敏捷园区解决方案终端安全技术白皮书Forescout

1、【CloudCampus-技术白皮书】华为敏捷园区解决方案终端安全技术白皮书(Forescout) 【CloudCampus-技术白皮书】华为敏捷园区解决方案终端安全技术白皮书(Forescout)关键词：园区解决方案、集成、Forescout、终端合规检查摘要：本文详细介绍 华为园区解决方案中 Agile Controller-Campus 1.0 集成Forescout 实现终端合规检查方案的基本工作原理和典型应用。缩略语：缩略语英文全名中文解释NACNetwork Admission Control网络准入控制EMEnterprise ManagerForeScout 企业管理器目录 H

2、YPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 技术背景1 HYPERLINK l _bookmark2 接入控制技术概述1 HYPERLINK l _bookmark3 终端合规检查联动技术概述2 HYPERLINK l _bookmark4 合作背景3 HYPERLINK l _bookmark5 终端接入控制技术选择3 HYPERLINK l _bookmark6 终端合规检查合作厂家4 HYPERLINK l _bookmark7 Forescout 介绍4 HYPERLINK l _bookmark8 Forescout Counte

3、rACT 简介4 HYPERLINK l _bookmark9 Forescout 终端合规检查简明规格表6 HYPERLINK l _bookmark10 方案简介6 HYPERLINK l _bookmark11 配套关系7 HYPERLINK l _bookmark12 技术方案8 HYPERLINK l _bookmark13 应用场景8 HYPERLINK l _bookmark14 部署模型9 HYPERLINK l _bookmark15 Agile Campus 部署模型9 HYPERLINK l _bookmark16 功能部署9 HYPERLINK l _bookmark1

4、7 部件部署10 HYPERLINK l _bookmark18 Cloud Campus 部署模型11 HYPERLINK l _bookmark19 业务流程12 HYPERLINK l _bookmark20 流程概述12 HYPERLINK l _bookmark21 终端上线流程13 HYPERLINK l _bookmark22 终端合规状态变化流程13 HYPERLINK l _bookmark23 周期同步终端合规状态13 HYPERLINK l _bookmark24 API 接口13 HYPERLINK l _bookmark25 查询终端合规状态接口13 HYPERLIN

5、K l _bookmark26 终端合规状态变化通知接口13 HYPERLINK l _bookmark27 典型部署15 HYPERLINK l _bookmark28 预置条件15 HYPERLINK l _bookmark29 Forescout 预置条件15 HYPERLINK l _bookmark30 Forescout 部署部件15 HYPERLINK l _bookmark31 CounterACT 插件部署要求15 HYPERLINK l _bookmark32 AD 域 预置条件17 HYPERLINK l _bookmark33 3.2 配置17 HYPERLINK l

6、_bookmark34 Forescout 配置17 HYPERLINK l _bookmark35 Agile Controller-Campus 1.0 配置17 HYPERLINK l _bookmark36 Agile Controller-Campus 1.0 对接Server17 HYPERLINK l _bookmark37 Agile Controller-Campus 1.0 配置终端合规策略18 HYPERLINK l _bookmark38 4 总结20 HYPERLINK l _bookmark39 4.1 总结20 HYPERLINK l _bookmark40 4.

7、1.1.20 HYPERLINK l _bookmark41 4.2 声明20 1 概 述技术背景接入控制技术概述接入控制组件通过与网络接入控制设备联动，控制企业内部和外部终端对网络的访问，实施统一的接入控制策略，同时提供灵活的认证策略和授权策略管理功能。图1-1 接入控制架构图接入控制技术，包含三个主要部件：用户准入检查(认证)，终端合规检查，和策略授权。Agile Controller-Campus 1.0 通过用户分组策略授权方式，实现业务随行。图1-2 Agile Controller-Campus 1.0 接入控制业务部件图用户准入检查，保证身份合法：在用户访问网络访问之前验证用户的

8、身份，只有合法的用户才允许接入网络。这就是基于用户身份的准入机制，包括 802.1x,Portal,MAC bypass 这几种典型的认证方式。准入检查由客户端+网络设备+AAA 服务器组成。在Agile Campus 解决方案中，AAA 服务器可以使用自研的 Agile Controller-Campus 1.0，也可以与第三方 Server 对接，例如 Cisco ISE 系统。终端合规性检查，保证终端合规：检查用户使用的终端是否符合企业制定的安全策略，例如防病毒和操作系统补丁策略。可疑或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止。终端合规检查由客户端

9、+服务器组成，该系统可以独立部署。若需要将合规检查结果作为 NAC 控制条件，AAA 系统必须与终端合规检查服务器实现联动。在 Agile Campus 解决方案中，终端合规检查采用集成第三方厂家方式实现。业务随行，保证用户业务一致性体验基于安全组的策略规划，实现全网策略的统一部署与自动同步，确保全网策略一致， 让用户自由移动时享受一致的业务体验。业务随行由网络设备+AAA 服务器+策略服务器组成。在 Agile Campus 解决方案中，若客户希望同时部署终端合规检查和业务随行，需要部署 Agile Controller-Campus 1.0， 同时集成合规检查服务器。终端合规检查联动技术概

10、述概述通过在终端上部署客户端程序，端点安全状态与网络准入控制技术相结合，阻止不安全或者不满足企业安全策略的终端接入网络。通过技术手段强制实施企业的安全策略，减少网络安全事件，增强对企业安全制度的遵从。图1-3 终端合规检查功能图技术细节通过设置安全策略检查终端主机的相关设置，监视终端用户在终端主机上的相关操作，保证终端主机的安全。管理终端桌面，自动管理终端上安装的软件，帮助终端用户解决系统漏洞修复工作，统一管理企业资产，提高效率及企业终端主机的安全水平，降低系统维护成本。终端安全与准入控制联合构建安全的园区网环境。符合企业安全策略即可授权访问相应的网络资源；安全检查不合规的终端只能访问修复资源

11、，完成必要的修复后才能接入网络。整个流程形成了“制定策略终端检查/修复检查结果调整策略”的内网安全保护持续改进过程。合作背景终端接入控制技术选择企业园区中存在各类接入终端，根据企业安全诉求，需要采用不同的接入控制技术。办公系统：公司办公的固定终端，如 PC 机、笔记本电脑哑终端，如打印机、传真机、IPPhone个人移动终端设备，用于办公，如手机、PAD 办公系统推荐采用准入认证。安全要求高的企业：固定终端会部署 802.1x 认证+终端合规检查，本文主要介绍此类终端技术方案个人移动终端设备部署 802.1x+MDM，相关技术介绍参见华为园区网络终端安全技术白皮书(Airwatch)哑终端一般部

12、署 MAC 认证或者 802.1x TLS 证书认证，解决方案介绍可以参见Agile Campus 相关技术文档访客系统访客自带设备，如笔记本电脑、手机该类终端一般采用 Portal 认证，只允许访问 Internet，访客解决方案介绍可以参见 Agile Campus 相关技术文档管理系统：物管系统，如摄像头、门禁等设备IOT 设备，例如资产管理电子标签、能效管理端点业务系统，如校园中一卡通这类系统可采用虚拟网络方式实现安全隔离，相关技术介绍参见 CloudCampus V100R018 版本解决方案相关技术文档终端合规检查合作厂家Forescout 与华为 Agile Campus 有两种

13、集成方式：Forescout 集成网络设备，实现完整的 NAC 方案当前 Forescout 已经集成华为 S 系列交换机，未集成华为 WLAN 产品。Agile Controller-Campus 1.0 集成 Forescout，实现终端合规检查方案本文主要介绍华为 Agile Controller-Campus 1.0 集成 Forescout，实现固定终端合规检查功能。Forescout 方案技术特点： 可无客户端实现合规检查偏重网络技术，自身有完整NAC 方案。由网络管理员运维当前 WLAN 产品未与完整 Forescout 配套，存在无法查看用户上线位置的约束。Forescout

14、介绍Forescout 是一家专业从事网络准入控制的美国安全厂家.其网络准入控制产品CounterACT 采用最新的无客户端访问控制技术,以快速高效的方式无缝集成到任何网络环境Forescout 在 NAC 领域获得 Gartner 认可。Forescout CounterACT 简介Agile Controller-Campus 1.0 集成 Forescout 终端合规检查功能。该功能依赖部署Forescout CouterACT 产品。CouterACT 支持完整 NAC 功能，分为 3 个关键功能：发现设备：无客户端技术无需安装客户端，可以持续发现、分类、监控 连接到网络中的设备，包括

15、物理终端、IOT 设备、各种虚拟设备.控制设备：灵活的策略控制灵活的策略控制。可以基于设备，用户和合规状态，定制相应的网络访问策略.编排联动：自动安全联动联动 IT 和安全产品，实现信息共享和基于策略的安全执行操作，加速整个系统的威胁响应，无需人工干预。.图1-4 Forescout 产品功能图CounterACT 是物理设备或者虚拟机部署，根据网络规模园区中可能部署一台或者多台CounterACT 设备。若需要部署多台 CounterACT，需要部署一台 CounterACT EM,做集中管理使用。图1-5 Forescout CounterACT 典型组网图Forescout 终端合规检查

16、简明规格表支持 Windows/Apple MAC/Linux 多种操作系统支持操作系统补丁更新合规检查支持杀毒软件、补丁安装更新检查支持安装软件检查支持 USB 使用控制说明：该规格仅做参考，正式规格以 Forescout 官方渠道为准方案简介Agile Controller-Campus 1.0 与 Forescout 对接，将 Forescout CounterACT 终端合规检查条件作为授权条件。Forescout CounterACT 系统对接入网络的设备状态检查，并将检查结果返回给 Agile Controller-Campus 1.0，根据返回结果匹配条件，进一步匹配授权规则。配

17、套关系华为园区解决方案中 Agile Campus 和 Cloud Campus 都支持通过 Agile Controller- Campus 1.0 集成 Forescout部件版本说明Agile Controller- Campus 1.0V100R003C50网络部件参考 Agile Campus 配套关系，无特殊要求Forescout EMEM server: 7.0.0DEX plug-in: 3.2.1 Web API plug-in: 1.2.2Forescout 管理服务器. 网 络 中 多 台CounterACT 时部署,对CounterACT 集中管理Forescout C

18、ounterACT7.0.0Forescout 合规检查设备，部署在网络中 2 技术方案应用场景终端合规检查 主要应用在中大型园区接入控制场景中，华为对应的解决方案为园区解决方案。华为园区解决方案分为传统园区 Agile Campus 方案，以及云化园区CloudCampus 两个方案。应用场景请参考华为相关文档。Cloud Campus V100R018 部署在大型园区时，Agile Controller 作为网络自动化部署控制器，接入控制采用本地认证方式，在企业 DC 内部署Agile Controller-Campus 1.0 控制器。Cloud Campus 园区网接入认证架构与 Ag

19、ile Campus 相同，集成 Forescout 架构也相同。部署模型Agile Campus 部署模型图2-1 Agile Campus 集成 Forescout 架构图Agile Campus 接入控制方案涉及 认证、合规检查、业务随行(可选)功能点，部署区域涉及终端、园区网络、企业内网 DC 3 部分。功能部署认证/授权认证方式可以采用 802.1x,portal,MAC 认证中的一种或者多种。从安全性考虑，推荐部署 802.1x 认证方式。本文都是以 802.1x 认证为例。合规检查合规检查需要部署 Forescout CouterACT 产品。合规检查结果作为接入控制判断条件业务

20、随行(可选)业务随行功能 可以与合规检查同时部署，合规检查结果作为业务随行 5W1H 的判断条件部件部署终端：802.1x 认证客户端+合规检查客户端(可选)终端上需要部署客户端，实现认证和终端合规检查功能：802.1x 客户端，与网络设备/Agile Controller-Campus 1.0 配合实现认证功能。可以使用 Windows 自带客户端或者我司自研的 802.1x 客户端。部署方式与传统 Agile Campus 方式相同Forescout 安全接入客户端，该客户端可选。园区网络园区网络 使用传统 Agile Campus 组网方式。企业内网DC企业内网部署 DC。若存在分支网络

21、，分支网络需要通过 VPN 方式接入DC DC 内部署部件：Agile Controller-Campus 1.0. 提供接入控制功能，提供业务随行功能(可选)与 CounterACT EM 间通过 Web API 接口通信Forescout EM 服务器，集中管理 Forescout CounterACT，提供终端合规检查功能与 Agile Controller-Campus 1.0 间通过 Restful 接口通信AD/LDAP 服务器，提供用户账户管理功能。与 Agile Controller-Campus 1.0 间同步用户账户信息(可选)，为 CounterACT EM 提供AD 域

22、管理员权限Cloud Campus 部署模型图2-2 Cloud Campus 集成 Forescout 架构图Cloud Campus 中大型园区中， 使用本地认证方式，企业内网部署 Agile Controller- Campus 1.0 和 Forescout CounterACT/EM，终端合规检查部署模型与 Agile Campus 相同，不再单独介绍业务流程流程概述图2-3 Agile Controller-Campus 1.0 集成 Forescout 业务流程图Agile Controller-Campus 1.0 集成 Forescout 终端合规检查方案关键业务流程如下1前

23、置条件：Forescout CounterACT 检查客户端合规情况，上报至CounterACT EM 服务器2业务流程概述终端上线过程用于启动终端时获取相应的访问网络权限终端合规状态变化过程用于终端运行过程中，合规状态变化时获取相应的网络权限。例如终端修复合规状态，或者终端安全状态变化(如补丁未安装)周期同步合规状态变化过程用于 Agile Controller-Campus 1.0 与 Forescout CounterACT EM 间数据保持同步。例如若 CounterACT 与 Agile Controller-Campus 1.0 中间网络通信异常，导致两个部件数据出现不同步问题，此

24、时需要通过周期同步方式解决说明：Forescout 在 EM 上没有终端合规状态 DM，需要到各个 CouterACT 上查询。若网络中存在多个 Counter ACT，查询时延会比较大。建议不部署终端上线过程和周期同步合规状态，只保留合规状态变化通知接口终端上线流程终端 802.1x 客户端启动上线认证交换机/独立 AC 部署 802.1x 认证，通过 Radius 至 Agile Controller-Campus 1.0 认证Agile Controller-Campus 1.0 调用 API 接口，查询 Forescout EM 上终端是否合规若终端合规，则授权终端正常权限若终端不合规

25、，则限制终端访问网络权限，待修复后才能恢复正常权限终端合规状态变化流程CounterACT 检测到终端合规状态变化，例如病毒库超期，上报 CounterACT EM服务器CounterACT EM 服务器通过 Web API 接口通知 Agile Controller-Campus 1.0，通知终端合规状态变化。Agile Controller-Campus 1.0 根据终端合规状态，通过 Radius COA 消息，授权终端相应访问权限：若终端变为合规，则授权恢复正常权限；若终端变为不合规， 则授权受限的访问网络权限周期同步终端合规状态Agile Controller-Campus 1.0

26、周期调用 API 接口，查询 CounterACT EM 上终端合规状态若终端合规状态发生变化，则通过 Radius COA 消息，授权终端相应访问权限：若终端变为合规，则授权恢复正常权限；若终端变为不合规，则授权受限的访问网络权限API 接口查询终端合规状态接口详细接口描述请参考 Forescout 接口文档：Forescout Extended Module forWeb API Configuration Guide.pdf终端合规状态变化通知接口RESTFUl 接口 URL：https:/Server-IP:8443/OPMUI/cxfservices/mdm/getComplianc

27、eStatuesByChange请求类型：POSTRequest Head：Authorization：用户名+密码做 BASE64 编码转换，用于请求的合规性校验Accept：application/jsonRequest Body： JSON 格式：deviceinfos: ,.mac:11-11-11-11-11-11,ComplianceStatus:Enrolledmac:22-22-22-22-22-22,ComplianceStatus:compliant参数说明：MAC：终端MAC 地址；ComplianceStatus：合规状态Response： JSON 格式：result

28、Code：”0”参数说明：resultCode：返回结果状态码，0：成功；50X：服务器内部异常 3 典型部署预置条件Forescout 预置条件Forescout 部署部件1部署 CounterACT。两种部署方式使用 CounterACT Appliance 物理设备VMWare ESXi 或者 Microsoft Hyper-V Server，安装 CounterACT Virtual Appliance2部署 CounterACT EM。两种部署方式使用 CounterACT EM Appliance 物理设备VMWare ESXi 或者 Microsoft Hyper-V Serve

29、r，安装 CounterACT EM Virtual Appliance部署要求：不同规模的硬件配置方案，可以参考如下地址链接https:/ HYPERLINK /products/specifications/ l appliance /products/specifications/#applianceCounterACT 插件部署要求CounterACT 与 Agile Controller-Campus 1.0 间通过 API 接口通信，需要在 CounterACT上安装插件。CounterACT 与 Agile Controller-Campus 1.0 间有两类接口：Agile Controller-Campus 1.0 查询终端是否合规接口。Count