端点准入防御解决方案Word格式文档下载.docx

1、安全策略服务器是EAD方案中的管理与控制中心，是EAD解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的CAMS产品实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略 。安全联动设备是企业网

2、络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能集成至EAD解决方案种，实现安全产品功能的整合。EAD原理图示意了应用EAD系统实现终端安全准入的流程： 用户终端试图接入网络时，首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证，非法用户将被拒绝接入网络。 合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等

3、信息是否合格，不合格用户将被安全联动设备隔离到隔离区。 进入隔离区的用户可以根据企业网络安全策略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合企业网络安全策略。 安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。2.2、功能特点 完备的安全状态评估 用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能正常访问网络 实时的“危险”用户隔离 系统补丁、病毒库版本不及时更新或已感染病毒的用户终

4、端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。 基于角色的网络服务 在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配置的安全策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理，并实时应用实施。 可扩展的、开放的安全解决方案 EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达

5、到端点准入控制的目的，有效保护用户的网络投资。EAD也是一个开放的解决方案。EAD系统中，安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。 灵活、方便的部署与维护 EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。3、EAD应用场景EAD是一种通用接入安全解决方案，具有很强

6、的灵活性和适应性，可以配合交换机、路由器、VPN网关等网络设备，实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的安全防护。可以为多种应用场合提供安全保护，具体包括： 局域网安全防护 在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。 无线接入网络的安全防护 WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的监控，容易感染病毒和木马或出现长期不更新系统补丁的现象，给网络带来安全隐患。与局域网接入防护类似，对于这种

7、无线接入的用户，EAD也可以在交换机配合下，通过实现用户接入终端的安全控制，实现用户网络的安全保护。 VPN接入网络的安全防护 一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。 企业关键数据保护 对于接入网络的用户终端，其访问权限受EAD下发的安全策略控制，其对企业关键数据服务器的访问也因此受控。同时由于可访问该数据服务器的用户均通过EAD的安全状态检查

8、，避免数据遭受非法访问和攻击。 网络入口安全防护 大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器中实施EAD准入认证。4、结论EAD提供了一个全新的安全防御体系，该系统作为网络安全管理的平台，将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力。在EAD平台的基础上，可轻松构建让企业管理者、

9、网络用户和网络管理员均放心的安全网络。通过对网络接入终端的检查、隔离、修复、管理和监控，有效管理网络安全，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，让网络拥有“自动免疫”的安全机能。华为 3COM EAD 端点准入防御解决方案技术白皮书伴随着社会信息化步伐的不断提速，网络正全方位地改变着我们工作、生活以及娱乐的方式。发展初期的网络注重设备的互通性、链路的可靠性，从而达到信息共享的通畅。经过多年的应用与发展，伴随着人们对网络软硬件技术认识的深入，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，网络安全基础设施也日渐成为企业网

10、建设的重中之重。在企业网中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使企业蒙受严重损失。在企业网络中，任何一台终端的安全状态（主要是指终端的防病毒能力、补丁级别和系统安全设置），都将直接影响到整个网络的安全。不符合企业安全策略的终端（如防病毒库版本低，补丁未升级）容易遭受攻击、感染病毒，如果某台终端感染了病毒，它将不断在网络中试图寻找下一个受害者，并使其感染；在一个没有安全防护的网络中，最终的结果可能是全网瘫痪，所有终端都无法正常工作。如何确保网络中的终端安全状态符合企业安全策略，是每一个网络管理员不得不面对的

11、挑战。新的补丁发布了，却无人理会，任由系统漏洞的存在；新的病毒出现了，却不及时升级病毒库，为病毒入侵大开方便之门。这种情况在企业网中比比皆是，然而，管理员查找、隔离、修复这些不符合安全策略的终端却是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。华为3Com端点准入防御（EAD，Endpoint Admission Defense）方案从网络终端入手，整合网络接入控制与终端安全产品，强制实施企业安全策略，从而加强网络终端的主动防御能力，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延。这种端到端的安全防护体系，可以在终端接入层面帮助管理员统一实施企业安全策略，

12、大幅度提高网络的整体安全。2 EAD概述目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足。被动防御，缺乏主动抵抗能力在多数情况下，当一个终端受到感染时，病毒已经散布于整个网络。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式

13、无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。 单点防御，对病毒的重复、交叉感染缺乏控制目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。 分散管理，安全策略不统一，缺乏全局防御能力只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作

14、系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。为了解决现有安全防御体系中存在的不足，华为3Com公司推出了端点准入防御（EAD）解决方案，旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括： 检查检查用户终端的安全状态和防御能力用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感

15、染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端，容易遭受外部攻击，属于“易感”终端；已感染病毒的终端，会对网络中的其他设施发起攻击，属于“危险”终端。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术（802.1x、Portal等），可以确保接入终端的合法与安全。 隔离隔离“危险”和“易感”终端在EAD方案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源，这些受限的网络资源被称之为“隔离区”

16、，可以通过ACL或VLAN方式实现。 修复强制修复系统补丁、升级防病毒软件EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后，EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级，配合防病毒服务器或补丁服务器，帮助用户完成手工或自动升级操作，达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。 管理与监控集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施，需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体

17、的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。EAD的基本功能是通过安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如下图所示：图1 EAD基本原理用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，

18、不合格用户将被安全联动设备隔离到隔离区进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。3EAD基本部件EAD端点准入防御方案是一个整合方案，其基本部件包括安全客户端

19、、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。EAD方案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成对网络接入终端的安全状态评估、隔离与修复，提升网络的整体防御能力。3.1安全客户端安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括： 提供802.1x、portal等多种认证方式，可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。 检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终

20、端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。3.2 安全策略服务器EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控

21、制以及安全事件审计等功能。 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。 用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器

22、才可以协同工作，配合完成端到端的安全准入控制。 日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态提供依据。3.3 安全联动设备安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机、路由器或防火墙安全网关，分别实现不同认证方式（如802.1x、Portal等）的端点准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能： 强制网络接入终端进行身份认证和安全状态评估。 隔离不符合安全策略的用户终端。联动设备接

23、收到安全策略服务器下发的隔离指令后，可以通过VLAN或ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的QoS、ACL、VLAN等。3.4 第三方服务器在EAD方案中，第三方服务器是指处于隔离区中，用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，当用户终端的系统补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。4EAD组网方案4

24、.1 802.1x接入组网方案EAD可以配合交互机或BAS设备，结合802.1x认证方式实现对接入用户的端点准入控制。这种组网方案对不符合安全策略的用户隔离严格，可以有效防止来自企业网络内部的安全威胁。图2 802.1x接入组网方案4.2 Portal接入组网方案EAD可以配合路由器、BAS等设备，结合Porta认证方式在汇聚层实现对网络用户的端点准入控制。这种组网方案具有适应性广的特点，可以应用于企业网络出口、分支机构出口、关键区域保护等多种应用场景。图3 园区网Portal组网方案图4 企业分支接入组网方案5EAD应用场景EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，可以配合

25、交换机、路由器、VPN网关等网络设备，实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的端点防御。EAD可以为以下应用场景提供安全防护解决方案： 局域网接入安全防护在企业网内部，接入终端一般是通过交换机接入企业网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网络，EAD可以通过交换机的配合，强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估，帮助管理员实施企业安全策略，确保终端病毒库和系统补丁得到及时更新，降低病毒和蠕虫蔓延的风险，阻止来自企业内部的安全威胁。 关键数据保护EAD的安全防护层次不仅仅限于用户接入控

26、制，某些企业可能更关心对于核心数据区域（比如数据中心、ERP服务器区等）的安全保护。通过在关键数据区的入口添加安全联动路由器，EAD可以强制所有访问关键数据区的用户进行Portal认证和安全状态检查，确保用户访问关键数据时不会无意中因病毒和蠕虫对其产生破坏。这种保护方式也可以阻止外部用户对企业敏感数据的非法访问和攻击。 企业总部入口安全防护大型企业往往拥有分支或下属机构，分支机构可以通过专线或WAN连接企业总部。某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器或BAS中实施EAD准入认证，强制接入用户进

27、行Portal认证和安全状态检查。 企业分支出口安全防护在某些管理和监控较为严格的企业，用户终端在企业网内部访问时，受到的安全威胁相对较小。但当用户试图访问外部网络时，其受到非法攻击和病毒感染的几率则要成倍增加，如果用户在访问外网时没有及时安装补丁或升级病毒库，则其系统中存在的漏洞将很可能成为外部攻击的目标，甚至成为攻击企内部网络的“帮凶”。EAD可以在企业出口路由器或BAS设备中强制用户进行Portal认证和安全状态检查，确保用户访问外网时具有符合企业标准的攻击防御能力。6EAD的特点作为一种新兴的安全防御体系，EAD从端点准入控制入手，整合防病毒软件等单点安全产品，可以大幅度提高网络对病毒

28、、蠕虫等新兴安全威胁的整体防御能力。EAD端点准入防御方案具有以下特点： 整合防病毒与网络接入控制，大幅提高安全性EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”，只能访问网络管理员指定的资源，直到按要求完成相应的升级操作。通过EAD的强制措施，可以保证用户终端与企业安全策略的一致，防止其成为网络攻击的对象或“帮凶”。 支持多种认证方式，适用范围广EAD支持802.1x、Portal等多种认证方式，具有广泛的适应性，可以根据应用场景的区别，选择合适的方式实施准入防御策略，分别从局域网接入、VPN接入、汇聚设备等不同层面确保网络的整体安全。 全面隔离“危险”终端在EAD方案中，对不符合企业安全策略的用户终端进行隔离时，可以配合设备采用VLAN或ACL隔离的方式，以到达物理或网络隔离的效果，实现对“危险”终端的全面隔离。 灵活、方便的部署与维护EAD方案部署灵活，维护方便，可以按照网络管理员的要求