每天5分钟成为老司机 (10)
上回说到,小W将公司的802.1x认证改为Portal认证,虽然解决了公司内网认证的问题,也就是终端合法性的问题,但没有解决终端健康性的问题。
由于小W所在的公司,缺乏有效的手段,要求入网的计算机满足健康性要求,导致了感染了病毒并处于潜伏期的计算机入网并感染了其他计算机,最后造成了严重的勒索病毒疫情,并带来了沉重的经济损失……
血的教训滚滚烫。
小W想到,进公司门需要先出示出入证,再检测体温。
出示出入证类似用户认证,而监测体温类似检测用户的健康性和安全相。
虽然802.1x认证是需要客户端的,造成了一些不便,但客户端可以检测终端的安全性。而Portal认证,虽然不需要客户端,但难以避免未安装防毒软件、安装了盗版软件和非法软件的等有安全隐患的终端入网。
那么,有没有两全其美的办法呢?
小W想到了一个办法。
我们知道,802.1x认证有一个功能叫做“授权VLAN”。
如图,用户在认证前,只能访问访客VLAN,没有任何其他功能。
当通过802.1x认证以后,Radius对交换机下发授权VLAN:
那么,如果Radius可以根据终端的健康状态下发VLAN,把不健康的终端送去隔离区,进行杀毒软件安装和补丁包安装,治愈以后再让它入网,不就能解决这个问题了吗?
小W有个朋友叫X,听说了小W的需求,给小W指出了一条明路,这条明路叫:EAD。
EAD是Endpoint Admission Defense(端点安全防御)的缩写。它利用客户端对终端进行安全检查,并将安全检查结果报告给Radius服务器。Radius服务器会根据检查结果下发VLAN,如图所示:
在认证通过以前,所有的终端都在访客VLAN。访客VLAN可以下载客户端,并在客户端上发起认证。
终端发起认证后,Radius服务器会向客户端请求健康状态,并根据健康状态下发VLAN。如果客户端检查终端的杀毒软件病毒库日期、操作系统补丁安装都合格,并且没有安装黑名单中的软件,那么判断为通过了健康检查,Radius会给终端下发正常的VLAN。
对于健康状态不合格的终端,Radius服务器会将它送去隔离VLAN。隔离VLAN提供健康修复服务器,终端能够访问健康修复服务器安装杀毒软件、病毒库和操作系统补丁。
当终端健康检查通过以后,就可以正常入网啦!
小W在公司内网部署了EAD方案以后,公司终于风平浪静了一段时间,小W也有时间学习更多的新技术了……
欲知后事如何,请继续关注我们的专题。