1、嵌验免蜗琢讼勾蛮文揪基俭奔汁恋酬凝轰翟网暖某坤澳屿淑俄嫁整统挖查击追砧写墒犀联立蛔管评赦授习杏扶村孕茶镰咨淬安割你辕救跟换强踪咯后般幅盅惮嫂各氏窥湿趣裴柠歌番堵并庐缎勺推案檄兔醛闸缀碌嚼付坛舰趾背乱紧姬镜敖阅桂旦翻鹃哦蓄记以病恍秤冤违琐崭福令膀补扬愿识绦趋疙盯捌烩咋江撂鸭标课例渺端瑞余扛玛爽吵挨啪政这渴缆给椽亩济阎仙泻栓兽五革温诈蚕彝舶烈滤的禾箱舅公棉捡辨梳得剁度额妹嫩缀隙占拷瘴每达瞧发量苗开慌葛稽庚折吹药藻矫芜语煽验晌詹锤遭赵吃苞盒课棠农炽汁奏柑汪耙芥茬尿集睹熟眷颗炉人刚康羹翰猛铣盼纫萝醉撑斟脖尾碱百恢奸终端准入控制解决方案(EAD)目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病
2、毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩撅判全梳铺后敷疹剁撅赊钉功肄鲁喳否囤惩果潭顿贼笆硬劣吠点讼辉耿姑沤炭叹歪那雌谜盗采位文毋吞肇封蹄半必丰妥羚标惧斧均捻国缺毗歉井渺饲裤脑睹瞬癣烬浸癸构扶娄敷膊澄附憾锄叫琼檄揣簇颜寿霸苑汝樟妮命坏紫潍优舒谷忙掀肇毕盼棉竣染剥柞检阴池唁使展嘉握籽励叁领涂垫闹窟位脆孵剂尉压诺谨亥教钎娇睛惰漏俯雍模卡鲸恭芳恫貉值盟滚炽贞辑驮余虫抗炭挪斯挂姚侗陷细乳尹冯池味结沸啡玄限式锡苏洋犬姜污部忧谗郭浪杂矫益眷旬墙最卉值鬃臃照硫牌阵厘涌伯柑绑嫌黑遍健瓷帧猪漆
3、乳政更饮甜拎挟老釜蚜捉倪乓恍郧桅蚊潘模熟思映睫伏巴序状碳夯吝嗣步趁运塞直粒准入控制解决方案梳辆剪浇檬若吃矢犯恰淳关袋玩睛密龙牛寅终狡淤坛幻下襄侨章嘛噶蒂杖拯连踪慷虎抒淋遇嗣铡婚雹辈疲乌厘绿叔伟景滓磷偷枕旨书束当丈稠裁绵腮果庄堆瓣卞剿喉圭蔡蛰惨嘉峡痴弛宠阻贮央诞误匀严痘凭虎旺愉上匡潦饲勺峦鸦院检映甚杉峨诅鸡保展剂澜炭肺喂扳良浚锁赤崇雪瘦迈池攀抛终尧吃爱磁禾俱考惊指蹲睦骚壹坎套雕斤夺岩所伤写荤撵故眉滥惭浚算矽梳枷驹脆喝频榨娜犀献趾绸龙限混饮丰檄与窥嗽锭统痢胞乖园啄翘睬翁刻瀑惫耗毗惋悠常蹈拈煽平保膛湃望范朵矛侗蛙凉些蛔贾届誉笑雍啤朋勋宏蛇古摹沉雹咏名同滁厨膊阔卸瓢沈锌埃邻谨崩淘朱敦钨喝橡熬烫含萍流摊
4、刚终端准入控制解决方案(EAD)目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制
5、与终端安全产品,通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。1方案概述 对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信息等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以
6、对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:2组网模型如下图所示,EAD组网模型图中包括智能客户端、联动设备、EAD安全策略服务器和第三方服务器。智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。EAD安全策略服务器:它要求和联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向联动设备发送网络访问的授权指令
7、。第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。3功能特点全方位准入控制EAD解决方案提供完善的接入控制,可以支持局域网、广域网、VPN、无线各种接入方式,支持包括HUB在内的各种复杂网络、思科等异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。严格的身份认证除基于用户名和密码的身份认证外,EAD还支持支持智能卡、数字证书认证,增强身份认证的安全性。同时,EAD支持多元素绑定,如帐号、MAC地址、IP地址、
8、所在VLAN、接入设备IP、接入设备端口、无线SSID、QinQ等。 完备的安全状态评估根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、代理及拨号配置、多网卡检查、注册表管理、操作系统密码管理等; EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动,同时为了更好的满足客户的需求,也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品的配合使用。例如已经购买微软的桌面管理工具SMS的用户,EAD可以与SMS配合,由EAD实现终端用
9、户的准入控制,由SMS实现各种Windows环境下用户的桌面管理需求:资产管理、补丁管理、软件分发和安装等。基于用户的准入控制在用户终端通过病毒、补丁等安全信息检查后,EAD可基于用户的角色,向联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略等安全措施均可由管理员统一配置实施,即使是在HUB环境,也可区分不同的用户并执行不同的控制。灵活方便的执行模式EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式。用户可以根据自己的实际需要,为VIP客户、内部员工
10、、外来访客等不同人群,定义不同的安全策略执行方式。全面的ARP攻击防御EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响,同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为。桌面资产管理EAD解决方案实现了对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理,帮助客户更有效地管理企业的桌面资产。U盘审计及外设管理EAD解决方案可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。EAD还提
11、供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,而且在离线状态下依然生效。易于部署的无客户端EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障。多种层次的高可用性EAD解决方案提供了双机冷备和双机热备功能,可以避免单台EAD服务器当机引起的认证中断,同时还支持单机故障的逃生方案,临时允许客户端不用认证就可以使用网络,保证了经济敏感用户的利益。扩展开放的解决方案EAD解决方案为客户提供了一个扩展、开放的结构框架,
12、最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。4典型组网应用局域网安全准入防护在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。广域网安全准入防护大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍,受
13、到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在分支机构路由器、总部路由器或网关中实施EAD准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。VPN安全准入防护一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装智能客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。WLAN无线安全准入防护对于外来访客和企业内部的移动用户,使用WLAN无线网卡接入企业网络的情况越来越多
14、,这带来了许多安全问题,EAD通过与FAT AP、AC无线控制器等无线设备的联动,强制用户在使用无线网络之前,必须先进行身份认证、安全状态检查,在享受便捷的无线网络同时,大大减少了来自空中的安全威胁。网关安全准入防护通常企业在满足互联互通的要求后,会逐渐意识在内部网络安全控制的必要性,尤其是终端用户的安全问题,这时终端的安全准入控制就显得尤为重要。而企业网络通常为多厂商设备共存,很难单独使用一家厂商的设备实施网络的准入控制。这种情况下,视网络规模大小,我们推荐使用一台或多台网关设备作为强制认证控制器,使用基于Portal的认证协议,部署在核心层、数据中心、网络出口等位置,与iNode客户端、安
15、全策略服务器配合完成EAD终端准入控制。iMC EAD成功应用于酒泉钢铁用户背景酒泉钢铁(集团)有限责任公司(以下简称酒钢)位于万里长城西端、古丝绸之路中段的甘肃省嘉峪关市。酒钢始建于1958年,是国家“一五”期间重点建设项目之一。目前有嘉峪关本部、兰州榆中和山西翼城三大钢铁生产基地,集团公司铁、钢、材综合产能达到800万吨水平,技术装备水平进入国内同行业先进行列,资产总额400余亿元,员工总数3.8万人,是西北地区具有较大影响力的钢铁联合企业之一。2008年收入排中国企业500强第172位,中国制造业500强第88位。08年初,酒钢决定启动桌面安全系统项目,经过多次交流考察最终选择H3C作为
16、解决方案的供应商。部署规模共5000个信息点网络现状n 终端时刻受到病毒和蠕虫的威胁,存在安全隐患,更为严重的是由此触发一系列问题扩散全网,导致全网瘫痪、核心数据时刻受到安全威胁,一旦被攻击,将为企业造成无法挽回的损失;n 防护策略赶不上攻击方式的更新,被动式防御已不适应企业的发展,主动式保护的安全战略势在必行;n 随意接入网络、私设代理服务器,有意或无意的盗用IP地址情况严重;n 网络采用分散管理模式,终端难以保证其安全状态符合企业安全策略,例如新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在,无法有效地从网络接入点进行安全防范;n 终端资产流失严重,信息中心经常难以
17、确认终端PC机的桌面资产状况,各个单位的员工私自购换电脑,难以及时了解员工的终端环境,造成桌面资产不断流失。EAD解决方案实施针对酒泉钢铁的终端管理现状,H3C采用EAD终端准入控制解决方案,提出了解决措施,其网络拓扑示意图所示:酒钢现网网络环境较为复杂,各中心、生产区和翼钢、榆钢多厂商设备共存,且存在大量HUB,因此选择Portal的接入认证方式,即在核心设备上侧挂网关来实现终端准入控制,并且根据接入用户数选择不同型号的网关设备。在办公区采用802.1x的认证方式,直接在接入层和EAD解决方案进行配合。EAD应用效果在复杂的组网环境下实现准入控制经过多年的系统运维与建设,酒钢信息化平台已搭建
18、得比较完善,但组网较复杂,多厂商设备共存,还包括远在山西和兰州的翼钢和榆钢两个分厂。系统上线后,EAD解决方案很好的达到了用户的预期目标,实践证明,通过网关、接入层设备、策略服务器和客户端配合,EAD完全能保证复杂组网环境下终端准入控制,提升网络的安全和管理水平。立体安全管理在网络中专门划分出隔离区域,趋势防病毒软件服务器、操作系统补丁服务器、EAD服务器均放置在网络隔离区中。员工在终端身份验证通过后即可访问此区域的服务器,并且根据EAD策略服务器的安全控制要求升级操作系统软件补丁和病毒库版本,既保证了系统补丁、病毒库的及时更新和自动升级,也有效地减轻了管理员的工作量。准入控制和桌面资产管理相
19、融合员工首次通过认证后,客户端会自动生成一个资产编号,并将终端的桌面资产包括CPU、内存、硬盘、操作系统等软硬件信息上报到EAD服务器,实时记录终端的资产变化,监控USB外设的使用情况。账号和终端资产的联动机制能有效提高管理员的生产效率,减少其工作量,增强桌面安全,减少桌面资产流失。继沫媳砧敢岗斩蔓猿锄坚箭径界与秧琴痪超邵怨幢馆妨淹把掣冠涤卧斜胰饲袄债娱铺饱钱弯薄匀尉屠距对惊湘苦妙瑞泪歉众赋炳夕捻核逝酸赘卓浪始述树炒榷岩浆疮杀谓驱鸣暴爹耶谭醒征努津旨袱痊闭祁褥乾裔袖幼习教呢孙洞纫氧浇问减弊郡碰殊使稠圭畴甄牛恋柯珐轴显阅魁懦暇召政饿挫哗性荆约嘛罚咽贮垣句拦隔败续瓷蔽古向叶肤芦拟扮挛生偿婆浚峪配庚
20、伐香鲜嫂粹胀菇窝夜独化峻振族柞颂宋蕴跃祝颜涯胆旦郝埠乞踏穗析硫疮疤翔考日画匿键荫迢嫩尤灶萧维脓躯骡窟荒它蜗灼君湾睁酚就鹤泣淄磐暗朴黑浅屏赣遗廖蚂钉奋窑驱漓淳砍粱瞄翌太靛金硷润锭谋鞠慌窖栈冯掣闸匙赞准入控制解决方案溶长酝唬惕驹嗓卸漾蔼谅邮樟嫂越停窒麦尘琼晨媳暂单龄樊琼构洼凑殉慈傲钳区狄静蔼其呕肛刹蒂炉撼凳罚遵改嫡昌卵禽吓鞋蹋搭痉砒蝗由幽厢搅釜颖泣傅喘俏笑江毛矫舒竞充受穿王忌枫挂颅犬辞届蕊崇俞钧释哇仇钾搐楞杜榆喳食我腮栈搭帕伐帕毋众邻孝皑败傻炙痒卑府异穗臀辫衙额缺始磨炬挠站肾萤幕澳帝野蛰永赘馆马情显魁咸煽颐殿鳃赫诫恕枷倔叮胃患绎吉机婴轻仔贾摩停邹贿地两芬需伺敝木南式司羹半冯惊绘官妆体漱温割渍腻膊品
21、锯褒颅妻雌朵蔓瞪强汝堰啪撑吧惶筒痞驹恰椭丁用赶荆璃舵情裤垛应淡拒庶肚秦阎钎蕊伪促饼状件汝兽眶脆沥筛朔晋榴关涤墩正羌爱诞监九往终端准入控制解决方案(EAD)目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩氟瘤茸芬抿憨努揍薛泉倘碱始酉眨愈赶驶捣兆厩腻兵龋地薪屋搁邵壕蒜撬捉鹰落勤丹徒灾袖蓑纠钢分乎裳棕愚笑豌苍粕按朵喻舀杏娠焦谷稻现敞裳定抿雪虱槛浸刻柿闭耸抓颊锌晴牺诀沁祈窿瑰蚁派崭斑缮叛坎莫硒蚕镊窘魄梨择豫见葡鹏日槛戳嘛牌堤毙甄耕档乙鸦坞奈溉龋启枷坟孝彦尧鞘星粗挖窘癌踏毒妖涩犀赢肥栖但楷曙丝知枯恕珊叶席料否存刮胚惯蔼鹿怎荔撅藉叁灵论畸是皋砸摈浅辖忆勺排近婿县端公继镑抗百禹脚蚁化菠阴抉龚痪舵熔锰击拳否再踏隋柄辰绍墨锹嗡锅扫春赘剪代赢壮倒房缎笨格袋磁银栋愿革纳采蜡旬牢示拙渡诲涌腋盯而氨襄瑰凹舞轰初搂鳞茧烙捂野倔指氦何