端点准入防御方案技术建议书.docx
- 文档编号:29982422
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:30
- 大小:399.85KB
端点准入防御方案技术建议书.docx
《端点准入防御方案技术建议书.docx》由会员分享,可在线阅读,更多相关《端点准入防御方案技术建议书.docx(30页珍藏版)》请在冰豆网上搜索。
端点准入防御方案技术建议书
端点准入防御方案
技术建议书
目录
1概述4
2EAD端点准入防御解决方案介绍5
2.1方案思路5
2.2方案组成部分5
2.2.1EAD安全策略服务器6
2.2.2修复服务器7
2.2.3安全联动设备7
2.2.4安全客户端7
3EAD解决方案组网部署8
3.1多厂商设备混合组网部署(Portal方式)9
方案组网10
组网设备10
方案说明10
流程说明11
实施效果11
3.2接入层准入控制组网部署(802.1x)11
方案组网11
组网设备12
方案说明12
流程说明13
实施效果13
3.3EAD应用模式14
3.3.1隔离模式14
3.3.2Guest模式14
3.3.3VIP模式15
3.3.4下线模式15
4EAD解决方案应用模型及功能特点16
4.1端点准入防御应用模型16
4.1.1端点准入防御应用模型16
4.1.2端点准入防御工作流程16
4.2端点准入防御功能特点17
4.2.1安全状态评估17
4.2.2用户权限管理18
4.2.3用户行为监控18
4.3桌面资产管理应用模型19
4.3.1桌面资产管理应用模型19
4.4桌面资产管理功能特点20
4.4.1终端资产管理20
4.4.2软件分发21
5系统参数及环境要求21
5.1EAD系统技术参数21
5.2EAD系统环境要求21
6附1:
部署说明22
7附2:
EAD功能列表23
1概述
某钢铁(集团)有限责任公司(以下简称某钢)网络信息化建设目前处于同行业领先水平,自动化应用程度高,信息平台承载着ERP、OA、MES等众多系统,因此信息平台成为企业正常经营生产的基础平台之一。
多年的系统运维与建设,某钢信息化平台已搭建得比较完善,但同时对安全管理方面提出了较高要求。
网络安全基础设施的建设以及对原有网络进行终端安全准入的改造已经成为某钢网络建设的重中之重。
目前某钢网络中存在的典型问题归纳总结为以下几大类:
(1)终端时刻受到病毒和蠕虫的威胁,存在安全隐患,更为严重的是由此触发一系列问题扩散全网,导致全网瘫痪、核心数据时刻受到安全威胁,一旦被攻击,将为企业造成无法挽回的损失;
(2)防护策略赶不上攻击方式的更新,被动式防御已不适应企业的发展,主动式保护的安全战略势在必行;(3)随意接入网络、私设代理服务器,有意或无意的盗用IP地址情况严重;(4)网络采用分散管理模式,终端难以保证其安全状态符合企业安全策略,例如新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在,无法有效地从网络接入点进行安全防范。
导致网络接入层面管理失控。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,甘肃蓝潮世讯通信科技有限责任公司提供了端点准入防御(EAD,EndpointAdmissionDefense)解决方案。
该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、资产管理产品、桌面管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
EAD同时具有资产管理、外设监控、软件分发等功能,提供了企业内网PC集中管理运维的方案,以高效率的管理手段和措施,协助企业IT部门及时盘点内网资产、掌控内网资产变更情况。
2EAD端点准入防御解决方案介绍
EAD端点准入防御方案包括两个重要功能:
安全防护和安全监控。
安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
2.1方案思路
EAD解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。
为达到以上目的,甘肃蓝潮提出了包括检查、隔离、修复、监控的整体解决思路。
1.检查:
●检查网络接入用户的身份;
●检查网络接入用户的访问权限;
●检查网络接入用户终端的安全状态;
2.隔离:
●隔离非法用户终端和越权访问;
●隔离存在重大安全问题或安全隐患的用户终端;
3.修复:
●帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;
4.监控:
●实时监控在线用户的终端安全状态,及时获取终端安全信息;
●对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;
●通过制定新的安全策略,持续保障网络的安全。
2.2方案组成部分
为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。
EAD解决方案的组成部分见下图:
图1EAD解决方案组成部分
如图1所示,EAD解决方案的基本部件包括EAD安全策略服务器(EAD服务器)、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端,各部件各司其职,由安全策略中心协调,共同完成对网络接入终端的安全准入控制。
2.2.1EAD安全策略服务器
EAD方案的核心是整合与联动,而EAD安全策略服务器(iMCEAD服务器)是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
●安全策略管理。
安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
●用户管理。
企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。
安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
●安全联动控制。
安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。
通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。
2.2.2修复服务器
在EAD方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。
此类服务器通常放置于网络隔离区中,用于终端进行自我修复操作。
网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。
2.2.3安全联动设备
安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。
根据应用场合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal)的端点准入控制。
不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:
●强制网络接入终端进行身份认证和安全状态评估。
●隔离不符合安全策略的用户终端。
联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。
●提供基于身份的网络服务。
安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的ACL、VLAN等。
2.2.4安全客户端
H3C客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
●提供802.1x、Portal、VPN、无线等多种认证方式,可以与交换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。
●检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。
这些信息将被传递到EAD安全策略服务器,执行端点准入的判断与控制。
●安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。
不按要求实施安全策略的用户终端将被限制在隔离区。
●实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
●监控终端资产组成和变更情况,监控的信息包括:
逻辑磁盘、OS登录名、计算机名、IP地址、操作系统、屏保、分区信息、共享信息;CPU、内存、主板、磁盘、网卡、光驱、BIOS;安装/卸载软件,包括程序名称、程序版本、安装日期;进程列表、服务列表、磁盘可用空间、CPU使用频率/时钟频率、内存剩余空间、IP获取方式等等,并按照分类以报表的形式展示,如果有软硬件发生变化也将实时记录。
3EAD解决方案组网部署
目前某钢铁的网络,主要划分为烧结区、炼钢区、宏昌区、动力区、交易区、办公楼和生产指挥中心共七大区域,总共4500左右个接入点,大部分采用思科交换机,少量采用H3C交换机。
其中烧结区、炼钢区、宏昌区、动力区、交易区均为思科接入设备汇聚到C6506,办公区为H3C的接入交换机3026/3050C汇聚到思科45上,生产指挥中心为6台3550接入到6509上。
为了便于部署实施,且达到准入控制的要求,经过论证在烧结区等五个区域在汇聚的6506上旁挂EAD网关,采取Portal认证的方式。
由于翼钢和榆钢分别在兰州和山西,为了解决这两地的内部准入问题分别在他们的网络旁挂EAD网关(要求两地的网络设备支持策略路由)。
对于生产指挥中心的六台3550,在核心的一台6509上旁挂一台EAD网关实现Portal认证,控制该区域的网络准入问题。
在办公大楼区域采取802.1x的认证方式,解决网络准入控制。
图2某钢铁网络拓扑图
3.1多厂商设备混合组网部署(Portal方式)
通常企业在建设自身的办公网,满足互联互通的要求后,会逐渐意识在内部网络安全控制的必要性,尤其是内网终端的安全问题,这时对于终端的安全准入控制就显得尤为重要。
而这时的企业网络通常为多厂商设备共存,很难单独使用一家厂商的设备实施网络的准入控制,这种情况下,视网络规模大小,我们推荐使用一台或多台网关设备作为强制认证控制器,使用基于Portal的认证协议,与iNode客户端、安全策略服务器配合完成EAD端点准入防御。
Portal认证是一种Web方式的认证,Portal认证同802.1x认证相比,具有应用简单的优势。
但在EAD解决方案中,需要使用iNode客户端来进行终端的安全状态检测和控制,因此在Web认证的基础上,扩展了Portal协议,使之不仅能够处理Http协议,还可以控制其他协议的数据流,使EAD解决方案也支持Portal认证方式下的端点准入控制。
1.方案组网
图3网关型EAD解决方案组网应用
2.组网设备
●在旧网改造中,可以使用MSR、AR28、AR46、S7502E、S5500EI、IAG作为企业的安全网关,支持Portal认证,并实施EAD方案。
3.方案说明
⏹使用AR46/28、MSR、S7502E、S5500EI、IAG设备配合组网,设备通常放置在网络出口,并在设备上开启Portal认证功能。
在用户希望对原有网络改动最小的情况下,可以将S7502E旁挂在网络出口或核心设备上,提供用户接入控制功能。
⏹EAD服务器需要安装Portal认证组件,在Portal认证页面上,提供安全客户端的下载链接。
用户可下载并安装iNode客户端后,发起认证请求。
⏹隔离区的设置、第三方服务器的设置、EAD自助服务器和EAD安全代理服务器的设置等信息同接入层准入控制。
4.流程说明
在Web认证方式下,用户的身份认证、访问控制和安全认证流程同接入层准入控制基本相同。
区别在于:
1.用户进行网络登录认证之前,可以访问Portal服务器等URL。
2.iNode安全认证客户端可以在认证前从Portal认证页面下载并安装。
简化了客户端分发工作。
5.实施效果
1.由于在网络出口设备上部署了Portal认证,所有非授权用户将不能随意访问网络。
2.合法用户通过身份认证、安全认证后,其访问权限受认证设备的ACL控制。
用户的外部访问权限受控。
3.通过安全认证网关和策略服务器、客户端配合,解决了网络上多厂商设备共存的问题;
其余同接入层准入控制
3.2接入层准入控制组网部署(802.1x)
将接入层设备作为安全准入控制点,对试图接入网络的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,防止非法用户和不符合企业安全策略的终端接入网络,降低病毒、蠕虫等安全威胁在企业扩散的风险。
6.方案组网
图4接入层EAD解决方案组网应用
7.组网设备
支持H3CS3000以上系列接入层交换机,主要型号包括:
●S3050C,S3026E/C/G/T;
●3100EI,5100EI,
●S3528P/G,S3526E,S3552G/P/F;
●S3600系列(原对应型号为S3900),S3610;
●S5500SI
8.方案说明
⏹用户终端必须安装iNode客户端,在上网前首先要进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。
其中,隔离区是指在S3600系列交换机中配置的一组ACL,一般包括EAD安全代理服务器、补丁服务器、防病毒服务器、DNS、DHCP等服务器的IP地址。
⏹在接入交换机(S36系列交换机)中要部署802.1x认证和安全认证,强制进行基于用户的802.1x认证和动态ACL、VLAN控制。
⏹EAD服务器中配置用户的服务策略、接入策略、安全策略,用户进行802.1x认证时,由EAD服务器验证用户身份的合法性,并基于用户角色(服务)向安全客户端下发安全评估策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由EAD服务器确定用户的ACL、VLAN以及病毒监控策略等。
⏹EAD安全代理服务器必须部署于隔离区,可以与EAD自助服务器共用一台主机。
⏹补丁服务器(可选)必须部署于隔离区,可以与EAD安全代理共用一台主机。
⏹防病毒服务器(可选)必须部署于隔离区,可以与补丁服务器、EAD安全代理共用一台主机,可以选择McAFee防病毒、Norton防病毒、趋势防病毒、安博士防病毒、CAKill安全甲胄、瑞星杀毒软件、金山毒霸以及江民KV防病毒软件。
9.流程说明
EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。
其原理性的流程如下:
3.用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报EAD。
4.EAD检测补丁安装、病毒库版本等是否合格,如果合格进入步骤7,如果不合格,进入步骤3。
5.EAD通知接入设备(S36系列或其他支持EAD解决方案的交换机),将该用户的访问权限限制到隔离区内。
此时,用户只能访问补丁服务器、防病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。
6.安全客户端通知用户进行补丁和病毒库的升级操作。
7.用户升级完成后,可重新进行安全认证。
如果合格则解除隔离,进入步骤7。
8.如果用户补丁升级不成功,用户仍然无法访问其他网络资源,回到步骤4
9.用户可以正常访问其他授权(ACL、VLAN)的网络资源。
10.实施效果
1.由于接入层交换机对端口部署了802.1x认证,所有非法用户将不能访问企业内部网络。
并且认证通过前,用户终端之间无法实现互访。
2.合法用户接入网络后,其访问权限受S36系列交换机中的ACL控制。
特定的服务器只能由被授权的用户访问。
3.合法用户接入网络后,其互访权限受S36系列交换机中的VLAN控制。
不同角色的用户分属不同的VLAN,跨VLAN的用户不能互访(受组网方式限制)。
4.用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。
降低了病毒和远程攻击对企业网带来的安全风险。
5.通过使用iNode客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡、禁止拨号等。
3.3EAD应用模式
EAD解决方案对于每一种安全状态的检测,按照处理模式可分为隔离模式、VIP模式、Guest模式、下线模式。
如防病毒软件的安装和版本检查可以采用隔离模式,补丁软件依照重要性的不同可以采取不同的模式,一些非法软件的安装可以通过Guest模式进行提醒。
四种模式对于实现的终端安全状态监控功能各有不同,对安全设备的要求也不相同。
3.3.1隔离模式
对于一些关系比较重大的安全漏洞或补丁,如Windows服务器的致命安全补丁,需要进行比较严厉的控制。
具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,在进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。
隔离模式要求安全联动设备必须支持动态ACL特性,能够实时应用EAD安全策略服务器下发的ACL规格,并应用于用户连接。
3.3.2Guest模式
某些应用环境下,不需要根据用户终端的安全状态严格控制用户终端的访问权限,比如访客,可以采用Guest模式来处理不合格的安全状态,如对于安全等级略低一些的补丁可以采取这种方式。
在Guest模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。
用户的网络访问权限不因终端安全状态不合格而被更改。
3.3.3VIP模式
对于一些高级别的领导或网络管理者,可以采取级别最低的VIP模式。
VIP模式同Guest模式的实现流程基本相同,区别在于VIP模式下,安全客户端不通过弹出窗口向用户提示终端的不合格项。
网络管理员可在EAD安全策略服务器的管理界面中实时对用户终端安全状态进行监控,了解用户终端的安全信息。
一些相对普通的安全问题,如提示性的补丁安装,可以在不影响终端用户工作的情况下,由管理员进行定期检查并通告。
Guest模式和VIP模式下,安全联动设备可以不需要支持动态ACL下发控制功能。
3.3.4下线模式
下线模式实现流程与隔离模式相同,唯一的区别是对不安全的用户采取直接下线的处理方式。
主要与Portal认证相配合,实现网络出口或是关键数据区域的认证保护。
也可以作为兼容第三方厂商设备的部署模式,配合接入交换机GuestVLAN功能实现对不安全用户的隔离功能。
下线模式也是目前友商相似方案的主要实现模式,EAD支持下线模式可以增强方案对设备的兼容性。
与Cisco接入设备配合部署802.1x认证方式下的EAD解决方案,推荐使用下线模式。
除上上述几种策略处理方式以外,EAD解决方案还支持细致到处一个策略的综合控制方式,也就是通过以上几种方式组合出符合您企业的策略:
4EAD解决方案应用模型及功能特点
4.1端点准入防御应用模型
4.1.1端点准入防御应用模型
EAD解决方案在准入上主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
图5EAD解决方案安全准入应用模型图
4.1.2端点准入防御工作流程
●身份验证:
用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。
目前EAD解决方案支持802.1x、Portal、VPN和无线认证。
●安全检查:
身份认证通过后进行终端安全检查,由EAD安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。
●安全隔离:
不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。
●安全修复:
进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
●动态授权:
如果用户身份验证、安全检查都通过,则EAD安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。
●实时监控:
在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向EAD安全策略服务器上报安全事件,由EAD安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
4.2端点准入防御功能特点
4.2.1安全状态评估
●终端补丁检测:
评估客户端的补丁安装是否合格,可以检测的补丁包括:
操作系统(Windows2000/XP/2003等,不包括Windows98)等符合微软补丁规范的热补丁。
●安全客户端版本检测:
可以检测安全客户端iNodeClient的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。
●安全状态定时评估:
安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。
●自动补丁管理:
提供与微软WSUS/SMS(全称:
WindowsServerUpdateServices/SystemManagementServer)协同的自动补丁管理,当用户补丁不合格时,自动安装补丁。
●终端运行状态实时检测:
可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。
●防病毒联动:
主要包含两个方面,一是端点用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后,EAD定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。
当前支持的防病毒联动软件有:
瑞星、金山、江民、诺顿、趋势、McAfee、安博士、CA安全甲胄及VRV等。
4.2.2用户权限管理
●强身份认证:
在用户身份认证时,可绑定用户接入IP、MAC(对用Portal的方式不支持MAC绑定)、接入设备IP、端口、VLAN和电子证书等信息,进行强身份认证,防止帐号盗用、限定帐号所使用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 端点 准入 防御 方案 技术 建议书