EAD端点准入防御解决方案.docVIP

EAD端点准入防御解决方案华为3Com EAD解决方案 EAD端点准入防御解决方案伴随着网络应用技术的快速发展，网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响到企业的正常运营。如何应对网络安全威胁，确保企业网络安全，为企业运营提供可靠的网络保障，已经是每一个企业决策者不得不关注得问题，也是每一个网络管理员不得不面对得挑战。目前，多数网络安全事件都是由脆弱的用户终端和“失控”的用户网络使用行为引起。在企业网中，网络用户终端不及时升级系统补丁、升级和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用使用网络管理员企业禁止使用的软件等行为在企业网中也比比皆是。“失控”的用户终端一旦接入网络，就等于让网络给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速侵入扩散。就可能给整个企业网络带来严重的安全威胁。保证接入网络的用户终端的安全、，阻止安全威胁侵入侵网络网络，并对接入网络的用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业网络安全管理急需解决的问题。传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。华为3Com端点准入防御（EAD，Endpoint Admission ControlDefenseD）解决方案则，从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强网络用户终端的主动防御能力，保护大幅度提高网络安全。方案概述EAD解决方案在用户接入网络前，强制检查用户用户接入终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户网络接入控制策略，对不符合企业安全标准策略的用户进行“隔离”，并强制用户进行病毒库升级、系统补丁安装等操作；，在保证接入网络的每一台用户终端的安全具备自防御能力并安全接入的前提下，合理控制用户的网络行为，提升确保用户网络整网的安全防御能力。系统应用示意图如下所示：在互联网技术的发展应用过程中，伴随着网络应用软硬件技术的快速发展，网络信息安全问题日益严重，新的安全威胁不断涌现，网络管理员不得不面对病毒泛滥、软件漏洞、黑客攻击等诸多网络安全问题。目前，多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、使用网络管理员禁止使用的软件等行为在企业网中也比比皆是。如何有效管理企业网络安全，确保企业网络安全是每一个网络管理员不得不面对的挑战。但现有技术、产品对于网络安全问题的解决，通常是被动防御，事后补救。华为3Com端点准入防御（EAD）解决方案，从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。功能特点n 完备的安全状态评估用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能正常正常准许访问网络n 实时的“危险”用户隔离系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中，如果终端发生感染病毒等安全事件，EAD系统可实时隔离该“危险”终端。n 基于角色的网络服务在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配置的安全策略接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理，并实时应用实施。n 可扩展的、开放的安全解决方案EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。EAD也是一个开放的安全解决方案。EAD系统中，安全策略服务器与同网络设备的交互、与同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前EAD系统已与瑞星、金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。n 灵活、方便的部署与维护EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。方案部件EAD是一个整合与联动的安全解决方案，系统由四部分组成，主要部件具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。n 安全策略服务器是EAD方案中的用户管理与策略控制中心，是EAD解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能，是EAD解决方案的核心部件。华为3Com公司的CAMS产品实现作为了安全策略服务器的功能，可以该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置实现对网络用户的身份认证和接入用户终端的安全认证，并通过以标准协议与网络设备的联动控制，实现对用户接入用户网络访问行为的控制，。同时，该系统可详细记录了用户上网信息和安全事件信息，可以方便地跟踪审计用户上网行为和安全事件。n 安全客户端平台是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的代理。安全客户端可该平台按照企业安全策略的要求，可集成各种安全第三方厂商的安全产品插件，提供丰富的身份认证方式、对用户终端进行身份认证、安全状态评估以及实施基于角色的网络安全策略。n 安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供差异化网络服务的作用。CAMS综合接入管理平台作为安全策略服务器，华为3Com提供标准的协议接口，支持同系列交换机、路由器、安全网关等各类网络设备，可以通过标准的协议与CAMS安全策略服务器的安全联动，在不同的应用场景实现对用户的准入控制。n 第三方服务器第三方服务器为是指病毒服务器、补丁服务器等第三方网络安全产品。，通过安全客户端的代理插件以及安全策略服务器的设置实施策略控制，第三方安全产品可以的功能集成至EAD解决方案中，实现不同层面安全产品功能的联动与融合整合。典型组网应用n 局域网安全防护在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与接入层交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。n 无线接入网络的安全防护WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的监控，容易感染病毒和木马或出现长期不更新系统补丁的现象，给网络带来安全隐患。与局域网接入防护类似，对于这种无线接入的用户，EAD也可以在交换机配合下，通过实现用户接入终端的安全控制，实现用户网络的安全保护。n VPN接入网络的安全防护一些许多企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。n 企业关键数据保护对于接入网络的用户终端，其的访问权限受EAD下发的安全策略控制，其对企业关键数据服务器的访问也因此受到保护受控。同时由于在EAD的控制下，可访问该数据服务器企业关键数据的用户需要均通过身份验证和EAD的安全状态检查，可以避免企业敏感信息数据遭受非法访问和恶意攻