ArubaOS客户机完整性模块.doc

ArubaOS客户机完整性模块由于移动网络的逐渐普遍化，当它暴露在非安全网络（如公共热区）中时，其受感染的风险将比其它任何设备都要高，同时，这又将引起企业网络受感染。ArubaOS 客户机完整性模块通过在授权访问网络之前，自动侦测、隔离以及修复受感染或错误配置的设备，提供了完整的按需安全以保护网络的移动边缘。 该解决方案只需通过下载一个基于浏览器的应用程序来实现。 Aruba 客户机完整性模块集成了来自 Sygate Technologies的技术，该公司是为大企业提供客户机完整性和网络访问控制解决方案的杰出供应商。建弹性策略创建了在获得网络访问权之前，终结点需要遵守的详细策略主机完整性用杀毒软件、更新的病毒定义文件、个人防火墙、关键服务包和补丁来保护客户的安全防止不遵守策略的设备访问网络资源提供了使设备遵守共同策略的补救机制虚拟桌面创建了一个虚拟环境，使用户可以下载、操作和上传机密数据而无需将它们储存在终结点中使雇员、合作伙伴、客户和访问者在使用第三方所有的设备时，可以安全地访问机密数据数据清除和缓存清理程序完全清除下载到第三方所有的设备上的机密数据删除浏览器信息，例如cookie、历史记录、自动补全、存储的密码以及临时文件传统的网络安全解决方案不是为移动地址设计的 传统的做法是，网络管理员设置了一个周边防御式和客户机上的终结点软件共同运行。 但是，由于笔记本计算机、其他便携设备以及共享计算设备在许多环境（例如学校和制造工厂）中日渐普遍的使用，以及访客和承包商在局域网中的出现，这一解决途径就远远不够。 局域网中通过认证但不可控制设备的出现威胁了 IT 基础结构。Aruba 的客户机完整性模块通过 Sygate Technologies 的 Sygate 按需代理 (SODA)，用一种既对用户天衣无缝，又不影响现存网络基础结构的方法消除了这些威胁。 SODA 是一种定义共同安全策略的代理程序，当客户设备请求访问网络时，会将 SODA 下载到该设备，而且只有当终结点完全遵守安全策略时才允许连接网络。创建 弹性策略的 Sygate 按需管理器创建弹性策略客户机完整性模块允许网络管理员定义一个策略集，在客户设备授权访问网络之前，它们必须遵守该策略集。 策略是使用直观图形界面创建的，其中可以包括存在形式、特定类型或杀毒软件的补丁修改、个人防火墙、服务包、操作系统或其他安装的软件。 一旦定义了策略，系统会创建一个可下载的 Sygate 按需代理，该代理将存放在 Aruba 移动控制器上。1 定义的共同安全策略以及发送到 Aruba 移动控制器的 SODA。2 客户请求访问网络。3 下载 SODA 到客户机并扫描系统是否遵守策略。4 如果用户未通过安全检查，则Aruba 移动控制器将把 URL 重定向 至补救服务器。 如果用户通过安全检查，则用户通过认证。5 用户通过认证之后，允许该用户通过企业策略访问网络。主机完整性客户机完整性模块和 Aruba 的强制网络门户认证系统将连接到网络的客户机置于一个系统任务中，即在验证客户机遵守策略以及用户通过认证之前，将客户机隔离起来并防止其访问网络， 当用户连接到网络之前，在终结点上下载并运行Sygate 按需代理。 SODA 根据先前定义的策略验证终结点的完整性。 通过 Aruba 强制网络门户屏幕，允许通过完整性验证的客户机进行认证。 未通过完整性验证的客户机将重定向到另一个专用网页，该网页提供了说明和下载链接以使得用户可以将设备设置为遵守策略。虚拟桌面第三方和共享设备上的缓存和下载的数据会给机密数据带来风险。 为了降低这种风险，Aruba 客户机完整性模块提供了一个“虚拟桌面”来隔离每个用户的数据。 在完成完整性验证之后，SODA 在“虚拟桌面”环境中运行一个“干净”Web 浏览器，并允许用户通过 Aruba 强制网络门户登录。 一旦通过认证，用户就可以访问基于 Web 的企业资源，例如电子邮件和其它服务器。 也可以阻止在该“虚拟桌面”环境中使用某些应用程序（例如 P2P 应用程序）数据清除和缓存清理程序当一个“虚拟桌面”会话结束或超过了配置时间间隔，则 SODA 会自动清除会话中的所有数据。 如果没有用安全方式删除，则下载到第三方和共享设备中的数据可能以折衷方式处理。 作为选择，可以配置“虚拟桌面”以创建一个加密且密码保护的虚拟桌面环境，并将其保留在计算机中以备下次访问该设备的相同用户使用。 此外，缓存清理程序可以用来清除浏览器信息，例如 cookie、历史记录、自动补全、存储的密码以及临时文件。恶意代码防护客户机完整性模块侦测、阻塞并消除恶意代码，例如防止按键记录器获得用户名和密码，防止特洛伊木马创建后门账户，以及防止抓屏器偷窥用户的活动。 若要防止硬件按键记录器，则该模块要求通过“虚拟键盘”在特定的网站上输入密码和机密信息。 此外，可以使用已知的开发者签名和行为样式侦测来防止未知的威胁。系统要求主机完整性Windows 98、ME、NT4 (SP6)、2000、XP虚拟桌面Windows NT 4.0 (SP6)、2000、XP缓存清理器Windows 98、ME、NT4 (SP6)、2000、XP、Mac OSX、LinuxSygate 按需管理器Windows 2000、XP、Server 2003带有 Sygate 按需集成的 Aruba 强制网络门户配置功能优点主机完整性保证访问网络和机密数据的设备具有最新的杀毒软件、个人防火墙、关键服务包和补丁，这样可以保护企业网络。客户机补救允许不遵守策略的设备访问服务器以安装或更新软件。 启用自服务端口以减少管理员干涉。虚拟桌面将用户会话和通常的操作系统隔离开来，以提供一个干净的环境并从中访问基于 Web 的应用程序。 提供了可选保存加密和受保护密码的虚拟桌面以备将来使用。数据清除和缓存清理器保证在会话结束之后，安全地删除了下载到客户设备的机密数据以及浏览信息。恶意代码防护侦测、阻塞并消除恶意代码，例如按键记录器，特洛伊木马和抓屏器。连接控制通