EAD网络安全技术白皮书

1、EAD网络安全技术白皮书关键词：EAD，CAMS，安全，准入，防病毒摘 要：EAD是一项网络端点接入控制方案，它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动，加强网络终端主动防御能力，控制病毒蔓延。本文主要介绍了EAD方案的基本原理、技术特点和典型组网应用等。缩略语：缩略语英文全名中文解释ACLAccess Control List访问控制列表BASBroad Access Server宽带接入设备CAMSComprehensiveAccessManagement Server综合接入管理服务器EADEndpoint Admission Defense端点准入防御IAGInt

2、elligent Application Gateway智能业务网关L2TPLayer2 Tunnel Protocol二层隧道协议QoSQuality of Service服务质量VLANVirtual Local Area Network虚拟局域网VPNVirtual Private Network虚拟私有网络目 录 HYPERLINK l _bookmark0 概述3 HYPERLINK l _bookmark0 产生背景3 HYPERLINK l _bookmark1 主要功能4 HYPERLINK l _bookmark2 技术特色5 HYPERLINK l _bookmark3 应

3、用场景6 HYPERLINK l _bookmark4 EAD技术实现7 HYPERLINK l _bookmark4 组成结构7 HYPERLINK l _bookmark5 安全客户端8 HYPERLINK l _bookmark5 安全策略服务器8 HYPERLINK l _bookmark6 安全联动设备9 HYPERLINK l _bookmark6 第三方服务器9 HYPERLINK l _bookmark6 基本原理9 HYPERLINK l _bookmark8 典型组网应用11 HYPERLINK l _bookmark8 3.1 802.1x接入组网方案11 HYPERLI

4、NK l _bookmark9 VPN接入组网方案12 HYPERLINK l _bookmark10 Portal接入组网方案13 HYPERLINK l _bookmark10 参考文献13概述产生背景随着网络技术的应用与发展，人们对信息网络的应用需求不断提升，对网络的依赖性也越强，伴随而来的信息安全威胁也在不断增加。网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中，新的安全威胁不断涌现，病毒日益肆虐。它们对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使企业蒙受严重损失。在企业网络中，

5、任何一台终端的安全状态（主要是指终端的防病毒能力、补丁级别和系统安全设置）都将直接影响到整个网络的安全。目前，针对病毒的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒的威胁，存在严重不足，主要表现在以下几个方面。被动防御，缺乏主动抵抗能力在多数情况下，当一个终端受到感染时，病毒已经散布于整个网络。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监

6、控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。单点防御，对病毒的重复、交叉感染缺乏控制目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。分散管理，安全策略不统一，缺乏全局防御能力只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却

7、不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁。主要功能为了解决现有安全防御体系中存在的不足，H3C公司推出了端点准入防御（EAD） 解决方案，旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒的攻击。其主要功能包括：检查检查用户终端的安全状态和防御能力用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否

8、感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端， 容易遭受外部攻击，属于“易感”终端；已感染病毒的终端，会对网络中的其他设施发起攻击，属于“危险”终端。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术（802.1x、VPN、Portal等），可以确保接入终端的合法与安全。隔离隔离“危险”和“易感”终端在EAD方案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源（称之为“隔离区”）。修复强

9、制修复系统补丁、升级防病毒软件EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后，EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级，配合防病毒服务器或补丁服务器，帮助用户完成手工或自动升级操作， 达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。管理与监控集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施，需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用

10、户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。技术特色EAD端点准入方案提供了一个全新的安全防御体系，将防病毒功能与网络接入控制相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力，具有以下特点：整合防病毒与网络接入控制，大幅提高安全性EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”，只能访问网络管理员指定的资源，直到按要求完成相应的

11、升级操作。通过EAD的强制措施，可以保证用户终端与企业安全策略的一致，防止其成为网络攻击的对象或“帮凶”。支持多种认证方式，适用范围广EAD支持802.1x、VPN、Portal等多种认证方式，具有广泛的适应性，可以根据应用场景的区别，选择合适的方式实施准入防御策略，分别从局域网接入、VPN接入、汇聚设备等不同层面确保网络的整体安全。全面隔离“危险”终端在EAD方案中，对不符合企业安全策略的用户终端进行隔离时，可以配合设备采用VLAN或ACL隔离的方式，以达到物理或网络隔离的效果，实现对“危险”终端的全面隔离。灵活、方便的部署与维护EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待

12、不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）、隔离模式和下线模式（对不合格用户进行下线处理）以适应用户对安全准入控制的不同要求。详细的安全事件日志与审计EAD对网络中的用户上网过程、安全状态、病毒查杀事件等信息提供详细的日志记录，方便管理员全面掌握全网用户终端的安全防御能力和病毒入侵情况。专业防病毒厂商的合作EAD是一个整合方案，其防病毒功能的实现由第三方厂商完成，目前支持EAD方案的厂商包括了市场上主流的病毒厂商。通过EAD的联动，防病毒软件的价值得到提升，从单点防御转化为整体防御。

13、具有策略实施功能，方便企业实施组织级安全策略EAD除了能够检测用户终端的安全防御状态外，还可以帮助管理员设置终端的安全策略，以达到企业级安全策略统一实施的目的。可扩展的安全解决方案，有效保护投资EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和防病毒软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的。应用场景EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，可以配合H3C的交换机、路由器、VPN网关、SecPath IAG等网络设备，实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的端点防御。E

14、AD可以为以下应用场景提供安全防护解决方案：局域网接入安全防护在企业网内部，接入终端一般是通过交换机接入企业网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网络，EAD可以通过交换机的配合，强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估，帮助管理员实施企业安全策略，确保终端病毒库和系统补丁得到及时更新，降低病毒蔓延的风险，阻止来自企业内部的安全威胁。无线接入安全防护WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的监控，容易感染病毒和木马或出现长期不更新系统补丁的现象。与局域网接入防护类似，对于这种无线接入的用户，EA

15、D也可以在交换机配合下，通过标准的802.1x方式，对用户的身份和安全状态进行认证与评估，防止外来病毒对网络的攻击。VPN 接入安全防护一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。远程接入的用户由于其来源的复杂性，往往会给企业网络带来严重的安全隐患。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，安装最新的病毒库和系统补丁。对于没有安装EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。关键数据保护EAD的安全防护层次不仅仅限于用户接入控制，某些企业可能更关心对于核心数据区域（比如数据中心、ERP服务器区等）的安全保护

16、。通过在关键数据区的入口添加安全联动网关设备，EAD可以强制所有访问关键数据区的用户进行Portal认证和安全状态检查，确保用户访问关键数据时不会无意中因病毒对其产生破坏。这种保护方式也可以阻止外部用户对企业敏感数据的非法访问和攻击。企业入口安全防护大型企业往往拥有分支或下属机构，分支机构可以通过专线或WAN连接企业总部。某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口增加安全网关设备来实施EAD准入认证，强制接入用户进行Portal认证和安全

17、状态检查。企业出口安全防护在某些管理和监控较为严格的企业，用户终端在企业网内部访问时，受到的安全威胁相对较小。但当用户试图访问外部网络时，其受到非法攻击和病毒感染的几率则要成倍增加，如果用户在访问外网时没有及时安装补丁或升级病毒库，则其系统中存在的漏洞将很可能成为外部攻击的目标，甚至成为攻击企业内部网络的“帮凶”。EAD可以在企业出口部署EAD功能的设备强制用户进行Portal认证和安全状态检查，确保用户访问外网时具有符合企业标准的攻击防御能力。EAD技术实现组成结构EAD端点准入防御方案是一个整合方案，其基本部件包括安全客户端、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方

18、服务器。EAD方案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成对网络接入终端的安全状态评估、隔离与修复，提升网络的整体防御能力。图1 EAD组网示意图安全客户端安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：支持 802.1x、Portal、VPN 等多种认证方式，可以与 H3C 的交换机、路由器、VPN 网关、SecPath IAG 配合实现接入层、汇聚层以及 VPN 的端点准入控制。检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联

19、动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行， 包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。安全策略服务器EAD方案的核心是整合与联动，其中的安全策略服务器是EAD方案中的管理与控制中心，它作为一个软件的集合可运行在Windows、

20、Linux平台下，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列措施，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的安全策略。通过安全策

21、略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。安全联动设备安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是H3C的交换机、路由器、VPN网关或SecPath IAG，分别实现不同认证方式（如802.1x、VPN和Portal等）的端点准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能：强制网

22、络接入终端进行身份认证和安全状态评估。隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，可以通过 VLAN 或 ACL 方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的 QoS、ACL、VLAN 等。第三方服务器在EAD方案中，第三方服务器是指处于隔离区中，用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，当用户终端的系统

23、补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。基本原理EAD的基本功能是通过安全客户端、安全联动设备（如交换机、路由器、SecPath用户访问网络前的身份认证对合法用户控制网络权限，并下发安全策略与第三方桌面管理系统协同检查终端安全状态安全策略检查结果上报安全策略服务器安全检查不合格用户进入隔离区，进行系统修复和软件升级根据检查结果控制访问权限IAG）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原 HYPERLINK l _bookmark7 理如图2所示。图2 EAD基本原理用户终端试图接入网络时，首先通过安全客户端由安全联动设备和安全策略服务器配合进行用

24、户身份认证，非法用户将被拒绝接入网络。安全策略服务器对合法用户下发安全策略，并要求合法用户进行安全状态认证。由客户端的第三方桌面管理系统协同安全策略服务器对合法终端的补丁版本、病毒库版本等进行检测。之后，安全客户端将安全策略检查的结果上报安全策略服务器。安全策略服务器根据检查结果控制用户的访问权限。安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。安全状态不合格用户将被安全联动设备隔离到隔离区。进入隔离区的用户可以进行系统的修复和补丁、病毒库的升级，直到安全状态合格。安全认证通过之后在安全策略服务器的配合下可以对合法终端进行安全修复和管理工作，主要

25、包括心跳机制、实时监控及监控发现异常后的处理。从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系， 通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒和新兴安全威胁的整体防御能力。典型组网应用802.1x接入组网方案Internet补丁服务器病毒服务器802.1x图3 802.1x接入组网方案由安全联动接入网关完成基于802.1x的接入控制，进行用户网络访问的通断控制， 由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。通过第三方服务器与安全客户端的联动实现客户端的自动升级管理，可以增强企