終端準入控制

目前,在企業網絡中,用戶的終端計算機不及時升級系統補丁和病毒庫、私設代理服務器、私自訪問外部網絡、濫用企業禁用軟件的行為比比皆是,脆弱的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散,進而導致網絡使用行為的“失控”。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證企業網絡安全運行的前提,也是目前企業急需解決的問題。

網絡安全從本質上講是管理問題。H3C終端準入控制(EAD,End user Admission Domination)解決方案從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施企業安全策略,嚴格控制終端用戶的網絡使用行為,有效地加強了用戶終端的主動防御能力,為企業網絡管理人員提供了有效、易用的管理工具和手段。

1.方案概述

對于要接入安全網絡的用戶,EAD解決方案首先要對其進行身份認證,通過身份認證的用戶進行終端的安全認證,根據網絡管理員定制的安全策略進行包括病毒庫更新情況、系統補丁安裝情況、軟件的黑白名單、U盤外設使用情況、軟硬件資產信息等內容的安全檢查,根據檢查的結果,EAD對用戶網絡準入進行授權和控制。通過安全認證后,用戶可以正常使用網絡,與此同時,EAD可以對用戶終端運行情況和網絡使用情況進行審計和監控。EAD解決方案對用戶網絡準入的整體認證過程如下圖所示:

2.組網模型

如下圖所示,EAD組網模型圖中包括安全客戶端、安全聯動設備、EAD安全策略服務器和第三方服務器。

安全客戶端:是指安裝了H3C iNode智能客戶端的用戶接入終端,負責身份認證的發起和安全策略的檢查。

安全聯動設備:是指用戶網絡中的交換機、路由器、VPN網關等設備。EAD提供了靈活多樣的組網方案,安全聯動設備可以根據需要靈活部署在各層比如網絡接入層和匯聚層。

EAD安全策略服務器:它要求和安全聯動設備路由可達。負責給客戶端下發安全策略、接收客戶端安全策略檢查結果并進行審核,向安全聯動設備發送網絡訪問的授權指令。

第三方服務器:是指補丁服務器、病毒服務器和安全代理服務器等,被部署在隔離區中。當用戶通過身份認證但安全認證失敗時,將被隔離到隔離區,此時用戶能且僅能訪問隔離區中的服務器,通過第三方服務器進行自身安全修復,直到滿足安全策略要求。

3.功能特點

? 全方位準入控制

EAD解決方案提供完善的接入控制,可以支持局域網、廣域網、VPN、無線各種接入方式,支持包括HUB在內的各種復雜網絡、思科等異構網絡環境下的部署,保證從任何地點、任何方式下的接入安全。

? 嚴格的身份認證

除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進行綁定,支持智能卡、數字證書認證,增強身份認證的安全性。

? 完備的安全狀態評估

根據管理員配置的安全策略,用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置、U盤審計、外設管理、桌面資產管理等; EAD客戶端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國內外主流病毒廠商聯動,同時為了更好的滿足客戶的需求,也支持與微軟SMS、LANDesk、BigFix等業界高端的桌面安全產品的配合使用。例如已經購買微軟的桌面管理工具SMS的用戶,EAD可以與SMS配合,由EAD實現終端用戶的準入控制,由SMS實現各種Windows環境下用戶的桌面管理需求:資產管理、補丁管理、軟件分發和安裝等。

? 精細化的權限控制

在用戶終端通過病毒、補丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全聯動設備下發事先配置的接入控制策略,按照用戶角色權限規范用戶的網絡使用行為。終端用戶的所屬VLAN、ACL訪問策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施均可由管理員統一配置實施。

? 靈活方便的執行方式

EAD按照網絡管理員配置的安全策略區別對待不同身份的用戶,定制不同的安全檢查和處理模式,包括監控模式、提醒模式、隔離模式和下線模式。用戶可以根據自己的實際需要,為VIP客戶、內部員工、外來訪客等不同人群,定義不同的安全策略執行方式。

? 桌面資產及外設管理

EAD解決方案提供了對終端資產全方位的監控和管理的功能,可以對終端軟硬件使用情況、變更情況進行監控,同時還支持終端資產的配置管理和軟件的統一分發、遠程桌面控制,實現對桌面資產的有效管理。EAD解決方案還提供了對U盤和其他外設的管理功能,可以對終端用戶的各種外設進行控制,有效防止重要信息的泄密,同時提供U盤文件的監控功能,可以查看重要文件通過U盤拷貝時,有無存在不當使用行為。

? 易于部署的無客戶端

EAD解決方案提供了免安裝的易用部署方式,用戶事先不需要安裝客戶端,上網時EAD系統會自動載入客戶端,對用戶身份和終端安全狀態進行檢查,用戶不需要改變上網習慣的同時,可以享受EAD帶來的安全保障。

? 多種層次的高可用性

EAD解決方案提供了雙機冷備和雙機熱備功能,可以避免單臺EAD服務器當機引起的認證中斷,同時還支持單機故障的逃生方案,臨時允許客戶端不用認證就可以使用網絡,保證了經濟敏感用戶的利益。

? 擴展開放的解決方案

EAD解決方案為客戶提供了一個擴展、開放的結構框架,最大限度的保護了用戶已有的投資。EAD廣泛、深入的和國內外防病毒、操作系統、桌面安全等廠商展開合作,融合各家所長;EAD與第三方認證服務器、安全聯動設備等之間的交互基于標準、開放的協議架構和規范,易于互聯互通。

4.典型組網應用

? 局域網安全準入防護

在企業網內部,接入終端一般是通過交換機接入企業網絡,EAD通過與交換機的聯動,強制檢查用戶終端的病毒庫和系統補丁信息,降低病毒和蠕蟲蔓延的風險,同時強制實施網絡接入用戶的安全策略,阻止來自企業內部的安全威脅。

l 廣域網安全準入防護

大型企業往往擁有分支機構或合作伙伴,其分支機構、合作伙伴也可以通過專線或WAN連接企業總部。這種組網方式在開放型的商業企業中比較普遍,受到的安全威脅也更嚴重。為了確保接入企業內部網的用戶具有合法身份且符合企業安全標準,可以在分支機構出口路由器、企業入口路由器或網關中實施EAD準入控制,保證接入網絡的用戶終端不會對內部網絡造成安全威脅。

l VPN安全準入防護

一些企業和機構允許移動辦公員工或外部合作人員通過VPN方式接入企業內部網絡。EAD方案可以通過VPN網關確保遠程接入用戶在進入企業內部網之前,檢查用戶終端的安全狀態,并在用戶認證通過后實施企業安全策略。對于沒有安裝安全客戶端的遠程用戶,管理員可以選擇拒絕其訪問內部網絡或限制其訪問權限。

? WLAN無線安全準入防護

對于外來訪客和企業內部的移動用戶,使用WLAN無線網卡接入企業網絡的情況越來越多,這帶來了許多安全問題,EAD通過與FAT AP、AC無線控制器等無線設備的聯動,強制用戶在使用無線網絡之前,必須先進行身份認證、安全狀態檢查,在享受便捷的無線網絡同時,大大減少了來自空中的安全威脅。

吉林十一选五走势图表