Copyright©2007杭州华三通信技术有限公司第1页,共12页EAD解决方案技术白皮书之防火墙关键词:网络安全,防火墙,SecPath,EAD,RADIUS,PPP,L2TP,VPN摘要:本文介绍了H3C公司EAD解决方案的技术应用背景,描述了EAD解决方案的一些特色功能,并对H3C公司SecPath系列防火墙支持EAD解决方案在实际组网环境的应用作了简要的介绍。缩略语清单:Abbreviations缩略语Fullspelling英文全名Chineseexplanation中文解释EADEndpointAdmissionDefense端点准入防御CAMSComprehensiveAccessManagementServer综合访问管理服务器RADIUSRemoteAuthenticationDialInUserService远程用户拨入认证服务AAAAuthentication,AuthorizationandAccounting认证、授权和计费BASBroadbandAccessServer宽带接入服务器iNodeiNodeIntelligentNodeH3C智能客户端ACLAccessControlList访问控制列表VLANVirtualLocalAreaNetwork虚拟局域网WLANWirelessLocalAreaNetwork无线局域网VPNVirtualPrivateNetwork虚拟私有网络L2TPLayerTwoTunnelingProtocol二层隧道协议PPPPointtoPointProtocol点对点链路协议LACL2TPAccessConcentratorL2TP访问集中器LNSL2TPNetworkServerL2TP网络服务器QoSQualityofService业务质量IDSIntrusionDetectionSystem入侵检测系统IPSIntrusionPreventionSystem入侵抵御系统Copyright©2007杭州华三通信技术有限公司第2页,共12页目录1概述...............................................................................................................................................................32技术应用背景...............................................................................................................................................32.1现有安全防御体系的缺陷................................................................................................................32.2技术特点...........................................................................................................................................52.3应用场合...........................................................................................................................................63特性介绍.......................................................................................................................................................83.1相关术语...........................................................................................................................................83.2设备处理流程...................................................................................................................................84典型组网案例...............................................................................................................................................94.1Portal接入组网方案..........................................................................................................................94.2VPN接入组网方案.........................................................................................................................105SecPath防火墙支持EAD的优势................................................................................................................116结论.............................................................................................................................................................12Copyright©2007杭州华三通信技术有限公司第3页,共12页1概述伴随着网络应用技术的快速发展,网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到企业的正常运营。如何应对网络安全威胁,确保企业网络安全,为企业运营提供可靠的网络保障,已经是每一个企业决策者不得不关注的问题,也是每一个网络管理员不得不面对的挑战。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业网络安全管理急需解决的问题。传统的网络安全产品对于网络安全问题的解决,通常是被动防御,事后补救。H3C端点准入防御(EAD)解决方案则从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以在终端接入层面帮助管理员统一实施企业安全策略,大幅度提高网络的整体安全。2技术应用背景2.1现有安全防御体系的缺陷目前,针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒和蠕虫的威胁,存在严重不足。1)被动防御:缺乏主动抵抗能力在多数情况下,当一个终端受到感染时,病毒将被扩散到整个网络,如图1所示。亡羊补牢的方法固然有效,但企业用户更多需要的是:在安全威胁尚未发生时就对网络进行监控和修补,使其能够自己抵御来自外部的侵害。而对网络管理员来说,目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成主动防御能力低下。Copyright©2007杭州华三通信技术有限公司第4页,共12页图1被动防御情况下病毒在企业网内的快速扩散Copyright©2007杭州华三通信技术有限公司第5页,共12页2)单点防御:对病毒的重复、交叉感染缺乏控制目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。3)分散管理:安全策略不统一,缺乏全局防御能力只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁,只有集中管理、强制终端用户执行,才能够起到统一策略、全局防范的效果。2.2技术特点为了解决现有安全防御体系中存在的不足,H3C公司推出了端点准入防御(EAD)解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。作为一种新兴的安全防御体系,EAD从端点准入控制入手,整合防病毒软件等单点安全产品,可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力。EAD端点准入防御方案具有以下特点:1)整合防病毒与网络接入控制,大幅提高安全性EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。通过EAD的强制措施,可以保证用户终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。2)支持多种认证方式,适用范围广EAD支持802.1X、Portal、VPN等多种认证方式,具有广泛的适应性,可以根据应用场景的区别,选择合适的方式实施准入防御策略,分别从局域网接入、VPN接入、汇聚设备等不同层面确保网络的整体安全。3)全面隔离“危险”终端在EAD方案中,对不符合企业安全策略的用户终端进行隔离时,可以配合设备采用VLAN或ACL隔离的方式,以到达物理或网络隔离的效果,实现对“危险”终端的全面隔离。4)灵活、方便的部署与维护EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。EAD可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不Copyright©2007杭州华三通信技术有限公司第6页,共12页同要求。5)详细的安全事件日志与审计EAD对网络中的用户上网过程、安全状态、病毒查杀事件等信息提供详细的日志记录,方便管理员全面掌握全