SYGATE网络准入控制方案.doc

I SYGATE 网络准入控制方案网络准入控制方案 II 目目 录录 1 SYGATE 网络准入控制概况网络准入控制概况 1 1 1SYGATE相关背景资料 1 1 2 导言 1 2 SYGATE 网络准入控制方案网络准入控制方案 2 2 1 边界准入控制 3 2 1 1远程接入权限 3 2 1 2互联网访问权限 4 2 1 3域名解析权限 4 2 1 4支持的VPN列表 4 2 2 接入层准入控制 5 2 2 1 Lan Enforcer与802 1x交换机配合工作的说明 5 2 2 2 LAN Enforcer结合域来做准入控制 6 2 2 3支持的交换机厂商列表 6 2 3 WEB应用准入控制 7 2 4 本地准入控制 7 3 结论结论 SYGATE 持续不间断网络持续不间断网络 9 1 1 Sygate 网络准入控制概况网络准入控制概况 1 1Sygate 相关背景相关背景资料资料 SYGATE 是 可信赖计算组织 TRUSTED COMPUTING GROUP TCG 的核心成员 致力于 发展 定义和促进开放标准的计算机安全技术 以保护网络 节点 应用和信息的安 全 TCG 在基础设施工作组下面专门成立了一个可信任网络连接子组 该子组负责开 发可信赖网络连接 Trusted Network Connect 的新标准 这项新标准将保护网络免受病 毒 蠕虫 拒绝服务等攻击 允许用户加强安全策略 阻止易受攻击的系统连接 1 2 导言导言 企业的网络与业务系统以及办公系统连接的越来越紧密 但是网络的安全状况却越来 越令人堪忧 今天几乎所有病毒基于网络来主动传播 系统漏洞成为传播的最有力方式 它们与网 络入侵 黑客技术进一步融合 少数病毒直接以瘫痪和拥堵网络为目的 更有甚者目 标直指企业的核心敏感信息 传统的病毒解决方案只能治标不能治本 特征库更新滞 后 与快速型病毒对抗时速度处于下风 等等弊端不一而足 面对新的形势 传统 的病毒方案已是力不从心 颓势尽显 从另一个角度来看 服务器和桌面系统不遵循企业安全策略的并不在少数 去定位 隔离和修复这些系统意味着需要消耗大量的人力资源和时间 更无奈的是 即使下大 力气梳理 没有好的技术手段来保障 过一段时间以后这些问题又会重新浮现 SYGATE 的网络准入控制技术正是在这样的时局下应运而生 以主动防护技术为基石 为网络和终端建立了一套多维 多层次的立体防护体系 2 2 SYGATE 网络准入控制方案网络准入控制方案 网络准入控制最大的挑战在于网络环境的复杂性网络环境的复杂性 主要归结为以下几方面 终端用户的多样性 雇员 客户 供应商和合作伙伴 终端设备的多样性 公司自有设备 家中的 PC 第三方人员笔记本 终端接入方式的多样性 有线 无线 虚拟私有网 VPN 和拨号 所以 SYGATE 运用了四种准入控制技术来应对 每种技术可单独工作 也可配合使用 整个准入控制体系见下图 网络准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络 或者规范用户 接入网络的行为 从而铲除网络威胁的源头 避免事后处理的高额成本 网络准入控 制策略可以简单一分为三 即检查策略 接入策略和修复策略 检查策略检查策略 根据进程 文件 注册表等设置的检查结果来判断 用户身份是否合法 主机防火墙是否安装并运行 防病毒软件是否安装并运行 病毒特征库是否及时更新 主机入侵检测系统是否运行 及时更新 操作系统关键安全补丁是否安装 3 操作系统安全配置是否妥当 是否感染特定病毒实体 接入策略接入策略 根据上述检查结果 SYGATE 强制服务器和网络设备以及 SYGATE 客户 端联动来决定 拒绝终端 用户接入 容许终端 用户接入 隔离终端 用户 单机隔离 VLAN 隔离 限制终端 用户访问权限 应用程序 远程主机 时间 协议类型 端口 互联网访问权限 远程接入权限 域名解析权限 Web 应用连接权限 website web mail web OA web CRM web ERP etc 修复策略修复策略 在隔离或限制接入的情况下 还可以通过自动修复来换回正常的网络访问 权限 修复的内容包括 自动开启 IE 连接内部安全网站上相关的提示页面 自动分发病毒专杀工具 自动升级病毒特征库 自动分发操作系统关键补丁 自动纠正错误的系统配置 2 1 边界准入控制边界准入控制 2 1 1 远程接入权限远程接入权限 边界准入通常用来控制使用 VPN 和 RAS 拨号的远程用户 实际上这些远程用户游离 于企业周边防火墙的保护之外 经常暴露在宾馆 网吧 咖啡厅等公共网络之中 它 们所面临的安全风险最大 病毒一旦攻陷远程用户主机 就会以客户机为跳板 进入 企业网络 从而给企业生产和办公带来灾难性的损失 边界准入控制拓扑图如下 4 SYGATE 强制服务器 Gateway Enforcer 以内连 inline 的方式站在 VPN 网关和 企业网络之间 它能够验证远程用户主机上是否运行了 SYGATE 客户端软件 并且要 求 SYGATE 客户端提交该远程主机的安全检查报告 当用户没有运行 SYGATE 客户 端 或者安全检查结果不达标的时候 认证强制网关能够阻止用户访问企业内部网络 但提供用户恢复其安全的绿色通路 2 1 2 互联网访问权限互联网访问权限 Gateway Enforcer 还有两外两种常见的用法 一种是将它放置在出口路由的前面 利 用它来强制检查内网的终端 如果它们的接入检查结果不符合企业安全规范时 拒绝 给予其访问互联网的权限 2 1 3 域名解析权限域名解析权限 另一种用法是将它放置在内部 DNS 服务器的前面 利用它来强制检查内网的终端 如 果它们的接入检查结果不符合企业安全规范时 拒绝给予其域名解析的权限 通常网 络管理员配合此举 将在网络出口处封杀对外的 DNS 请求 2 1 4 支持的支持的 VPN 列表列表 SYGATE 可支持的 VPN 品牌列表如下 Alcatel Secure VPN Aventail SSL VPN Check Point VPN 1 5 Cisco VPN 3000 5000 Enterasys Aurorean VPN Intel VPN Gateway Microsoft PPTP VPN NetScreen Remote VPN Nortel Contivity VPN SafeNet SoftRemote VPN 提供自定义方式 以支持其他品牌 VPN 2 2 接入层准入控制接入层准入控制 当移动用户和外来人员从企业内部接入网络的时候 边界的准入措施往往会失去效用 这时就需要借助 SYGATE 强制服务器 Lan Enforcer Lan Enforcer 可以和 802 1x 交换机在接入层对用户实现网络准入控制 原理示意图如下 2 2 1 Lan Enforcer 与与 802 1x 交换机配合工作的说明交换机配合工作的说明 Lan Enforcer 强制服务器可以管理支持 802 1X 的交换机 它要求交换机主动认证接 入的 PC 如果 PC 上没有安装 SYGATE 客户端软件 或者其他主机安全状况检查没 有达标 则交换机可以根据 Lan Enforcer 指令 容许或拒绝其接入内部网络 也可以 将此类 PC 隔离到一个漫游区 外来用户 移动用户可以在漫游区修复安全状况 或 者受限制的访问网络 一旦安全修复完成 Lan Enforcer 强制服务器会通知交换机将 6 该 PC 从漫游区切换到工作的 VLAN 之中 2 2 2 LAN Enforcer 结合域来做准入控制结合域来做准入控制 LAN Enforcer 和交换机联动 主要是对接入设备的安全性做一个认证 但是在身份认 证这一块 LAN Enforcer 只能简单识别设备上是否安装有企业自己的 Sygate 客户端 如果企业还要求按用户身份来认证 在身份认证通过后 才容许接入到网络 就必须 和域服务器结合才能实现 此时域服务器扮演了 Radius 服务器的角色 而 LAN Enforcer 则像一个 Radius Proxy LAN Enforcer 过滤掉安全性的认证信息 而将身份 认证转交给域服务器来做 在接入设备安全性认证通过后 LAN Enforcer 就完全根据 接入用户身份认证的结果来动态分配 VLAN 原理示意图如下 2 2 3 支持的交换机厂商列表支持的交换机厂商列表 Cisco HP Alcatel Nortel Exteme Enterasys Foundry Huawei 3Com 7 2 3 Web 应用准入控制应用准入控制 现代企业一般都布署了一些核心的 WEB 应用 例如内部的网站 Web 的邮件服务器 web 的办公平台或者是企业资源计划系统 大型的企业已经高度依赖这些系统来生产 和办公 因此在登陆这些 web 应用的入口处 强制检查远程终端的安全性是一个很好 的选择 SYGATE 提供一个虚拟客户端 Sygate Virtual Agent 该客户端以网页插件 的形式存在 可以轻易与 Web 应用的页面融和在一起 当 Web client 访问 web 应用的 时候 虚拟客户端就会下载到 Web client 主机上 开始安全检查 然后根据检查的结果 决定是允许登陆 Web 应用 还是重定向到相关安全修复网页 虚拟客户端可以根据用 户分组 执行不同的安全检查策略 示意图如下 2 4 本地准入控制本地准入控制 前面的 3 种准入控制方法各有利弊 当网络环境受限制时 即使无法采用前面的任何 一种准入控制 我们还是可以达到预期的效果 这是因为 SYGATE 客户端自带有主机 防火墙模块 巧妙运用主机防火墙的规则 就可以做到本地的准入控制 通常我们为 客户端准备两套防火墙规则 一套在正常情况下使用 另一套在异常情况下使用 当 安全检查失败的时候 我们预定义的触发条件将会帮助客户机在两套规则中自