域dot1x，并進(jìn)入其視圖[Quidway] domain dot1x 指定“dot1x”為該用戶域的Radius方案[Quidwayispdot1x] radiusscheme dot1x[Quidwayispdot1x]quit 指定交換機(jī)缺省的用戶域?yàn)椤癲ot1x”[Quidway] domain default enable dot1x 開(kāi)啟E0/[Quidway] dot1x interface Ethernet 0/8 特性[Quidway] dot1x 保存設(shè)置[Quidway] quitQuidway save 風(fēng)險(xiǎn)與災(zāi)備，如認(rèn)證流與數(shù)據(jù)流的分離、獨(dú)立于應(yīng)用之外、在嚴(yán)格之余又具有很高的可擴(kuò)展性等。該準(zhǔn)入控制手段已經(jīng)大量應(yīng)用于教育、金融行業(yè)，在近年來(lái)舉辦的重大賽事如廣州亞運(yùn)會(huì)，該準(zhǔn)入控制手段也已經(jīng)全面應(yīng)用。隨著企業(yè)信息化越來(lái)越深入，在信息安全領(lǐng)域，準(zhǔn)入控制。但這種嚴(yán)格的準(zhǔn)入控制技術(shù)也帶來(lái)了不可忽視的斷網(wǎng)風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)可用性要求極高的領(lǐng)域，如金融行業(yè)，大面積斷網(wǎng)是不能容忍的一級(jí)事故。因此，一套完整的、可操作的風(fēng)險(xiǎn)預(yù)案便成了關(guān)鍵時(shí)刻的法寶。，XXXX終端接入控制體系示意圖。，加上用戶認(rèn)證時(shí)需要的目錄服務(wù)器（以AD域控制器為例），我們分析了天珣作為準(zhǔn)入控制解決方法可能產(chǎn)生的風(fēng)險(xiǎn)點(diǎn)如下圖標(biāo)號(hào)所示。XXXX終端接入控制體系抽象圖名詞釋義：天珣中心服務(wù)器：提供策略集中編輯、下發(fā)和集中報(bào)表的功能，管理和同步策略到本地服務(wù)器、Radius服務(wù)器等其他服務(wù)器組件，并可以直接管理指定范圍的終端的服務(wù)器；天珣本地服務(wù)器：提供對(duì)指定范圍終端進(jìn)行管理的服務(wù)器，并可以管理和同步策略到Radius服務(wù)器。Radius認(rèn)證服務(wù)器：與Swich聯(lián)動(dòng)，提供對(duì)客戶端及用戶進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證服務(wù)器。AD域服務(wù)器：終端用戶賬號(hào)/密碼的集中管理和認(rèn)證服務(wù)器。接入交換機(jī)（Switch）：與Radius聯(lián)動(dòng)，提供對(duì)客戶端及用戶進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制的接入層網(wǎng)絡(luò)設(shè)備。客戶端（Clients）：運(yùn)行在每一臺(tái)終端電腦上，執(zhí)行終端安全管理策略，發(fā)起認(rèn)證請(qǐng)求。按照天珣系統(tǒng)的設(shè)計(jì)原理，以上組件中，除了中心服務(wù)器和本地服務(wù)器之外，其他任意組件，例如無(wú)備份的單一Radius服務(wù)器、目錄服務(wù)器（本方案中的AD域服務(wù)器）、交換機(jī)、客戶端，只要其中之一出現(xiàn)影響認(rèn)證的故障，都將會(huì)導(dǎo)致終端網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗。每個(gè)組件對(duì)網(wǎng)絡(luò)準(zhǔn)入的影響，如下圖所示：從圖中可以看出，每個(gè)組件都存在影響到網(wǎng)絡(luò)準(zhǔn)入失敗的可能。但是，結(jié)合組件的作用和他們之間的相互關(guān)系，以下四個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)最為突出： 策略服務(wù)器異常時(shí)，Radius無(wú)法主動(dòng)獲取正確策略。AD域服務(wù)器異?；蚓W(wǎng)絡(luò)中斷，導(dǎo)致AD域不可達(dá)，用戶認(rèn)證失敗。Radius服務(wù)器異?；蚓W(wǎng)絡(luò)中斷，導(dǎo)致認(rèn)證無(wú)法正常進(jìn)行?？蛻舳水惓?，導(dǎo)致認(rèn)證無(wú)法正常進(jìn)行。針對(duì)上述風(fēng)險(xiǎn)，天珣為該準(zhǔn)入控制擬定了以下風(fēng)險(xiǎn)預(yù)案： 風(fēng)險(xiǎn)一種穩(wěn)定的準(zhǔn)入控制手段不有必要經(jīng)常改變準(zhǔn)入條件，如我們沒(méi)有必要經(jīng)常在僅驗(yàn)證客戶端和可匿名登陸的用戶認(rèn)證兩種方案間切換。但即使如此，天珣的Radius服務(wù)器（天珣自有的RADIUS服務(wù)器，不使用微軟IAS等第三方產(chǎn)品）在每次收到準(zhǔn)入控制策略后都會(huì)緩存該策略，直到服務(wù)器通知其更改，在此期間，天珣的RADIUS服務(wù)器不依賴中心服務(wù)器和本地服務(wù)器，即使服務(wù)器宕機(jī)，RADIUS服務(wù)器依然可以正常工作。在天珣系統(tǒng)中，這種風(fēng)險(xiǎn)已經(jīng)可以忽略。 風(fēng)險(xiǎn)預(yù)案天珣可以同時(shí)使用多臺(tái)主備的目錄服務(wù)器，但即使如此，網(wǎng)絡(luò)狀況以及目錄服務(wù)器的可用性依然構(gòu)成較大的挑戰(zhàn)。實(shí)行用戶認(rèn)證需要保證AD域始終可達(dá)，但不常發(fā)生的斷電和網(wǎng)絡(luò)故障讓我們不能忽略極少發(fā)生的AD域不可達(dá)的可能性。為此，天珣提供了AD域的Radius bypass工具，當(dāng)AD域不可達(dá)時(shí)，該工具可立刻取消所有終端的用戶認(rèn)證，使準(zhǔn)入控制方案變成僅“”，從而消除因AD域故障導(dǎo)致的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗的問(wèn)題。天珣目錄服務(wù)RadiusBypass工具界面如下： 風(fēng)險(xiǎn)預(yù)案，在準(zhǔn)入控制方案中，單臺(tái)RADIUS服務(wù)器是巨大的風(fēng)險(xiǎn)點(diǎn)，正是基于此，網(wǎng)絡(luò)設(shè)備廠商在標(biāo)準(zhǔn)配置中，都會(huì)為每臺(tái)交換機(jī)配置雙Radius服務(wù)器以做互備。從天珣實(shí)施的案例中，雙RADIUS服務(wù)器年故障時(shí)間小于5分鐘。在配置了雙RADIUS服務(wù)器的情況下，尤其是異地備份，該風(fēng)險(xiǎn)已經(jīng)大大降低。但這始終不會(huì)成為我們松懈的理由，天珣建議將Radius作為核心服務(wù)器重點(diǎn)監(jiān)控和保護(hù)，以消除Radius服務(wù)器的單點(diǎn)故障和Radius可能遭受到的網(wǎng)絡(luò)攻擊或機(jī)房環(huán)境影響。同時(shí)，部分網(wǎng)絡(luò)設(shè)備廠商也考慮了該問(wèn)題，在交換機(jī)的配置方面有不同的使用方案。如，H3C的交換機(jī)可以配置多個(gè)認(rèn)證選項(xiàng)，先使用radius認(rèn)證，radius不可達(dá)則使用local或者使用none。這些手段均可以大大減少故障壓力。但作為最可靠的解決手段，也是最讓人放心的措施。如果企業(yè)內(nèi)部有統(tǒng)一的網(wǎng)絡(luò)設(shè)備管理平臺(tái)，可通過(guò)配置網(wǎng)管平臺(tái)取消交換機(jī)的認(rèn)證，若沒(méi)有則可借助某些自定義的腳本。，以思科交換機(jī)為例：@echo offecho set sh=() echo 3 echo open echo 3 echo {ENTER} echo 3 echo !QAZ2wsx{ENTER} echo 3 echo en{ENTER} echo 3 echo !QAZ2wsx{ENTER} echo 3 echo conf t{ENTER} echo 3 echo no dot1x sys{ENTER} echo 3 echo end{ENTER} echo 3 echo exit{ENTER} echo 3 start telnetcscript //nologo 風(fēng)險(xiǎn)預(yù)案由于網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證需要由安裝在終端的天珣客戶端來(lái)執(zhí)行，如果客戶端不能正常運(yùn)行，將直接導(dǎo)致認(rèn)證無(wú)法進(jìn)行。根據(jù)天珣以往的經(jīng)驗(yàn)，導(dǎo)致客戶端上線后不能運(yùn)行的原因更多來(lái)自于與終端上安裝的其他安全軟件或工具誤殺、誤攔或沖突。針對(duì)這種情況，天珣已經(jīng)緊跟各殺毒軟件和安全軟件廠商更新情況，做好后方的溝通和兼容檢測(cè)工作，最大限度消除相互影響帶來(lái)的風(fēng)險(xiǎn)。 天珣RADIUS服務(wù)器狀態(tài)告警在綜合考慮了上述所有可能產(chǎn)生風(fēng)險(xiǎn)的故障點(diǎn)之后，天珣并沒(méi)有停止對(duì)風(fēng)險(xiǎn)防范的思考，RADIUS服務(wù)器狀態(tài)告警組件便是我們最近的成果。在RADIUS所在服務(wù)器出現(xiàn)莫名故障時(shí)（Windows服務(wù)器操作系統(tǒng)不可避免），該組件可以即時(shí)報(bào)告其服務(wù)的可用狀態(tài)，這種監(jiān)視不是簡(jiǎn)單的進(jìn)程保護(hù)，而是其內(nèi)部流程的即時(shí)體現(xiàn)，包括它所依賴的所有第三方服務(wù)提供如目錄服務(wù)。其報(bào)警結(jié)果可以為企業(yè)內(nèi)部正在使用的綜合告警平臺(tái)所檢測(cè)，通過(guò)企業(yè)現(xiàn)有的告警方式，如短信、郵件、電話等，及時(shí)通知管理員，以期獲得最快的響應(yīng)時(shí)間。天珣RADIUS告警組件界面如下： 客戶端準(zhǔn)入部署安裝有天珣客戶端程序的計(jì)算機(jī)終端在接受訪問(wèn)時(shí)，可以根據(jù)管理員預(yù)先配置的安全策略檢查來(lái)訪的計(jì)算機(jī)終端是否運(yùn)行了天珣客戶端程序，并檢查其安全基線是否符合要求。如果來(lái)訪的計(jì)算機(jī)終端未安裝天珣客戶端程序，或不符合安全策略要求，則拒絕其訪問(wèn)?？蛻舳藴?zhǔn)入控制示例圖當(dāng)安裝天珣客戶端程序的計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)時(shí)，天珣客戶端也會(huì)先檢查其自身的安全基線是否合格，如果不合格，將限制其對(duì)網(wǎng)絡(luò)的訪問(wèn)。天珣客戶端準(zhǔn)入控制，創(chuàng)造性將每一臺(tái)計(jì)算機(jī)終端都變成準(zhǔn)入控制點(diǎn)，保證每臺(tái)計(jì)算機(jī)終端只接受安全可信的計(jì)算機(jī)終端進(jìn)行訪問(wèn)，并只能在安全基線合格時(shí)訪問(wèn)網(wǎng)絡(luò)，實(shí)現(xiàn)最細(xì)粒度的準(zhǔn)入控制。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在計(jì)算機(jī)終端安全基線不符合要求時(shí)，天珣客戶端能不依賴網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)上其他終端或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問(wèn)阻斷。天珣客戶端更支持選擇性阻斷，在計(jì)算機(jī)終端安全基線不符合要求時(shí)，天珣客戶端能根據(jù)管理員預(yù)先配置的安全策略，通過(guò)進(jìn)程、端口、目標(biāo)地址等條件，選擇性地阻止