华为TSM技术和H3CEAD技术深层次分析资料

1、H3c EAD和华为TSM的技术分析超级计算可以作为云计算的一种业务对internet用户提供便捷的服务。从这 个角度来看，超算中心可以作为云计算数据中心的一个部分。 但是超级计算和云 计算还是很大区别的，因此需要看作是一个特殊的云计算服务。这种特殊性对于 网络和安全方面的需求表现在：超级计算是一种“聚合”业务，是一种特殊的服务器集群使用。这种使用要 求服务器自成系统，具体表现在：集群系统不能出现异构现象。集群内部的通信服务质量要求非常高，因此不能和其他业务共享业务通道。集群系统的安全级别很高，从接入区开始一直到超算区，要求和其他系统 保持物理或是逻辑隔离。集群节点的计算性能要求较高，一般不会

2、出现虚拟机。因此，集群内部的 通信流量并不是很大。综合各种需求，H30出融合超级计算中心和云计算数据中心的网络解决方 案。将超级计算服务作为云计算的一个独立的区；保证超级计算端到端的安全隔离；在超级计算区内实现统一交换架构。华为赛门铁克 Secospace TSM（Terminal Security Management ,终端安全 管理）系统是面向具有安全内控需求的企业终端安全管理产品，将终端安全状况和接入控制结合在一起，通过安全检查、隔离修复、行为审计等手段，加强终端 的主动防御能力，保证企业网络的整体安全性，提高企业对终端的管理水平。多种接入控制方案，满足各种网络接入场景下的准入控制需求

3、：安全接入控制网关SACG电信级硬件网关设备，提供对终端的安全接入控制，部署和维护简单，安全可靠、性能卓越；802.1x 控制方式，基于端点的安全接入控制，支持国内外主流厂商交换机， 有效保证网络的接入安全；基于主机防火墙的纯软方案，不依赖于任何网络设备，实现基于端点的安全 接入控制，可主动阻止或隔离未安装代理的不安全终端对邻居终端的访问， 减少 威胁。全面的身份认证方式，不同场景下灵活选择：提供基于用户名密码的认证授权，同时也广泛支持主流的外部认证平台，如: AD LDAP USBKEY数字证书等，节省用户投资的同时极大的方便了管理员对访 问用户进行统一的管理和配置，很大程度上降低了支持和维

4、护的成本；提供基于Agent客户端和基于IE浏览器的的无Agent认证方式，灵活满足 内部员工、移动办公用户和临时访客的安全接入认证需求。持续的员工行为管理，保障更高的IT资源的可用性和使用效率：提供上网行为审计、软件使用审计、计算机外设使用审计、US眼口使用监控、非法外联监控、网络异常流量监控等安全策略；对员工违规行为进行审计和控制，保证企业 IT资源的合理使用。强大的终端互访控制功能，满足企业对终端隔离的需求：提供终端互访控制功能，支持终端层的安全域划分，不同安全域之间的互访 需可信授权，有效保证终端之间的互访隔离。1系统架构分析1.1 TSM系统架构分析IntemiTSM终端安全管理系统

5、是一个包括软件和硬件整体系统。主要由TSM管理器（SM）、控制器（SC）、代理（SA）和修复服务器（SRS）四个软件部件，以及 接入控制网关（SACG） 一个硬件部件，共五个部件组成。TSM弋理（TSM Agent ,简称 SA）安装在用户终端上，负责用户的身份输入和安全策略检查。 在用户使用网络 前，必须启动SA,然后输入身份信息进行登录，在登录过程中， SA同时收集客 户端的安全信息，把相关信息发送到SC进行检查。TSM复服务器（TSM Repair Server ,简称 SRQ对操作系统补丁，杀毒软件，防火墙等安全资源进行集中统一的管理， 对不 符合企业安全策略的终端进行安全修复，同时为

6、用户提供安全策略查询和安全问 题反馈。SR能受TSM管理器的信息，根据用户的安全状况给用户相应的提示信 息，并协助用户对终端进行安全修复，比如补丁安装等。TSM8入控制网关（TSM Access Control Gateway ,简称 SACG ）控制终端的网络访问权限，对不同的用户，不同安全状况的用户开放不同的 权限。当TSM控制器认证和安全检查终端之后，把结果通知 SACG, SACG根据控制器的信息，决定终端的访问权限。SACG采用华为公司的Eudemon系列产品。TS惬端安全管理各模块功能TSMt理器（TSM Manager ,简称 SM）是TSM安全管理系统的业务核心，提供各种业务功

7、能组件，包括资产管理、 软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等组件， 并提供WEB界面和用户交互。TSM空制器（TSM Controller ,简称 SC）负责管理SA和SACG , SC接收SM的指令并发给SA执行，当用户通过SA认 证通过后，SC控制SACG开放用户访问相应企业资源的权限，即当认证通过后， 由SACG （Eudemon防火墙）下发ACL进行动态的网络访问控制。为什么SACG （Eudemon防火墙）下发ACL对接入用户进行网络访问动态 控制？因为所有的接入流量必须引入到 SACG （Eudemon防火墙），由SACG（Eudemon防火墙）根据IP

8、地址下发ACL进行访问控制。SACG （Eudemon防火墙）的部署方式主要有两种：SACG （Eudemon防火墙）旁挂在接入、汇聚或者核心交换机。见下图说明:SACG （Eud6mon防火墙）旁观方案步骤说明：接入网络的用户需要进行认证（包括 802.1X或者Portal认证）认证通过，接入流量被通过某种方式（例如策略路由）导入到 SACG（Eudemon防火墙）SACG （Eudemon防火墙）根据接入IP （即接入用户身份）下发ACL访问相应的网络资源缺点：所有流量都被导入SACG （Eudemon防火墙），然后下发ACL进行网络访问控制，意味着上行的网络流量都被导入 SACG （Eu

9、demon防火墙），产 生网络迂回，降低了网络性能，增加了网络故障点SACG （Eudemon防火墙）串接入网络。见下图说明:SACG （Eudemon防火墙）串接方案陆务域步骤说明: 接入网络的用户需要进行认证（包括 802.1X或者Portal认证）认证通过，接入流量进入到SACG （Eudemon防火墙），SACG （Eudemon 防火墙）根据接入IP （即接入用户身份）下发ACL,如果认证和安全检查不 同，下发隔离ACL。认证通过，下发访问网络ACL.访问相应的网络资源缺点：SACG （Eudemon防火墙）用接在网络中，所有流量都被导入SACG（Eudemon防火墙），然后下发AC

10、L进行网络访问控制，增加了单点故障，使网络结构复杂1.2 H3c EAD系统架构分析EAD终端管理解决方案架构图EAD终端管理解决方案由iNcde客户端、EAD网关、第三方服务器、EAD服务器配 合，完成用户管理、准人管理、安全管理、维护管理和平台管理五大功能.sriNock客户端iN。加客户端iNode客户端EAD解决方案组网包括安全客户端、安全联动设备、IMC EAD安全策略服务器和第三方服务器安全客户端：是指安装了 H3CiNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD 提供了灵活多样的组网方案

11、，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。iMC EAD安全策略服务器：它要求和安全联动设备路由可达。负责给客户 端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发 送网络访问的授权指令。第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署 在隔离区中。当用户通过身份认证但安全认证失败时， 将被隔离到隔离区，此时 用户能且仅能访问隔离区中的服务器， 通过第三方服务器进行自身安全修复， 直 到满足安全策略要求。EAD在用户接入网络前，通过统一管理的安全策略强制检查终端用户的安全状态，并根据对终端用户安全状态的检查结果实施接入控制策略，对不符

12、合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证终端用户具备自防御能力并安全接入的前提下，可以通过动态分配 ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。 具体部署方案如图：我至代无明裨强制递入临蒿区 进打击全修重无法通近身份 件证.振圮挎 入园端认肝通过后 下发ACL安至粽董&格，茨 谋符合用户曳伊的 阳铭访问粗限不符音安全诳踣的用户者活用尸H3C EAD部署方案步骤说明:接入网络的用户需要进行认证（包括 802.1X或者Portal认证）认证通过，接入交换机根据用户身份下发 ACL或者VLAN访问相应的网络资源特点：接入交换机

13、可以执行802.1X认证，认证通过后根据用户身份下发ACL进行动态访问控制。首先这种部署方式不改变网络结构， 不存在网络迂回和 单点故障问题。接入交换机即可实现认证、访问控制一体化控制。结构简单，部 署方便。2安全准入流程分析TSM流程分析策期LiE I T身盎认证】【瓦仝心出 钱越何|监控 审计诅止隔离修鳖授标用户监控行为非授权用户不安全用户送问范国审计即证Secosp ace安全接入控制端程示意图终端安全接入控制是指企业员工在使用终端访问企业资源前，先要经过身份 认证和终端健康检查（即企业定义的安全策略标准），在确认身份合法并通过健康检查后，终端可以访问各种企业资源，认证不通过则不能访问网

14、络，健康检查 不通过则放在一个隔离区进行检查修复，直到终端通过健康检查后才允许正常访问企业内部网络资源，终端接入控制采用的是认证前域和认证后域的概念。 终端接入控制主要是防止不安全的终端接入网络给企业安全带来隐患和防止非法终 端和用户访问企业网络网络级访问控制和终端安全接入控制的差异在于认证通过后，访问控制网关会根据用户的身份，确定用户可以访问企业的哪些业务系统， 网络级访问控制的重点是保护企业资源。TSM安全管理系统提供的网络级访问控制采用基于角色 的访问控制，可以有效的制止用户的非法访问和越权访问EAD流程分析EAD网络准入控制流程你安全吗？身粉认记安全认证接入请求 *3 合法用户乔港 合

15、格用户木*”法用户：个合:拒鲍入网：进入隔离区:强制加固你可以做什二幺？动态授权网络j不同用户享1受不同的网络使用杈限工，你在做什| 行为审计么？EAD在用户接入网络前，通过统一管理的安全策略强制检查终端用户的安全状态，并根据对终端用户安全状态的检查结果实施接入控制策略，对不符合企业 安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操 作；在保证终端用户具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。3功能模块分析H3c公司EAD产品可以提供网络准入、终端安全、访问控制、用户行为审计、桌面资产管理；在

16、以上几个功能模块中，其中用户行为审计、桌面资产管理华为 产品无法提供，导致方案的较大缺陷，有些客户需要部署终端安全和桌面资产两 套产品，维护困难，还存在兼容性差的问题。同时EAD还可以实现基于用户账号的网络行为审计， 可根据用户需要，通过 接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等 各种条件的组合对网络日志进行快速审计，并对审计结果提供灵活的排序、分组、 保存等功能。网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果H3c桌面管理模块可以

17、提供丰富的额桌面管理功能，包括：支持资产分组、资产编号自动生成、资产的增删改、支持手工扫描单个 资产、自动关联资产责任人、资产信息上报策略定义、在线用户列表中 查询资产信息支持硬件、软件的资产变更管理，实时监控终端用户软件安装卸载/硬件 变更状态支持按照CPU、操作系统、软件、资产类型、硬盘等信息提供资产统计 功能。支持丰富的软件分发，其中包括按照资产批量分发软件、按照资产分组 分发、立即分发软件和定时分发软件、按照分发任务查询每个资产的软 件分发状态、支持资产的软件分发历史等可对USB勺使用进行监控，监控信息包括USB雨拔记录、写文件名及文件 大小等。对于USB勺插拔记录可产生告警以提醒管理

18、员注意。外置管理，实现对光驱、软驱、USB动存储、USBb部接口（不包括USER标、键盘）、打印机、调制解调器、用行口、并行口、1394控制器、红外设备、蓝牙设备等进行启用和禁用。4对比分析总结 从部署方案分析，EAD优势非常明显：H3c EAD可以和接入交换机、路由器、防火墙配合，不需要增加任何硬件 网络设备，既可完成网络认证、网络访问控制功能，不需要网络访问控制网关设 备，不改变网络结构，减少网络中故障点，减轻网络部署难度，不影响网络性能。 是网络准入控制和网络结构完美的结合。华为TSM必须和防火墙配合，才能实现网络访问控制功能，从 Eudemon防 火墙在网络位置来看，Eudemon防火墙仅仅起到网络访问控制功能，但是完全 改变了网络结构，可能产生网络迂回，所有接入流量都引入到防火墙，并且增加 网络故障点。后续网络扩容，还必须同时增加 Eudemon防火墙。从网络结构来 说，为了增加网络准入功能，完全改变网络结构是不可取的。EAD可以提供丰富的部署场景，包括802.1x、P