搜索
杭州华三通信技术有限公司页,共12页EAD解决方案技术白皮书杭州华三通信技术有限公司杭州华三通信技术有限公司页,共12页Catalog目录1前言......................................................................................................................................................32EAD概述..............................................................................................................................................33EAD基本部件......................................................................................................................................63.1安全客户端.....................................................................................................................................73.2安全策略服务器.............................................................................................................................73.3安全联动设备.................................................................................................................................83.4第三方服务器.................................................................................................................................84EAD组网方案......................................................................................................................................84.1802.1x接入组网方案......................................................................................................................84.2Portal接入组网方案........................................................................................................................95EAD应用场景....................................................................................................................................106EAD的特点........................................................................................................................................117结论....................................................................................................................................................12杭州华三通信技术有限公司页,共12页1前言伴随着社会信息化步伐的不断提速,网络正全方位地改变着我们工作、生活以及娱乐的方式。发展初期的网络注重设备的互通性、链路的可靠性,从而达到信息共享的通畅。经过多年的应用与发展,伴随着人们对网络软硬件技术认识的深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业蒙受严重损失。在企业网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合企业安全策略的终端(如防病毒库版本低,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。如何确保网络中的终端安全状态符合企业安全策略,是每一个网络管理员不得不面对的挑战。新的补丁发布了,却无人理会,任由系统漏洞的存在;新的病毒出现了,却不及时升级病毒库,为病毒入侵大开方便之门。这种情况在企业网中比比皆是,然而,管理员查找、隔离、修复这些不符合安全策略的终端却是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。华为3Com端点准入防御(EAD,EndpointAdmissionDefense)方案从网络终端入手,整合网络接入控制与终端安全产品,强制实施企业安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。这种端到端的安全防护体系,可以在终端接入层面帮助管理员统一实施企业安全策略,大幅度提高网络的整体安全。2EAD概述目前,针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、杭州华三通信技术有限公司页,共12页损失严重的结果来看,当前的防御方式并不能有效应对病毒和蠕虫的威胁,存在严重不足。被动防御,缺乏主动抵抗能力在多数情况下,当一个终端受到感染时,病毒已经散布于整个网络。亡羊补牢的方法固然有效,但企业用户更多需要的是:在安全威胁尚未发生时就对网络进行监控和修补,使其能够自己抵御来自外部的侵害。而对网络管理员来说,目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成主动防御能力低下。单点防御,对病毒的重复、交叉感染缺乏控制目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。分散管理,安全策略不统一,缺乏全局防御能力只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁,只有集中管理、强制终端用户执行,才能够起到统一策略、全局防范的效果。为了解决现有安全防御体系中存在的不足,华为3Com公司推出了端点准入防御(EAD)解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括:检查——检查用户终端的安全状态和防御能力用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端,容易遭受外部攻击,属于“易感”终端;已感染病毒的终端,会对网络中的其他设施发起攻击,属于“危险”终端。EAD通过对终端安全状态的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时,配合不同方式的身份验证技术(802.1x、Portal等),可以确保接入终端的合法与安全。隔离——隔离“危险”和“易感”终端杭州华三通信技术有限公司页,共12页在EAD方案中,系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源,这些受限的网络资源被称之为“隔离区”,可以通过ACL方式实现。修复——强制修复系统补丁、升级防病毒软件EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后,EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级,配合防病毒服务器或补丁服务器,帮助用户完成手工或自动升级操作,达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后,用户终端将被取消隔离,可以正常访问网络。管理与监控集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施,需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原理如下图所示:杭州华三通信技术有限公司页,共12页图1EAD基本原理1.用户终端试图接入网络时,首先通过安全客户端进行用户身份认证,非法用户将被拒绝接入网络2.合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本是否合格,不合格用户将被安全联动设备隔离到隔离区3.进入隔离区的用户可以进行补丁、病毒库的升级,直到安全状态合格4.安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务从EAD的主要功能和基本原理可以看出,EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。3EAD基本部件EAD端点准入防御方案是一个整合方案,其基本部件包