EAD解决方案ppt课件.ppt

EAD解决方案 提纲 EAD的背景和基本原理EAD的主要流程和功能详解EAD的新特性EAD配置实例EAD特点及总结 EAD背景 现有网络安全解决方案的不足 用户对已经公布的安全漏洞视而不见对用户的安全状态一无所知 防御措施治标不治本 忽略了管理因素 无法对终端接入用户进行有效的接入控制无法对终端接入用户的网络使用行为进行管理 控制手段薄弱 对用户安全接入管理的新要求 被动防御 单点防御 分散管理 以网络为中心 主动防御系统自愈 全面防御多点联动 集中策略管理统一审计 以用户为中心管理优先 现状 需求 我们的策略 隔离防御能力脆弱的用户终端及时更新系统补丁 病毒库 提高抵抗力限制对网络的不合理使用 提高用户终端的主动防御能力 身份认证与安全认证结合与专业防病毒系统联动多重权限控制 VLAN ACL QoS 多种安全部件的联动防御 用户安全接入策略的统一管理组织级安全策略的强制实施用户安全状态的集中审计 集中策略实施与管理 事前 用户身份和防御能力认证事中 用户安全状态和行为的监控事后 用户安全状态和行为的审计 以用户为中心的全程管理 主动防御 全面防御 集中策略管理 以用户为中心 EAD基本原理 安全客户端 安全联动设备 补丁检测 认证插件 其他插件 安全策略服务器 第三方服务器 终端 设备层 控制层 隔离区 身份认证 用户名 密码 IP MAC VLAN 非法用户拒绝接入 不合格用户进入隔离区 进行补丁升级 病毒库升级 策略实施 访问策略 QoS策略 安全设置 为合格用户提供个性化服务 架构 流程 防病毒 系统补丁服务器 端点准入防御 EAD EndpointAdmissionDefense 方案通过终端 设备 安全策略服务器 CAMS 以及第三方服务器的联动 融合了身份认证 用户行为管理 补丁管理以及防病毒功能 可以加强网络终端的主动防御能力 控制病毒 蠕虫的蔓延 主动防御对网络的非法入侵 CAMS 病毒插件 安全客户端平台 安全认证 病毒库版本 补丁 安全设置 EAD基本功能 检查 隔离 修复 监控 管理 检查客户端的安全状态和防御能力 操作系统版本 补丁 HotFix 防病毒软件版本 病毒库版本 病毒检查安全配置检查 隔离不符合安全策略 防御力低的终端 通过802 1x Portal VPN认证阻断非法用户通过ACL VLAN限制 危险 用户的访问权限 隔离区 高强度身份验证 防止交叉感染防止病毒爆发 确保用户合法并具有抵抗力 强制修复系统补丁 升级防病毒软件 通知用户修复系统漏洞安全策略实施自动或手工进行系统补丁 病毒库的升级 提高抵抗力增强安全性 实时监控用户的安全状态 定时病毒扫描定时检查安全配置及终端状态 全程安全监控掌握安全状态 安全事件实时上报及时隔离 危险 用户 集中 统一的用户管理 接入策略服务策略 可控的安全可视的安全 安全策略 事件监控日志分析 端点准入防御 域统一认证 EAD物理结构及核心构件 华为3ComiNode客户端第三方杀病毒客户端补丁检查联动客户端插件 第三方防病毒服务器 核心网 Internet 防火墙 CAMS平台 CAMS安全策略服务器 CAMS安全策略代理 补丁升级服务器 iNode客户端1x认证Portal认证VPN认证病毒库版本检测补丁检测协同与联动安全策略实施安全事件上报 第三方联动软件金山江民瑞星WSUS 安全联动设备交换机路由器VPN网关动态ACL隔离服务策略控制 用户管理中心安全策略管理中心用户准入控制平台1x VPN Portal认证基于身份的服务策略控制计费 分布式安全策略控制代理 确保安全策略服务器安全 策略下发安全状态评估安全事件处理用户隔离控制 CAMS 安全联动设备 提供病毒库升级和系统补丁修复服务 XLOG 用户行为审计用户上网日志联动跟踪 端点准入防御 EAD 方案 EAD通过安全客户端 策略服务器 接入设备以及第三方防病毒服务器 系统补丁服务器的联动 可以将不符合安全要求的终端限制在 隔离区 内 防止 危险 终端对网络安全的损害 避免 易感 终端受病毒 蠕虫的攻击EAD对接入网络的用户实施基于角色的安全策略 对接入用户进行集中管理 控制用户的网络使用行为和权限 规范用户访问行为 提高网络安全EAD以CAMS为基础 结合XLog日志审计功能 增强了对用户的管理能力 可以帮助用户实施安全策略 评估终端安全状态 修复受感染终端 审计用户行为EAD是一种整合方案 对病毒 蠕虫等的检测由第三方防病毒厂商完成 目前主要支持的合作方是金山 江民和瑞星 对补丁的自动检测升级由微软WSUS WindowsServerUpdateServices 服务器配合客户端定制插件完成 EAD是一种立体防御方案 可以与交换机 路由器 VPN网关联动实现对接入层 汇聚层和VPN的端点准入防御 提纲 EAD的背景和基本原理EAD的主要流程和功能详解EAD的新特性EAD配置实例EAD特点及总结EAD的问题定位 802 1x认证方式 在符合IEEE802标准的局域网中 只要与局域网接入控制设备如LANSwitch相接 用户就可以与局域网连接并访问其中的设备和资源 但是对于诸如电信接入 商务局域网 如写字楼中的LAN 以及移动办公等应用场合 局域网服务的提供者普遍希望能对用户的接入进行控制 为此产生了对 基于端口的网络接入控制 的需求 IEEE802 1x标准正是基于这种 基于端口的网络接入控制 的需求而产生的 IEEE于2001年颁布该标准文本并建议业界厂商使用其中的协议作为局域网用户接入认证的标准协议 802 1x认证系统是典型的C S系统 它包括如下三个部分 SupplicantSystem 客户端 PC 网络设备 AuthenticatorSystem 认证系统 AuthenticationServerSystem 认证服务器 802 1x认证方式 802 1X的认证过程 EAP MD5方式 802 1X客户端 802 1X设备端 802 1X服务器 Initial Connecting Challenge Response Success Portal接入认证业务又称作门户站点业务 就是当用户接入时 网络接入服务器NAS NetworkAccessServer 比如Quidway系列交换机 只允许用户访问特定站点服务器的内容 该服务器被称为Portal服务器 外部网络资源上的各网络内容运营商ICP InternetContentProvider 可通过该站点向用户提供各自站点的相关信息 网络服务运营商ISP InternetServiceProvider 将根据Portal服务器上完成的用户认证与用户业务选择的结果 来决定NAS是否开放该用户访问选择的外部网络资源的权限 最大特点是无需安装客户端 Portal认证方式 Portal认证也是典型的C S系统 其结构与802 1x相似 强制Portal认证的典型组网如下 Portal认证方式 强制Portal认证由四个基本要素组成 认证客户机 接入设备 Portal服务器和认证计费服务器 认证客户机认证客户机上需要安装MicrosoftInternetExplorer 版本要求在5 0以上 用户在没有通过认证前 所有被设备限制的HTTP页面请求都将被重定向到Portal服务器 Portal将为用户提供一个用户定制的认证主页 接入设备接入设备的作用主要有两个 1 用户在没有通过认证前 用户提交的所有HTTP请求都将被提交给Portal服务器 2 在认证通过后 允许用户使用互联网 3 在用户低流量或关机的情况下 强制用户下线 Portal认证方式 Portal服务器Portal服务器提供以下几个方面的作用 1 为用户提供可定制的认证页面以及下线页面 2 具有对用户是否使用互联网的在线检测机制 保证在浏览器异常关闭的情况下 向设备发起用户下线请求3 与设备交互用户认证信息 并将交互结果反馈给用户 认证计费服务器认证计费服务器与接入设备进行交互 对用户进行认证和计费 Portal认证方式 Portal用户认证上网流程 EAD安全认证流程 802 1x认证 华为3ComiNode客户端第三方杀病毒客户端补丁检查联动客户端插件 第三方杀病毒服务器补丁升级服务器 安全区 Internet 防火墙 CAMS 安全策略服务器 安全策略客户端管理代理 1 安全客户端发起认证请求 2 认证成功 通知设备隔离用户 下发代理IP和端口 通知进行安全认证 3 安全联动设备实施服务的授权策略 将用户限制到隔离区 6 iNode客户端与第三方软件或定制插件联动 执行安全策略及其他功能 并将上报安检结果 8 如安全检查合格 通知安全联动设备解除隔离 7 安全策略服务服务器下发检查结果 修复策略以及设置监控任务等 9 实施安全策略的监控策略 提醒用户可以正常上网并执行修复任务等 4 上线通知 上传登录信息等 请求安全检查项 5 安全策略服务器下发用户安全策略 是否检查补丁 杀毒 及其他控制信息 XLOG安全日志审计系统 安全联动设备 安全认证成功的客户端状态 EAD安全认证不合格 802 1x认证 第三方杀病毒服务器补丁升级服务器 安全区 Internet 防火墙 CAMS 安全策略服务器 安全策略客户端管理代理 1 安全客户端发起认证请求 2 认证成功 通知设备隔离用户 下发代理IP和端口 通知进行安全认证 3 安全联动设备实施服务的授权策略 将用户限制到隔离区 6 iNode客户端与第三方软件或定制插件联动 执行安全策略及其他功能 并将上报安检结果 7 安全检查不合格 下发检查结果 修复策略等 8 提醒用户 自动或手工在隔离区内进行自我修复 4 上线通知 上传登录信息等 请求安全检查项 5 安全策略服务器下发用户安全策略 是否检查补丁 杀毒 及其他控制信息 XLOG安全日志审计系统 X 华为3ComiNode客户端第三方杀病毒客户端补丁检查联动客户端插件 EAD业务流程示意 认证与强制修复 安全客户端 CAMS安全策略代理 CAMS安全策略服务器 防病毒服务器补丁服务器 安全联动设备 安全状态不合格 下发修复策略 依据修复策略 手工或自动到指定服务器升级补丁和病毒库 完成升级 手工或者自动重新进行安全认证 通知开放权限 下发安全检查项及其他控制信息 如心跳间隔等 上线通知 请求安全认证 0 x01 安全状态信息上报 0 x02 0 x03 0 x06 安全状态合格 设置监控策略 0 x010 x020 x03 0 x04 EAD认证报文类型 Session control报文 EAD安全实时监控 802 1x认证 第三方杀病毒服务器补丁升级服务器 安全区 Internet 防火墙 CAMS 安全策略服务器 安全策略客户端管理代理 1 用户上网过程中发现安全隐患 如发现病毒 运行非法软件等 XLOG安全日志审计系统 2 安全客户端上报安全事件 3 安全策略服务器记录安全事件 根据安全策略配置下发处理结果通知 如通知下线 4 如果需要隔离 安全策略服务器根据配置通知联动设备隔离用户 X 5 用户只能访问隔离区的服务器进行自我修复 之后手工发起安全认证 华为3ComiNode客户端第三方杀病毒客户端补丁检查联动客户端插件 EAD业务流程示意 实时安全监控 安全客户端 CAMS安全策略代理 CAMS安全策略服务器 防病毒服务器补丁服务器 安全联动设备 正常心跳保持 客户端实时检测异常 发送通知报文 通知处理策略及隔离时间 记录日志并倒计时 控制隔离用户 更改用户在线安全状态等 0 x110 x12 0 x0A 0 x07 客户端实时监控无异常 发送通知报文 0 x08 EAD认证报文类型 客户端实时检测异常 发送通知报文 0 x07 Session control报文 安全监控 隔离前的客户端状态 安全监控 隔离安全日志 安全认证失败的客户端状态 隔离模式 安全认证失败的客户端状态 提醒模式 EAD安全认证流程 Portal认证 华为3ComiNode客户端第三方杀病毒客户端补丁检查联动客户端插件 第三方杀病毒服务器补丁升级服务器 安全区 Internet 防火墙 CAMSPortalServer 安全策略服务器 安全策略客户端管理代理 2 安全客户端发起认证请求 3 认证成功 通知设备用户上线 并下发代理IP和端口 通知进行安全认证 1 用户在Portal认证上网前即可访问定义的隔离区即free ip 6 iNode客户端与第三方软件或定制插件联动 执行安全策略及其他功能 并将上报安检结果 7 安全策略服务服务器下发检查结果 修复策略以及设置监控任务等 8 实施安全策略的处理策略 提醒用户可以正常上网并执行修复任务等 4 上线通知 上传登录信息等 请求安全检查项 5 安全策略服务器下发用户安全策略 是否检查补丁 杀毒 及其他控制信息 XLOG安全日志审计系统 安全联动设备 X 9 处理结果为隔离或者下线则iNode主动下线 只能访问隔离区的服务器进行自我修复 EAD安全策略处理级别及模式 下线模式 对安全检查和安全监控不合格的客户端直接另其下线 CAMS上记录的下线原因是 Userrequest 隔离模式 对安全检查和安全监控不合格的客户端做隔离处理 提醒模式 对安全检查和安全监控不合格的客户端 不作隔离处理 但客户端会将不合格信息提示给用户 监控模式 对安全检查和安全监控不合格的客户端 不作隔离处理 客户端显示信息与合格情况相同 对以上所有模式 在发生安全事件时 均记录安全日志 EAD安全认证日志查询 EAD安全策略检查项列表 病毒客户端是否正常启动运行 病毒引擎和病毒库版本检查 与微软补丁服务器WSUSServer联动进行软件补丁检查 自动升级 自定义系统软件补丁检查 可针对系统软件的不同版本自定义补丁检查策略 限制特定可控软件的安装或运行 与病毒引擎联动 可进行认证前查毒 设置病毒查杀和监控策略 并实时将病毒信息上报策略服务器 正常上网期间 对客户端出现感染病毒异常 防病毒软件异常 可控软件使用异常等进行实时监控和处理 提纲 EAD的背景和基本原理EAD的主要流程和功能详解EAD的新特性EAD配置实例EAD特点及总结EAD的问题定位 EAD解决方案新功能 DMA DMA DesktopManagementAgent 桌面管理代理 功能目前支持以下客户端信息的收集上报和查询 1 系统信息 2 屏保信息 3 共享目录信息 4 已安装补丁信息 5 已安装软件信息 6 当前运行进程信息 7 当前已启动服务信息 8 硬盘分区信息等 EAD业务流程示意 DMA及其他功能 安全客户端 CAMS安全策略代理 CAMS安全策略服务器 防病毒服务器补丁服务器 安全联动设备 EAD认证下线通知报文 消息下发及通知下线报文 0 x130 x14 0 xA4 DMA桌面管理代理查询请求报文 0 xA5 EAD认证报文类型 DMA桌面管理代理信息上报回应报文 EAD认证下线回应报文 0 xA2 EAD业务新功能 DMA 2 EAD业务新功能 DMA 3 EAD业务新功能 DMA 4 EAD业务新功能 DMA 5 EAD解决方案新功能 与WSUS联动实现自动补丁检测和升级 WSUS WindowsServerUpdateServices Windows服务器更新服务解决方案与EAD配合共同实现针对微软相关软件的补丁自动检测和更新 需要客户端安装微软定制的WSUSClient软件 基于Microsoft NETFramework 仅支持微软相关软件补丁的管理 如 Windows IE SQLServer等 目前支持的客户机侧操作系统有 Windows2000 Professional Server SP3及更高版本 WindowsXP Home Professional 全系列 WindowsServer2003全系列 EAD解决方案新功能 安全处理结果分级 引入 安全级别 概念 每种安全事件均可定义不同的处理级别和模式 做到对端点准入的以事件为单位的策略分级 便于管理和区分复杂网络安全情况下的不同级别安全事件 注意 安全事件发生时策略服务器以最严重的 安全级别 对安全事件下发策略 EAD解决方案新功能 可控软件安装检查的匹配优化 EAD解决方案目前支持可控制软件的安装检查 并且支持模糊和精确两种匹配方式 A 如果可控制软件名称定义中在结尾加上了 作为通配符 则认为是模糊匹配 只要安装了名称以 之前的字串开头的软件iNode客户端均认为匹配成功 B 如果软件名称定义后不加 则iNode客户端认为需要精确匹配该软件名 即使差一个字母也不会认证通过 提纲 EAD的背景和基本原理EAD的主要流程和功能详解EAD的新特性EAD配置实例EAD特点及总结EAD的问题定位 EAD相关配置 CAMS部分 配置策略服务参数 默认EAD为开启定义安全策略定义安全级别定义防病毒软件 可选 定义系统软件版本和软件补丁 可选 定义可控制软件 可选 将安全策略应用于服务 EAD的CAMS配置 1 配置参数 CAMS策略服务器IP及配置端口 安全客户端代理服务器IP及监听端口 EAD启用标志 心跳间隔及超时次数 重认证间隔 修改后 需要点击系统配置页面的按钮才能使配置生效 EAD的CAMS配置 2 定义安全策略 EAD的CAMS配置 3 防病毒软件管理 配置配合联动的病毒客户端类型 优先级 定义是否检查杀毒引擎版本或者病毒库版本 定义引擎版本和病毒库版本的最低限制等 EAD的CAMS配置 4 定义软件版本 目前支持的Windows操作系统软件版本定义方法 软件名 Windows软件版本 98 2000ServicePack3 2000ServicePack4 XPServicePack1 XPServicePack2 Server2003等等软件语言 简体中文 英文及所有语言 可选 EAD的CAMS配置 5 软件补丁定义 Windows系统软件补丁名称的定义方法 KB 补丁数字版本号如 KB896422 即取补丁文件名 Windows2000 KB896422 x86 CHS EXE 中间的版本信息 下同 Q 补丁数字版本号如 Q815021 EAD的CAMS配置 6 可控软件管理 软件名称 对于需要检查安装状况 即要求必须安装或禁止安装 的软件 此处必须填写Windows控制面板中 添加 删除程序 列表中的软件名称 软件说明 用来描述软件的相关信息 运行进程名称 对于需要检查运行状况 即要求必须运行或禁止运行 的软件 此处必须填写Windows任务管理器中 进程 列表中的进程名称 如果某一个软件包含多个进程 可以增加多个字段 EAD的CAMS配置 7 服务应用安全策略 EAD的CAMS配置 8 配置生效及状态查询 EAD相关配置 接入设备 交换机 部分 1 配置Radius认证方案 radiusscheme 及对应的session control server2 配置认证域 domain 3 配置隔离ACL和安全ACL4 配置可达CAMS及客户端管理代理服务器地址的IP 网关和路由等5 启动802 1x认证 全局 端口 6 启用802 1x其他功能特性 全局 端口 如 dot1xsupp proxy checklogoffdot1xversion check EAD的接入设备配置 注意事项 1 radiusscheme中的session control server为策略服务器地址2 radiusscheme中的认证和计费密钥必须相同 并且必须与安全策略服务器上配置相一致3 隔离ACL和安全ACL中必须配置允许访问安全客户端管理服务器地址4 DHCP分配IP地址时 ACL中需要配置如下 rule1permitudpdestination porteqbootpsrule2permitudpdestination porteqbootpc 提纲 EAD的背景和基本原理EAD的主要流程和功能详解EAD的新特性EAD配置实例EAD特点及总结EAD的问题定位 设备支持计划 中低端交换机已基本完成消息透传 动态ACL控制功能 实现对EAD方案的支持 目前基于PlatV1R3的中低端交换机已实现对EAD的支持 提交测试部测试 已经按计划推出 基于CommwareV3R2的39 56系列已有版本支持路由器产品目前确定以Portal 方式 扩展Portal 实施端点准入防御 目前平台正在移植Portal Portal EAD特性已经部分支持安全产品线交流确定在相关设备上参照路由器的方案实施Portal 方式的端点准入防御 VPN网关中实现消息透传和动态ACL控制 VPN客户端SecPonit与EAD安全客户端集成 计划年底提供联调版本 联动路由器 联动VPN网关 联动交换机 交换机设备支持EAD情况 与第三方厂商的合作 已与国内杀毒市场份额最大的三家防病毒厂商 金山 瑞星 江民 达成合作已基本完成与瑞星 江民 金山三家防病毒厂商的EAD对接测试 功能上均能基本满足EAD的要求已经实现主动获取SymantecNorton 趋势科技 Ahn安博士 McAfee等部分病毒客户端版本信息 实现弱联动 不支持可控的认证时病毒查杀 自动升级 策略部署等协同功能 可与微软WSUS方案联动 实现Windows系统软件补丁自动检测和更新 EAD的特色 完备的安全状态评估实时 危险 用户隔离基于角色的网络服务基于接入层设备的准入控制可扩展的 开放的安全解决方案灵活 方便的部署与维护 Internet 安全策略服务器 非法用户 无法通过身份验证 拒绝接入网络 未知安全状态 只允许接入隔离区 未使用安全客户端的用户 隔离区 不符合安全策略