《华为TSM技术和HCEAD技术深层次分析.doc》由会员分享,可在线阅读,更多相关《华为TSM技术和HCEAD技术深层次分析.doc(13页珍藏版)》请在金锄头文库上搜索。
1、H3C EAD与华为TSM地技术分析超级计算可以作为云计算地一种业务对internet用户提供便捷地服务.从这个角度来看,超算中心可以作为云计算数据中心地一个部分.但是超级计算与云计算还是很大区别地,因此需要看作是一个特殊地云计算服务.这种特殊性对于网络和安全方面地需求表现在: 超级计算是一种“聚合”业务,是一种特殊地服务器集群应用.这种应用要求服务器自成系统,具体表现在: 集群系统不能出现异构现象. 集群内部地通信服务质量要求非常高,因此不能与其他业务共享业务通道.集群系统地安全级别很高,从接入区开始一直到超算区,要求与其他系统保持物理或是逻辑隔离. 集群节点地计算性能要求较高,一般不会出现
2、虚拟机.因此,集群内部地通信流量并不是很大.综合各种需求,H3C提出融合超级计算中心和云计算数据中心地网络解决方案.将超级计算服务作为云计算地一个独立地区;保证超级计算端到端地安全隔离;在超级计算区内实现统一交换架构. 华为赛门铁克Secospace TSM(Terminal Security Management,终端安全管理)系统是面向具有安全内控需求地企业终端安全管理产品,将终端安全状况和接入控制结合在一起,通过安全检查.隔离修复.行为审计等手段,加强终端地主动防御能力,保证企业网络地整体安全性,提高企业对终端地管理水平. 多种接入控制方案,满足各种网络接入场景下地准入控制需求: 安全接
3、入控制网关SACG,电信级硬件网关设备,提供对终端地安全接入控制,部署和维护简单,安全可靠.性能卓越; 802.1x控制方式,基于端点地安全接入控制,支持国内外主流厂商交换机,有效保证网络地接入安全; 基于主机防火墙地纯软方案,不依赖于任何网络设备,实现基于端点地安全接入控制,可主动阻止或隔离未安装代理地不安全终端对邻居终端地访问,减少威胁. 全面地身份认证方式,不同场景下灵活选择: 提供基于用户名密码地认证授权,同时也广泛支持主流地外部认证平台,如:AD.LDAP.USBKEY数字证书等,节省用户投资地同时极大地方便了管理员对访问用户进行统一地管理和配置,很大程度上降低了支持和维护地成本;
4、提供基于Agent客户端和基于IE浏览器地地无Agent认证方式,灵活满足内部员工.移动办公用户和临时访客地安全接入认证需求. 持续地员工行为管理,保障更高地IT资源地可用性和使用效率: 提供上网行为审计.软件使用审计.计算机外设使用审计.USB接口使用监控.非法外联监控.网络异常流量监控等安全策略; 对员工违规行为进行审计和控制,保证企业IT资源地合理使用. 强大地终端互访控制功能,满足企业对终端隔离地需求: 提供终端互访控制功能,支持终端层地安全域划分,不同安全域之间地互访需可信授权,有效保证终端之间地互访隔离.1 系统架构分析1.1 TSM系统架构分析TSM终端安全管理系统是一个包括软件
5、和硬件整体系统.主要由TSM管理器(SM).控制器(SC).代理(SA)和修复服务器(SRS)四个软件部件,以及接入控制网关(SACG)一个硬件部件,共五个部件组成.TSM代理(TSM Agent,简称SA)安装在用户终端上,负责用户地身份输入和安全策略检查.在用户使用网络前,必须启动SA,然后输入身份信息进行登录,在登录过程中,SA同时收集客户端地安全信息,把相关信息发送到SC进行检查.TSM修复服务器(TSM Repair Server,简称SRS)对操作系统补丁,杀毒软件,防火墙等安全资源进行集中统一地管理,对不符合企业安全策略地终端进行安全修复,同时为用户提供安全策略查询和安全问题反馈
6、.SRS接受TSM管理器地信息,根据用户地安全状况给用户相应地提示信息,并协助用户对终端进行安全修复,比如补丁安装等.TSM接入控制网关(TSM Access Control Gateway,简称SACG)控制终端地网络访问权限,对不同地用户,不同安全状况地用户开放不同地权限.当TSM控制器认证和安全检查终端之后,把结果通知SACG,SACG根据控制器地信息,决定终端地访问权限.SACG采用华为公司地Eudemon系列产品.TSM终端安全管理各模块功能TSM管理器(TSM Manager,简称SM)是TSM 安全管理系统地业务核心,提供各种业务功能组件,包括资产管理.软件分发.补丁管理.日志审
7、计.终端安全策略管理.身份管理.报表等组件,并提供WEB界面与用户交互.TSM控制器(TSM Controller,简称SC)负责管理SA和SACG,SC接收SM地指令并发给SA执行,当用户通过SA认证通过后,SC控制SACG开放用户访问相应企业资源地权限,即当认证通过后,由SACG(Eudemon防火墙)下发ACL进行动态地网络访问控制.为什么SACG(Eudemon防火墙)下发ACL对接入用户进行网络访问动态控制?因为所有地接入流量必须引入到SACG(Eudemon防火墙),由SACG(Eudemon防火墙)根据IP地址下发ACL进行访问控制.SACG(Eudemon防火墙)地部署方式主要
8、有两种:1. SACG(Eudemon防火墙)旁挂在接入.汇聚或者核心交换机.见下图说明:步骤说明: 接入网络地用户需要进行认证(包括802.1X或者Portal认证) 认证通过,接入流量被通过某种方式(例如策略路由)导入到SACG(Eudemon防火墙) SACG(Eudemon防火墙)根据接入IP(即接入用户身份)下发ACL 访问相应地网络资源缺点:所有流量都被导入SACG(Eudemon防火墙),然后下发ACL进行网络访问控制,意味着上行地网络流量都被导入SACG(Eudemon防火墙),产生网络迂回,降低了网络性能,增加了网络故障点2. SACG(Eudemon防火墙)串接入网络.见下
9、图说明:步骤说明: 接入网络地用户需要进行认证(包括802.1X或者Portal认证) 认证通过,接入流量进入到SACG(Eudemon防火墙),SACG(Eudemon防火墙)根据接入IP(即接入用户身份)下发ACL,如果认证和安全检查不同,下发隔离ACL.认证通过,下发访问网络ACL. 访问相应地网络资源缺点:SACG(Eudemon防火墙)串接在网络中,所有流量都被导入SACG(Eudemon防火墙),然后下发ACL进行网络访问控制,增加了单点故障,使网络结构复杂.1.2 H3C EAD系统架构分析EAD解决方案组网包括安全客户端.安全联动设备.IMC EAD安全策略服务器和第三方服务器
10、.安全客户端:是指安装了H3CiNode智能客户端地用户接入终端,负责身份认证地发起和安全策略地检查.安全联动设备:是指用户网络中地交换机.路由器.VPN网关等设备.EAD提供了灵活多样地组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层.iMC EAD安全策略服务器:它要求和安全联动设备路由可达.负责给客户端下发安全策略.接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问地授权指令.第三方服务器:是指补丁服务器.病毒服务器和安全代理服务器等,被部署在隔离区中.当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中地服务器,通过第三
11、方服务器进行自身安全修复,直到满足安全策略要求.EAD在用户接入网络前,通过统一管理地安全策略强制检查终端用户地安全状态,并根据对终端用户安全状态地检查结果实施接入控制策略,对不符合企业安全标准地用户进行“隔离”并强制用户进行病毒库升级.系统补丁升级等操作;在保证终端用户具备自防御能力并安全接入地前提下,可以通过动态分配ACL.VLAN等合理控制用户地网络权限,从而提升网络地整体安全防御能力.具体部署方案如图:步骤说明: 接入网络地用户需要进行认证(包括802.1X或者Portal认证) 认证通过,接入交换机根据用户身份下发ACL或者VLAN 访问相应地网络资源特点: 接入交换机可以执行802
12、.1X认证,认证通过后根据用户身份下发ACL进行动态访问控制.首先这种部署方式不改变网络结构,不存在网络迂回和单点故障问题.接入交换机即可实现认证.访问控制一体化控制.结构简单,部署方便.2 安全准入流程分析2.1 TSM流程分析终端安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端健康检查(即企业定义地安全策略标准),在确认身份合法并通过健康检查后,终端可以访问各种企业资源,认证不通过则不能访问网络,健康检查不通过则放在一个隔离区进行检查修复,直到终端通过健康检查后才允许正常访问企业内部网络资源,终端接入控制采用地是认证前域和认证后域地概念.终端接入控制主要是防止不安全
13、地终端接入网络给企业安全带来隐患和防止非法终端和用户访问企业网络.网络级访问控制和终端安全接入控制地差异在于认证通过后,访问控制网关会根据用户地身份,确定用户可以访问企业地哪些业务系统,网络级访问控制地重点是保护企业资源.TSM 安全管理系统提供地网络级访问控制采用基于角色地访问控制,可以有效地制止用户地非法访问和越权访问.2.2 EAD 流程分析EAD在用户接入网络前,通过统一管理地安全策略强制检查终端用户地安全状态,并根据对终端用户安全状态地检查结果实施接入控制策略,对不符合企业安全标准地用户进行“隔离”并强制用户进行病毒库升级.系统补丁升级等操作;在保证终端用户具备自防御能力并安全接入地
14、前提下,可以通过动态分配ACL.VLAN等合理控制用户地网络权限,从而提升网络地整体安全防御能力.3 功能模块分析H3C公司EAD产品可以提供网络准入.终端安全.访问控制.用户行为审计.桌面资产管理;在以上几个功能模块中,其中用户行为审计.桌面资产管理华为产品无法提供,导致方案地较大缺陷,有些客户需要部署终端安全和桌面资产两套产品,维护困难,还存在兼容性差地问题.同时EAD还可以实现基于用户账号地网络行为审计,可根据用户需要,通过接入用户名.上网时间.用户访问网页地URL.ftp操作文件及发送邮件地主题等各种条件地组合对网络日志进行快速审计,并对审计结果提供灵活地排序.分组.保存等功能.网络管
15、理员可以从海量地网络日志中精确审计终端用户地上网行为.终端用户何时访问了某网站.何时访问了某网页.发送了哪些Email.向外发送了哪些文件等信息均可通过日志审计得出结果H3C桌面管理模块可以提供丰富地额桌面管理功能,包括:l 支持资产分组.资产编号自动生成.资产地增删改.支持手工扫描单个资产.自动关联资产责任人.资产信息上报策略定义.在线用户列表中查询资产信息l 支持硬件.软件地资产变更管理,实时监控终端用户软件安装卸载/硬件变更状态l 支持按照CPU.操作系统.软件.资产类型.硬盘等信息提供资产统计功能.l 支持丰富地软件分发,其中包括按照资产批量分发软件.按照资产分组分发.立即分发软件和定时分发软件.按照分发任务查询每个资产地软件分发状态.支持资产地软件分发历史等l 可对USB地使用进行监控,监控信息包括USB插拔记录.写文件名及文件大小等.对于USB地插拔记录可产生告警以提醒管理员注意.l 外置管理,实现对光驱.软驱.USB移动存储.USB全部接口(不包括USB鼠标.键盘).打印机.调制解调器.串行口.并行口.1394控制器.红外设备.蓝牙设备等进行启用和禁用.4 对比分析总结 从部署方案分析,EAD优势非常明显:H3C EAD可以和接入交换机.路由器.防火墙配合,不需要增加任何硬件网络设备,既可
