每天5分钟成为老司机 (10)

上回说到，小W将公司的802.1x认证改为Portal认证，虽然解决了公司内网认证的问题，也就是终端合法性的问题，但没有解决终端健康性的问题。

由于小W所在的公司，缺乏有效的手段，要求入网的计算机满足健康性要求，导致了感染了病毒并处于潜伏期的计算机入网并感染了其他计算机，最后造成了严重的勒索病毒疫情，并带来了沉重的经济损失……

血的教训滚滚烫。

小W想到，进公司门需要先出示出入证，再检测体温。

出示出入证类似用户认证，而监测体温类似检测用户的健康性和安全相。

虽然802.1x认证是需要客户端的，造成了一些不便，但客户端可以检测终端的安全性。而Portal认证，虽然不需要客户端，但难以避免未安装防毒软件、安装了盗版软件和非法软件的等有安全隐患的终端入网。

那么，有没有两全其美的办法呢？

小W想到了一个办法。

我们知道，802.1x认证有一个功能叫做“授权VLAN”。

如图，用户在认证前，只能访问访客VLAN，没有任何其他功能。

当通过802.1x认证以后，Radius对交换机下发授权VLAN：

那么，如果Radius可以根据终端的健康状态下发VLAN，把不健康的终端送去隔离区，进行杀毒软件安装和补丁包安装，治愈以后再让它入网，不就能解决这个问题了吗？

小W有个朋友叫X，听说了小W的需求，给小W指出了一条明路，这条明路叫：EAD。

EAD是Endpoint Admission Defense(端点安全防御)的缩写。它利用客户端对终端进行安全检查，并将安全检查结果报告给Radius服务器。Radius服务器会根据检查结果下发VLAN，如图所示：

在认证通过以前，所有的终端都在访客VLAN。访客VLAN可以下载客户端，并在客户端上发起认证。

终端发起认证后，Radius服务器会向客户端请求健康状态，并根据健康状态下发VLAN。如果客户端检查终端的杀毒软件病毒库日期、操作系统补丁安装都合格，并且没有安装黑名单中的软件，那么判断为通过了健康检查，Radius会给终端下发正常的VLAN。

对于健康状态不合格的终端，Radius服务器会将它送去隔离VLAN。隔离VLAN提供健康修复服务器，终端能够访问健康修复服务器安装杀毒软件、病毒库和操作系统补丁。

当终端健康检查通过以后，就可以正常入网啦！

小W在公司内网部署了EAD方案以后，公司终于风平浪静了一段时间，小W也有时间学习更多的新技术了……

欲知后事如何，请继续关注我们的专题。