HCNA 第十二章 终端安全技术V2.0

1、Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 0 修订记录 课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUE HC110310012华为TSM系统V100R002V2.0 开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化） 张凯2013.6余雷第二版 本页不打印 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. 第十二章 终端安全技术 Copyright

2、2013 Huawei Technologies Co., Ltd. All rights reserved. Page 2 目标 l学完本课程后，您将能够: p了解什么是终端安全 p 掌握TSM系统的组成部分及如何部署 p 理解TSM系统组织管理和准入控制方式 p 掌握TSM系统的安全策略配置 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 3 目录 1. 终端安全概述终端安全概述 2. 终端安全系统部署 3. 终端安全策略部署 Copyright 2013 Huawei Technologies

3、Co., Ltd. All rights reserved. Page 4 行为规范行为规范 难以执行难以执行 l干私活 l访问办公无关资源 l滥用网络资源 网络威胁网络威胁 防不胜防防不胜防 l网络变慢 l业务中断 l服务异常 l非授权访问 l有意泄密 l无意泄密 泄密事件泄密事件 屡禁不止屡禁不止 终端异常终端异常 层出不穷层出不穷 l机器变慢 l网络或软件异常 l频繁宕机 企业终端危机四伏 规模庞大规模庞大 难以监管难以监管 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 5 内网安全状况无法统

4、一掌控 l如何保证终端 的安全接入 安全接入？ 安全管理？ 桌面管理？ 安全趋势？ l如何保证终端安 全稳定运行 l如何保障安全制度的 执行，实现不泄密 l如何管理数量庞大 、类型多样的终端 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 6 终端安全现状 l内网安全主要威胁内网安全主要威胁 p存储介质滥用与失窃 p未授权访问 IDC统计报告 邮件服务器 文件服务器 WEB服务器 形同虚设？形同虚设？ p重要信息资产泄密 p病毒及恶意代码 Copyright 2013 Huawei Technolog

5、ies Co., Ltd. All rights reserved. Page 7 什么是终端安全? 防病毒软件防病毒软件 立体防御立体防御 软件终端安全软件终端安全 个人防火墙个人防火墙补丁管理软件补丁管理软件 准入控制准入控制+ +桌面管理桌面管理+ +安全管理安全管理 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 8 终端安全管理设计思路 核心信息资源 阻止 非授权用户 隔离修复 不合规用户 敏感信息资源 一般信息资源 授权用户 访问范围 监控行为 审计取证 修复修复 访客 现场员工 远程员工

6、 外部非法 用户 制定企业安 全策略 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 9 终端安全体系五要素 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 10 目录 1. 终端安全概述 2.终端安全系统部署终端安全系统部署 3. 终端安全策略部署 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 11 TSM体系架

7、构简述 lTSM系统组成 l终端接入方式 lTSM系统区域 企业用户企业用户 补丁 服务器 邮件服务器 防病毒 服务器 访客用户访客用户 OA服务器 文件服务器 W SACGSACG 企业管理员企业管理员 802.1x802.1x交换机交换机普通交换机普通交换机 隔离域隔离域 认证后域认证后域 认证前域认证前域 SM SCSC 修复 服务器 WebWebAgentAgent 网络接入网络接入 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 12 VPN 网关 分支机构 SM SC SM SC 数据库数

8、据库 SACGSACG SA 防病毒服务器 AD域服务器 补丁服务器 认证前域认证前域 Internet 认证后域认证后域 1 1 认证后域认证后域 2 2 认证后域认证后域 3 3 SA SA SA SA 集中式部署 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 13 办事处办事处A A 办事处办事处B B 核心资源服务器 SACG Border router Intranet SM 认证后域认证后域 防病毒服务器 SACG Internet SACG AD域服务器 分支机构分支机构 SACGSA

9、CG SA SASASASASASA SC SC SC 认证前域认证前域 分布式部署 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 14 准入控制技术 完善的准入控制方式 主机防火墙主机防火墙安全准入控制网关安全准入控制网关802.1X802.1X准入控制准入控制 支持组合支持组合 企业网络企业网络 本地访问本地访问 远程办公接入 合作伙伴接入 分支机构接入 SC SM 补丁服务器 Core Core NetworkNetwork 业务服务器2 业务服务器1 认证后域认证后域 认证前域认证前域 隔离

10、域隔离域 SACG1 SACG2 内部员工安全代理（永久） 访客、合作伙伴安全代理（可消融） InternetInternet 802.1X802.1X 主机防火墙主机防火墙 安全准入安全准入 控制网关控制网关 远程访问远程访问 环境无关，提供终环境无关，提供终 端、网络、核心资端、网络、核心资 源的多层次防护源的多层次防护 简化访客简化访客 管理管理 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 15 TSM旁挂组网（单机） 认证前域 核心网 隔离域 认证后域 USG (SACG)USG (SAC

11、G) 业务系统补丁服务器病毒服务器DSM+SM+SCDSM+SM+SC TrustTrust UntrustUntrust UntrustUntrustTrustTrust 终端主机终端主机终端主机 SwitchSwitch Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 16 TSM旁挂组网（双机） Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 17 目录 1. 终端安全概述 2. 终端安全系统部署 3.

12、终端安全策略部署终端安全策略部署 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 18 TSM 系统主要功能 网络身份识别 可扩展、可升级的策略和报表服务 分 权 分 域 管 理 流 程 化 策 略 模 型 TSMTSM 可 运 营 报 表 准入控制 安全管理 桌面管理 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 19 l部门 l终端用户 l账号 l网络区域 TSM系统组织管理 管理层 财务部生产部销售部

13、 。 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 20 身份认证 普通账号普通账号/ /口令认证口令认证 LDAPLDAP认证 认证 MACMAC账号认证 账号认证 ADAD账号认证 账号认证 USBKEYUSBKEY认证 认证 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 21 安全策略-共享目录检查 Copyright 2013 Huawei Technologies Co., Ltd. All r

14、ights reserved. Page 22 安全策略-检查打印机共享 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 23 安全策略-监控USB存储设备 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 24 安全策略-计算机外设监控 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 25 安全策略-检查端口 Cop

15、yright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 26 安全策略-监控DHCP设置 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 27 安全策略-非法外联 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 28 安全策略-检查防病毒软件 Copyright 2013 Huawei Technologies Co., Ltd.

16、 All rights reserved. Page 29 安全策略-补丁检查 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 30 总结 l什么是终端安全 lTSM系统的组成部分及如何部署 lTSM系统组织管理和准入控制方式 lTSM系统的安全策略配置 Copyright 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 31 思考题 lTSM是什么？它能解决哪些终端安全问题？ lTSM系统主要由哪些组件组成？ lSM、SC组件

17、在TSM系统中各承担什么角色，那个组件与SACG有 业务交互？ lTSM系统有哪2种管理维度？它们之间有何区别？ lTSM系统可支持哪些身份认证方式？它们之间有何区别？ lTSM系统主要有哪些安全策略？这些安全策略各解决什么问题？ Thank you Copyright2013 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and