HCNA-Security-CBSN第十章终端安全技术V10

©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.第十一章终端安全技术Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2目标学完本课程后，您将能够:了解什么是终端安全掌握TSM系统的组成部分及如何部署理解TSM系统组织管理和准入控制方式掌握TSM系统的安全策略配置Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3目录1.终端安全概述2.终端安全系统部署3.终端安全策略部署Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4绝大部分威胁源于内网MailSeverFileSeverWebSever根据加利福尼亚州旧金山的计算机安全协会(CSI)的观点，大约60%到80%的网络滥用事件起源于内部网络。列出了14种不容忽视的企业内部安全威胁Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5什么是终端安全?防病毒软件立体防御软件终端安全个人防火墙补丁管理软件准入控制+桌面管理+安全管理Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6目录1.终端安全概述2.终端安全系统部署3.终端安全策略部署Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7TSM体系架构简述企业用户补丁服务器邮件服务器防病毒服务器访客用户OA服务器文件服务器WSACG企业管理员802.1x交换机普通交换机隔离域认证后域认证前域SMSCSC修复服务器WebWebAgentAgentTSM系统组成终端接入方式TSM系统区域Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8VPN网关分支机构TSMServerSACGSA防病毒服务器AD域服务器补丁服务器认证前域Internet认证后域1认证后域2认证后域3SASASASA集中式部署Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9办事处A办事处B核心资源服务器…SACGBorderrouterIntranetSM认证后域防病毒服务器SACGInternetSACGAD域服务器分支机构…SACGSACGSASASASASASASASCSCSC认证前域分布式部署Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10SACG准入控制方式TSM服务器认证前域隔离域市场部：已安装代理敏感资源公共资源认证后域财务部：新员工，未安装代理硬件安全接入控制网关防病毒软件运行？病毒库更新？OS/Office/IE/数据库补丁？安装违规软件？……用户名+PWLDAPMAC身份认证安全检查TSM通知SACG下发ACL规则，切换认证后域切换认证后域自动安全修复防病毒软件升级病毒库更新自动下载补丁……SACGWeb推送下载代理进行安装URL重定向AV服务器等Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11TSM服务器认证前域互信域一-财务部网络资源认证后域主机防火墙准入控制外部非可信终端不能访问可信终端不同互信域间不能互访安全检查不通过，仅提供受限的网络资源，隔离威胁防病毒软件运行？病毒库更新？OS/Office/IE/数据库补丁？安装违规软件？……用户名+密码LDAPMAC用户身份验证安全策略检查TSM指派访问策略，控制终端可访问的互信域和认证后域切换认证后域自动安全修复互信域二-市场部隔离域AV,PatchServer主机防火墙准入控制方式Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12敏感资源802.1X接入控制不安全终端端口关闭，不能访问邻居终端终端2终端1防病毒软件运行？病毒库更新？OS/Office/IE/数据库补丁？安装违规软件？……用户名+PWLDAPMAC802.1x认证安全策略检查交换机动态切换VLAN，控制终端可访问认证后域动态切换VLAN自动安全修复TSM服务器防病毒服务器补丁服务器802.1x准入控制方式认证前域认证后域隔离域Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13目录1.终端安全概述2.终端安全系统部署3.终端安全策略部署Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14TSM产品主要功能网络身份识别可扩展、可升级的策略和报表服务准入控制安全管理桌面管理分权分域管理流程化策略模型…访客管理例外设备管理强制遵从性评估授权用户访问范围身份认证•匿名/本地账号•AD/第三方LDAP•PKI/CA合规性检查•安全评估•系统配置检查•用户接入绑定一键式自动修复基于时段的NAC…信息泄密防护•外设管理•移动存储管理•网络访问监控•非法外联监控•文件操作审计网络防护•ARP防护•IP/MAC绑定•流量审计•IP访问规则•恶意网络程序控制•连通内外网监控•IP设备接入审查…安全加固•防病毒•补丁/ServicePack•可疑进程/注册项•危险端口/服务•软件黑白名单•非法共享/账号安全•非法网络配置办公行为管理•上网审计•媒体下载•非办公软件•终端上线记录自定义各种安全策略TSM…补丁管理•一站式下载和安装•WSUS强联动•子网快速分发资产管理•生命周期管理•资产变更告警管理•IP设备自动识别软件分发远程协助消息公告可运营报表准入控制安全管理桌面管理分权分域管理流程化策略模型可运营报表Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15组织管理功能——管理维度之一Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16网络区域管理——管理维度之二Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17身份认证功能普通用户名+口令认证MAC账号认证AD账号认证LDAP认证支持USBKEY认证Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page18安全策略-共享目录检查Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page19安全策略-检查打印机共享Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page20安全策略-监控USB存储设备Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page21安全策略-计算机外设监控Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page22安全策略-检查端口Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page23安全策略-监控DHCP设置Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page24安全策略-非法外联Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page25安全策略-检查防病毒软件Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page26安全策略-补丁检查Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page27总结什么是终端安全TSM系统的组成部分及如何部署TSM系统组织管理和准入控制方式TSM系统的安全策略配置Copyright©2010HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page28思考题TSM是什么？它能解决哪些终端安全问题？TSM系统主要由哪些组件组成？SM、SC组件在TSM系统中各承担什么角色，那个组件与SACG有业务交互？TSM系统有哪2种管理维度？它们之间有何区别？TSM系统可支持哪些身份认证方式？它们之间有何区别？TSM系统主要有哪些安全策略？这些安全策略各解决什么问题？Thankyou