《端点准入防御方案技术建议书》由会员分享,可在线阅读,更多相关《端点准入防御方案技术建议书(25页珍藏版)》请在金锄头文库上搜索。
1、. . . . 端点准入防御方案技术建议书 目 录1概述42EAD端点准入防御解决方案介绍52.1方案思路52.2方案组成部分52.2.1EAD安全策略服务器62.2.2修复服务器72.2.3安全联动设备72.2.4安全客户端73EAD解决方案组网部署83.1多厂商设备混合组网部署(Portal方式)9方案组网10组网设备10方案说明10流程说明11实施效果113.2接入层准入控制组网部署(802.1x)11方案组网11组网设备12方案说明12流程说明13实施效果133.3EAD应用模式143.3.1隔离模式143.3.2Guest模式143.3.3VIP模式153.3.4下线模式154EAD
2、解决方案应用模型及功能特点164.1端点准入防御应用模型164.1.1端点准入防御应用模型164.1.2端点准入防御工作流程164.2端点准入防御功能特点174.2.1安全状态评估174.2.2用户权限管理184.2.3用户行为监控184.3桌面资产管理应用模型194.3.1桌面资产管理应用模型194.4桌面资产管理功能特点204.4.1终端资产管理204.4.2软件分发215系统参数及环境要求215.1EAD系统技术参数215.2EAD系统环境要求216附1:部署说明227附2:EAD功能列表23 . . . 1 概述某钢铁(集团)有限责任公司(以下简称某钢)网络信息化建设目前处于同行业领先
3、水平,自动化应用程度高,信息平台承载着ERP、OA、MES等众多系统,因此信息平台成为企业正常经营生产的基础平台之一。多年的系统运维与建设,某钢信息化平台已搭建得比较完善,但同时对安全管理方面提出了较高要求。网络安全基础设施的建设以及对原有网络进行终端安全准入的改造已经成为某钢网络建设的重中之重。目前某钢网络中存在的典型问题归纳总结为以下几大类:(1)终端时刻受到病毒和蠕虫的威胁,存在安全隐患,更为严重的是由此触发一系列问题扩散全网,导致全网瘫痪、核心数据时刻受到安全威胁,一旦被攻击,将为企业造成无法挽回的损失;(2)防护策略赶不上攻击方式的更新,被动式防御已不适应企业的发展,主动式保护的安全
4、战略势在必行;(3)随意接入网络、私设代理服务器,有意或无意的盗用IP地址情况严重;(4)网络采用分散管理模式,终端难以保证其安全状态符合企业安全策略,例如新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在,无法有效地从网络接入点进行安全防。导致网络接入层面管理失控。为了解决现有网络安全管理中存在的不足,应对网络安全威胁,蓝潮世讯通信科技有限责任公司提供了端点准入防御(EAD,Endpoint Admission Defense)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理
5、产品、资产管理产品、桌面管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。EAD同时具有资产管理、外设监控、软件分发等功能,提供了企业网PC集中管理运维的方案,
6、以高效率的管理手段和措施,协助企业IT部门及时盘点网资产、掌控网资产变更情况。2 EAD端点准入防御解决方案介绍EAD端点准入防御方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。2.1 方案思路EAD解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访
7、问等安全威胁对企业网络带来的危害。为达到以上目的,蓝潮提出了包括检查、隔离、修复、监控的整体解决思路。1. 检查:l 检查网络接入用户的身份;l 检查网络接入用户的访问权限;l 检查网络接入用户终端的安全状态;2. 隔离:l 隔离非法用户终端和越权访问;l 隔离存在重大安全问题或安全隐患的用户终端;3. 修复:l 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;4. 监控:l 实时监控在线用户的终端安全状态,及时获取终端安全信息;l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;l 通过制定新的安全策略,持续保障网络的安全。2.2 方
8、案组成部分为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。EAD解决方案的组成部分见下图:图1 EAD解决方案组成部分如图1所示,EAD解决方案的基本部件包括EAD安全策略服务器(EAD服务器)、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端,各部件各司其职,由安全策略中心协调,共同完成对网络接入终端的安全准入控制。2.2.1 EAD安全策略服务器EAD方案的核心是整合与联动,而EAD安全策略服务器(i
9、MC EAD服务器)是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。l 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。l 用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。l 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的
10、隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。2.2.2 修复服务器在EAD方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。2.2.3 安全联动设备安全联动设备是企业网络中安全策略的实施点,起到强制
11、用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:l 强制网络接入终端进行身份认证和安全状态评估。l 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。l 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同
12、的ACL、VLAN等。2.2.4 安全客户端H3C客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:l 提供802.1x、Portal、VPN、无线等多种认证方式,可以与交换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。l 检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到EAD安全策略服务器,执行端点准入的判断与控
13、制。l 安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要施安全策略的用户终端将被限制在隔离区。l 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。l 监控终端资产组成和变更情况,监控的信息包括:逻辑磁盘、OS登录名、计算机名、IP地址、操作系统、屏保、分区信息、共享信息;CPU、存、主板、磁盘、网卡、光驱、BIOS;安装/卸载软件,包括程序名称、程序版本、安装日期;进程列表、服务列表、磁盘可用空间、CPU
14、使用频率/时钟频率、存剩余空间、IP获取方式等等,并按照分类以报表的形式展示,如果有软硬件发生变化也将实时记录。3 EAD解决方案组网部署目前某钢铁的网络,主要划分为烧结区、炼钢区、宏昌区、动力区、交易区、办公楼和生产指挥中心共七大区域,总共4500左右个接入点,大部分采用思科交换机,少量采用H3C交换机。其中烧结区、炼钢区、宏昌区、动力区、交易区均为思科接入设备汇聚到C6506,办公区为H3C的接入交换机3026/3050C汇聚到思科45上,生产指挥中心为6台3550接入到6509上。为了便于部署实施,且达到准入控制的要求,经过论证在烧结区等五个区域在汇聚的6506上旁挂EAD网关,采取Po
15、rtal认证的方式。由于翼钢和榆钢分别在和,为了解决这两地的部准入问题分别在他们的网络旁挂EAD网关(要求两地的网络设备支持策略路由)。对于生产指挥中心的六台3550,在核心的一台6509上旁挂一台EAD网关实现Portal认证,控制该区域的网络准入问题。在办公大楼区域采取802.1x的认证方式,解决网络准入控制。图2 某钢铁网络拓扑图3.1 多厂商设备混合组网部署(Portal方式)通常企业在建设自身的办公网,满足互联互通的要求后,会逐渐意识在部网络安全控制的必要性,尤其是网终端的安全问题,这时对于终端的安全准入控制就显得尤为重要。而这时的企业网络通常为多厂商设备共存,很难单独使用一家厂商的设备实施网络的准入控制,这种情况下,视网络规模大小,我们推荐使用一台或多台网关设备作为强制认证控制器,使用基于Portal的认证协议,与i
