EAD端点准入解决方案汇报胶片

1、EAD端点准入防御汇报交流提纲,日期：2007-08,密级：内部公开,杭州华三通信技术有限公司,企业网准入管理需求分析 EAD解决方案功能介绍 EAD解决方案应用案例,目录,网络终端的安全威胁,企业网络安全威胁,企业内网面临复杂多样的威胁 非法用户随意接入公司内部网络 内部合法用户滥用权限 终端不能及时打系统补丁 员工私自安装软件、开启危险服务 现有安全措施难以有效保护网络 无法检查网络内计算机的安全状况 缺乏对合法终端滥用网络资源的安全管理 无法防止恶意终端的蓄意破坏 接入终端数量大、系统复杂，难以管理 企业内网缺乏有效安全监控、审计手段 系统软件安全漏洞修复不及时 系统缺乏行之有效的管理及

2、紧急响应手段 无法及时掌握终端的更新和变化 ,Sarbanes Oxley ActSOX 法案,Two person: US Senator Paul Sarbanes US Congressman Michael Oxley Suggest a Legislation : Sarbanes Oxley,条款404 管理层对内部控制的评估 规定提交的年度报告包含一份内部控制报告，该报告应： 1- 说明管理层对建立和维护关于财务报告（financial reporting)之充分内部控制架构和程序的责任； 2- 包含截止最近公布报告之财务年度的内部控制架构和程序有效性的评估,从2004年6月起，

3、所有在美公开上市的公司及上市公司的控股子公司，都必须遵循上述条款。,SOX 法案的影响,该法案的产生将使得中国内地在美上市企业受到冲击，在美上市的维持成本将大幅飙升。根据国际CFO组织对美国321家本土上市企业的调查，这些企业在第一年实施萨班斯法案404条款的平均成本超过460万美元，包括35000小时的内部人工投入，以及130万美元的软件费用、外部顾问费用和额外审计费用。,不遵从可不可以？ 萨班斯法案是一项强制性法案，对所有在美国资本市场(包括纽约证券交易所和纳斯达克)上市的企业均适用，包括包括目前的70余家在美国上市的中国企业。,不遵从的后果是什么？ 后果并不是很多人所设想的强制退市。认证

4、失败的企业，并不会受到SEC及PCAOB的惩罚，但会被要求如实披露自己通过萨班斯法案失败。,美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”,企业网准入管理需求分析 EAD解决方案功能介绍 EAD解决方案应用案例,目录,杭州华三通信技术有限公司端点准入防御（EAD，Endpoint Admission Defense）解决方案从网络接入端点的安全控制入手，通过安全客户端、安全策略组件、网络接入设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全准入策略，加强网络用户终端的主动防御能力，并严格控制终端用户的网络使用行为，保护网络安

5、全。,端点准入防御 （EAD）解决方案,用户认证管理,安全策略管理,网络联动设备,安全客户端,系统补丁管理,防病毒管理系统,.,网络访问权限管理,端点准入防御（EAD）解决方案,EAD解决方案架构,网络联动设备,后台服务器,接入终端,接入方式,局域网接入,无线接入,远程VPN接入,CAMS服务器,补丁服务器,防病毒服务器,其他服务器,广域网接入,园区网 核心,Internet,Intranet,网关接入,你是谁？,你安全吗？,你可以做什么？,你在做什么？,终端用户安全接入管理四步曲,安全认证客户端 桌面管理 补丁管理 防病毒客户端,EAD安全策略服务器,桌面管理服务器 防病毒服务器 补丁服务器

6、,安全联动设备,用户访问网络前必须进行身份认证,对合法用户控制网络权限，并下发安全策略,与第三方桌面管理系统协同检查终端安全状态,安全状态检查结果上报策略服务器,根据检查结果控制访问权限,第三方桌面管理产品自行进行独立的修复和管理控制,其他修复和管理操作,松耦合,实施简单,易于定位问题,独立维护,EAD解决方案原理,EAD物理结构及核心构件,H3C iNode 客户端 第三方杀病毒客户端 补丁检查联动客户端插件,第三方防病毒服务器,园区网核心,Internet,防火墙,安全策略服务器,安全策略代理,补丁升级服务器,iNode 客户端 1x认证 VPN认证 病毒库版本检测 补丁检测 安全策略实施

7、 安全事件上报,第三方联动软件 瑞星 WSUS,安全联动设备 交换机 VPN网关 动态ACL隔离 服务策略控制,用户管理中心 安全策略管理中心 用户准入控制平台 1x、VPN、Portal认证 基于身份的服务策略控制 计费,分布式安全策略控制代理，确保安全策略服务器安全,策略下发 安全状态评估 安全事件处理 用户隔离控制,安全联动设备,提供病毒库升级和系统补丁修复服务,所有的接入层交换机均采用H3C接入交换机； 一般适用于新建网络的EAD部署。 接入层交换机为EAD控制点终结802.1x，CAMS与接入层交换机联动动态隔离危险用户； 控制严格，安全性高,部署点多，管理相对复杂。,应用场景一：网

8、络接入层部署EAD解决方案,接入层交换机,用户终端 iNODE客户端,汇聚层交换机,接入层交换机,802.1X,802.1X,802.1X,EAD服务器,病毒服务器(可选),隔离区,补丁服务器/DNS/ DHCP服务器（可选）,接入层交换机作为EAD控制点，终结802.1X 接入层交换机启用快速部署功能，用户可下载客户端 客户端部署迅速，管理相对方便，但需要交换机支持快速部署功能,应用场景二：基于802.1X的快速部署方案,接入层交换机,用户终端 iNODE客户端,汇聚层交换机,接入层交换机,802.1X +快速部署,802.1X +快速部署,802.1X +快速部署,EAD服务器,病毒服务器

9、(可选),隔离区,补丁服务器/DNS/ DHCP服务器（可选）,Portal方式的EAD方案管理和组网相对简单，适用于异构的网络环境。 AR46/AR28/MSR/S7502E作为EAD控制点，适合网络改造时终端安全方案的部署。 控制层次高，隔离不严格。部署简单，对原有网络影响小。,应用场景三： Portal认证方式EAD方案,病毒服务器(可选),隔离区,接入层交换机,用户终端 iNODE客户端,路由器,EAD服务器,接入层交换机,Portal,补丁服务器/DNS/ DHCP服务器（可选）,7502E可以作为EAD网关旁挂在汇聚层和核心层交换机上作为EAD控制点，实现准入控制功能； 部署和管理

10、简单，不影响现有网络，但控制层次较高，隔离不严格。,应用场景四：7502E作为EAD网关旁挂方案,接入层交换机,用户终端 iNODE客户端,7502E,接入层交换机,Portal,病毒服务器(可选),隔离区,补丁服务器/DNS/ DHCP服务器（可选）,EAD服务器,安全联动VPN网关（SecPath防火墙）作为EAD控制点，对远程接入用户进行安全状态评估与强制修复，加强了对远程用户的控制，阻止了来自网络外部的威胁,应用场景五：VPN远程接入EAD方案,补丁服务器/DNS/ DHCP服务器（可选）,病毒服务器(可选),隔离区,用户终端 iNODE客户端,核心交换机,主机用户,用户终端 iNOD

11、E客户端,主机用户,用户终端 iNODE客户端,移动用户,VPN网关,VPN隧道,VPN隧道,VPN隧道,EAD服务器,无线控制器作为EAD控制点，方便部署和易于管理；,应用场景六：无线接入EAD方案,病毒服务器(可选),隔离区,核心交换机,用户终端 iNODE客户端,移动用户,用户终端 iNODE客户端,移动用户,Wireless AP,Wireless AP,无线控制器,补丁服务器/DNS/ DHCP服务器（可选）,EAD服务器,根据需要增加需要进行检查的系统补丁，可以及时跟上微软的系统升级速度,软件补丁管理,软件补丁管理,终端用户应用软件控制管理，可以自主定义黑、白软件类型！,可控软件管

12、理,防病毒软件管理,防ARP攻击特性,1、下发网关IP、MAC地址到客户端，实现静态绑定； 2、支持IP流量和ARP报文异常管理。,明确各个检查项要求的安全级别，可以设置客户化的安全基本要求。,默认有四种安全级别：下线模式、隔离模式、监控模式、提醒模式。,安全级别设置,权限管理,在线用户管理,在线用户详细信息,实时对在线用户的终端状态进行检查,在线用户管理实时监控终端状态,依据不同的安全措施执行安全检查，并给出安全状态检查报告,安全检查报告,AR46/AR28/MSR,网络中心,WX5002,S7500E,S3600,补丁服务器,病毒服务器,S5600,S3100EI,隔离区,不符合安全策略的

13、用户,安全客户端,安全联动设备,EAD安全策略组件,SecPath,用户集中管理，基于用户身份的安全策略管理，避免多系统互通带来的部署复杂性；,L2TP/IPSec通道,Internet,L2TP/IPSec通道,认证控制基于用户身份，使用ACL控制，可以限制到MAC，避免单端口单用户限制；,与交换机、路由器和防火墙等网络设备配合，支持多种接入认证方式；,客户端可以实现定制安装，支持静默安装，大大降低部署工作量和维护难度；,与微软SMS（WSUS）无缝集成实现系统补丁自动检测和升级；,支持黑白软件检查，可以广泛的与第三方桌面软件进行联动配合；,EAD与H3C用户行为审计系统配合，实现终端用户网

14、络访问行为审计；,与微软SMS、BigFix联动实现资产管理、USB等外设存储监控；,EAD解决方案优势,2000-2005中国最具价值网络安全领域解决方案,2005年度中国最佳 电子金融解决方案,EAD解决方案获奖信息,EAD解决方案获奖信息,2007金融行业网络信息安全优秀解决方案奖,企业网准入管理需求分析 EAD解决方案功能介绍 EAD解决方案应用案例,目录,中国公安部安全产品认证书,中国安全产品测评中心认证通过证书,EAD解决方案通过的认证,中国国家统计局办公网（内网、密网）,千兆,用户认证平台CAMS,网管中心Quidview,Xlog日志服务器,千兆,接入层S7506R,补丁服务器

15、,病毒服务器,PC,PC,PC,PC,PC,PC,PC,PC,PC,PC,PC,PC,接入层S5600,接入层S7506R,接入层S7506R,接入层S7503,接入层S5600,原有互联网设备,防火墙,Server群,802.1X EAD 接入控制,802.1X EAD 接入控制,802.1X EAD 接入控制,用户终端iNODE客户端,用户终端iNODE客户端,用户终端iNODE客户端,。,新华社内外网,S3026C,S3026C,S9500,iMC（EAD）,802.1x认证,NE08,AR2821,AR2821,S3026C,租用专线相连,深圳分行,各地支行（共14个）,某地支行,安全

16、认证,S3026C,终端用户,802.1x认证,安全认证,802.1x认证,Cisco3745,终端用户,终端用户,S9500,华夏银行主干网,各地支行,服务器群DMZ,华夏银行全国网（深圳分行）,S8512,S6500,S6500,DHCP,NE40,病毒/补丁服务器,S6500,S6500,服务器群DMZ,终端用户,终端用户,终端用户,终端用户,中国建设银行总行长安金融中心,S6506,用户,iMC（EAD）,DHCP,病毒/补丁服务器,S3600,服务器群DMZ,S7506,用户,用户,S3600,S3600,S3600,用户,中国民生银行（青岛分行）,7506,7500,7500,iMC（EAD）,DHCP,NE05,病毒/补丁服务器,7500,7500,3600,3050C,3050C,服务器群DMZ,用友软件股份有限公司,太原钢铁（EAD网关）,802.1x EAD控制,EAD用户名单（部分）,国务院办公厅 国家统计局 新华通信社总社 广州亚运会组委会 数字化银川 上海检察院 湖南省科技厅 贵州省建设厅 辽宁省地方税务局 黑龙江道路运输管理局 西昌卫星发射中心 广东深圳福田区政府 湖南长沙雨花区政府