SYGATE网络准入控制方案

-I-SYGATE网络准入控制方案-II-目录1.SYGATE网络准入控制概况.....................................................................................................11.1SYGATE相关背景资料............................................................................................................11.2导言.........................................................................................................................................12.SYGATE网络准入控制方案.....................................................................................................22.1边界准入控制........................................................................................................................32.1.1远程接入权限..................................................................................................................32.1.2互联网访问权限..............................................................................................................42.1.3域名解析权限..................................................................................................................42.1.4支持的VPN列表............................................................................................................42.2接入层准入控制.....................................................................................................................52.2.1LanEnforcer与802.1x交换机配合工作的说明...........................................................52.2.2LANEnforcer结合域来做准入控制...............................................................................62.2.3支持的交换机厂商列表..................................................................................................62.3WEB应用准入控制................................................................................................................72.4本地准入控制........................................................................................................................73.结论—SYGATE持续不间断网络.............................................................................................9-1-1.Sygate网络准入控制概况1.1Sygate相关背景资料SYGATE是“可信赖计算组织”(TRUSTEDCOMPUTINGGROUP,TCG)的核心成员，致力于发展、定义和促进开放标准的计算机安全技术，以保护网络、节点、应用和信息的安全。TCG在基础设施工作组下面专门成立了一个可信任网络连接子组，该子组负责开发可信赖网络连接(TrustedNetworkConnect)的新标准。这项新标准将保护网络免受病毒、蠕虫、拒绝服务等攻击，允许用户加强安全策略，阻止易受攻击的系统连接。1.2导言企业的网络与业务系统以及办公系统连接的越来越紧密，但是网络的安全状况却越来越令人堪忧。今天几乎所有病毒基于网络来主动传播，系统漏洞成为传播的最有力方式，它们与网络入侵、黑客技术进一步融合，少数病毒直接以瘫痪和拥堵网络为目的，更有甚者目标直指企业的核心敏感信息。传统的病毒解决方案只能治标不能治本、特征库更新滞后、与快速型病毒对抗时速度处于下风……,等等弊端不一而足。面对新的形势，传统的病毒方案已是力不从心，颓势尽显。从另一个角度来看，服务器和桌面系统不遵循企业安全策略的并不在少数，去定位，隔离和修复这些系统意味着需要消耗大量的人力资源和时间。更无奈的是，即使下大力气梳理，没有好的技术手段来保障，过一段时间以后这些问题又会重新浮现。SYGATE的网络准入控制技术正是在这样的时局下应运而生，以主动防护技术为基石，为网络和终端建立了一套多维，多层次的立体防护体系。-2-2.SYGATE网络准入控制方案网络准入控制最大的挑战在于网络环境的复杂性，主要归结为以下几方面：终端用户的多样性—雇员、客户、供应商和合作伙伴终端设备的多样性—公司自有设备，家中的PC，第三方人员笔记本终端接入方式的多样性—有线、无线、虚拟私有网(VPN)和拨号所以SYGATE运用了四种准入控制技术来应对。每种技术可单独工作，也可配合使用。整个准入控制体系见下图：网络准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。网络准入控制策略可以简单一分为三，即检查策略、接入策略和修复策略：检查策略–根据进程、文件、注册表等设置的检查结果来判断：用户身份是否合法主机防火墙是否安装并运行防病毒软件是否安装并运行，病毒特征库是否及时更新主机入侵检测系统是否运行、及时更新操作系统关键安全补丁是否安装-3-操作系统安全配置是否妥当是否感染特定病毒实体……接入策略–根据上述检查结果，SYGATE强制服务器和网络设备以及SYGATE客户端联动来决定：拒绝终端/用户接入容许终端/用户接入隔离终端/用户（单机隔离，VLAN隔离）限制终端/用户访问权限应用程序，远程主机，时间，协议类型，端口互联网访问权限远程接入权限域名解析权限Web应用连接权限（website，webmail，webOA，webCRM，webERPetc）修复策略–在隔离或限制接入的情况下，还可以通过自动修复来换回正常的网络访问权限。修复的内容包括：自动开启IE，连接内部安全网站上相关的提示页面自动分发病毒专杀工具自动升级病毒特征库自动分发操作系统关键补丁自动纠正错误的系统配置……2.1边界准入控制2.1.1远程接入权限边界准入通常用来控制使用VPN和RAS拨号的远程用户。实际上这些远程用户游离于企业周边防火墙的保护之外，经常暴露在宾馆，网吧，咖啡厅等公共网络之中，它们所面临的安全风险最大。病毒一旦攻陷远程用户主机，就会以客户机为跳板，进入企业网络，从而给企业生产和办公带来灾难性的损失。边界准入控制拓扑图如下：-4-SYGATE强制服务器（GatewayEnforcer）以内连（inline）的方式站在VPN网关和企业网络之间，它能够验证远程用户主机上是否运行了SYGATE客户端软件，并且要求SYGATE客户端提交该远程主机的安全检查报告，当用户没有运行SYGATE客户端，或者安全检查结果不达标的时候，认证强制网关能够阻止用户访问企业内部网络，但提供用户恢复其安全的绿色通路。2.1.2互联网访问权限GatewayEnforcer还有两外两种常见的用法。一种是将它放置在出口路由的前面，利用它来强制检查内网的终端，如果它们的接入检查结果不符合企业安全规范时，拒绝给予其访问互联网的权限。2.1.3域名解析权限另一种用法是将它放置在内部DNS服务器的前面，利用它来强制检查内网的终端，如果它们的接入检查结果不符合企业安全规范时，拒绝给予其域名解析的权限。通常网络管理员配合此举，将在网络出口处封杀对外的DNS请求2.1.4支持的VPN列表SYGATE可支持的VPN品牌列表如下：AlcatelSecureVPNAventailSSLVPNCheckPointVPN-1-5-CiscoVPN3000,5000EnterasysAuroreanVPNIntelVPNGatewayMicrosoftPPTPVPNNetScreenRemoteVPNNortelContivityVPNSafeNetSoftRemoteVPN*提供自定义方式，以支持其他品牌VPN2.2接入层准入控制当移动用户和外来人员从企业内部接入网络的时候，边界的准入措施往往会失去效用，这时就需要借助SYGATE强制服务器（LanEnforcer）。LanEnforcer可以和802.1x交换机在接入层对用户实现网络准入控制。原理示意图如下：2.2.1LanEnforcer与802.1x交换机配合工作的说明LanEnforcer强制服务器可以管理支持802.1X的交换机。它要求交换机主动认证接入的PC。如果PC上没有安装SYGATE客户端软件，或者其他主机安全状况检查没有达标，则交换机可以根据LanEnforcer指令，容许或拒绝其接入内部网络。也可以将此类PC隔离到一个漫游区，外来用户，移动用户可以在漫游区修复安全状况，或者受限制的访问网络。一旦安全修复完成，LanEnforcer强制服务器会通知交换机将该PC从漫-6-游区切换到工作的VLAN之中。2.2.2LANEnforcer结合域来做准入控制LANEnforcer和交换机联动，主要是对接入设备的安全性做一个认证。但是在身份认证这一块，LANEnforcer只能简单识别设备上是否安装有企业自己的Sygate客户端，如果企业还要求按用户身份来认证，在身份认证通过后，才容许接入到网络，就必须和域服务器结合才能实现。此时域服务器扮演了Radius服务器的角色，而LANEnforcer则像一个RadiusProxy。LANEnforcer过滤掉安全性的认证信息，而将身份认证转交给域服务器来做。在接入设备安全性认证通过后，LANEnforcer就完全根据接入用户身份认证的结果来动态分配VLAN。原理示意图如下：2.2.3支持的交换机厂商列表CiscoHPAlcatelNortelExtemeEnterasysFoundryHuawei-3Com-7-2.3Web应用准入控制现代企业一般都布署了一些核心的WEB应用，例如内部的网站，Web的邮件服务器，web的办公平台或者是企业资源计划系统。大型的企业已经高度依赖这些系统来生产和办公。因此在登陆这些web应用的入口处，强制检查远程终端的安全性是