华为3com-EAD端点准入防御解决方案

发表于:2007-06-09来源:作者:点击数: 标签:
伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到企业的正常运营。如何应对 网络安全 威胁,确保企业网络安全,为企业运营提供可靠的网络保障 ,已经是每一个企业决策者不得不关注得问题

伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到企业的正常运营。如何应对网络安全威胁,确保企业网络安全,为企业运营提供可靠的网络保障

,已经是每一个企业决策者不得不关注得问题,也是每一个网络管理员不得不面对得挑战。

目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业网络安全管理急需解决的问题。

传统的网络安全产品对于网络安全问题的解决,通常是被动防御,事后补救。clearcase/" target="_blank" >cc">华为3Com端点准入防御(EAD,Endpoint Admission Defense)解决方案则从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。

方案概述

EAD解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。系统应用示意图如下所示:

功能特点

完备的安全状态评估

用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能准许访问网络

实时的“危险”用户隔离

系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中,如果终端发生感染病毒等安全事件,EAD系统可实时隔离该“危险”终端。

基于角色的网络服务

在用户终端在通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全客户端下发系统配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一管理,并实时应用实施。

可扩展的、开放的安全解决方案

EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。

EAD也是一个开放的安全解决方案。EAD系统中,安全策略服务器与网络设备的交互、与第三方服务器的交互都基于开放、标准的协议实现。在防病毒方面,目前EAD系统已与瑞星、金山、江民等多家主流防病毒厂商的产品实现联动。

灵活、方便的部署与维护

EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。EAD可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。

方案部件

EAD是一个整合与联动的安全解决方案,主要部件包括安全策略服务器、安全客户端、安全联动设备和第三方服务器。

安全策略服务器

EAD方案中的用户管理与策略控制中心,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能,是EAD解决方案的核心部件。华为3Com公司的CAMS产品作为安全策略服务器,可以在全面管理网络用户信息的基础上,实现对网络用户的身份认证和接入终端的安全认证,并通过与网络设备的联动控制用户网络访问行为。同时,该系统详细记录了用户上网信息和安全事件信息,可以方便地跟踪审计用户上网行为和安全事件。

安全客户端

安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的代理。安全客户端可按照企业安全策略的要求,集成第三方厂商的安全产品插件,提供丰富的身份认证方式、实施基于角色的安全策略。

安全联动设备

企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供差异化服务的作用。华为3Com系列交换机、路由器、安全网关等网络设备,可以通过标准的协议与CAMS安全策略服务器的联动,在不同的应用场景实现对用户的准入控制。

第三方服务器

第三方服务器是指病毒服务器、补丁服务器等网络安全产品。通过安全客户端的代理插件以及安全策略服务器的策略控制,第三方安全产品可以集成至EAD解决方案中,实现不同层面安全功能的联动与融合。

典型组网应用

局域网安全防护

在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与接入层交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。

VPN接入网络的安全防护

许多企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。

企业关键数据保护

接入网络的用户终端的访问权限受EAD下发的安全策略控制,对企业关键数据服务器的访问也因此受到保护。在EAD的控制下,访问企业关键数据的用户需要通过身份验证和安全状态检查,可以避免企业敏感信息遭受非法访问和恶意攻击。

网络入口安全防护

大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在企业入口路由器中实施EAD准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。

原文转自:http://www.ltesting.net