- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
EAD技術白皮書
關鍵詞:EAD,CAMS,安全,準入,防病毒
摘 要:EAD是一項網絡端點接入控製方案,它通過安全客戶端、安全策略服務器、接入設備以及第三方服務器的聯動,加強網絡終端主動防禦能力,控製病毒蔓延。本文主要介紹了EAD方案的基本原理、技術特點和典型組網應用等。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
ACL | Access Control List | 訪問控製列表 |
BAS | Broad Access Server | 寬帶接入設備 |
CAMS | Comprehensive Access Management Server | 綜合接入管理服務器 |
EAD | Endpoint Admission Defense | 端點準入防禦 |
IAG | Intelligent Application Gateway | 智能業務網關 |
L2TP | Layer2 Tunnel Protocol | 二層隧道協議 |
QoS | Quality of Service | 服務質量 |
VLAN | Virtual Local Area Network | 虛擬局域網 |
VPN | Virtual Private Network | 虛擬私有網絡 |
目 錄
隨著網絡技術的應用與發展,人們對信息網絡的應用需求不斷提升,對網絡的依賴性也越強,伴隨而來的信息安全威脅也在不斷增加。網絡安全已經超過對網絡可靠性、交換能力和服務質量的需求,成為企業用戶最關心的問題,網絡安全基礎設施也日漸成為企業網建設的重中之重。
在企業網中,新的安全威脅不斷湧現,病毒日益肆虐。它們對網絡的破壞程度和範圍持續擴大,經常引起係統崩潰、網絡癱瘓,使企業蒙受嚴重損失。在企業網絡中,任何一台終端的安全狀態(主要是指終端的防病毒能力、補丁級別和係統安全設置)都將直接影響到整個網絡的安全。
目前,針對病毒的防禦體係還是以孤立的單點防禦為主,如在個人計算機上安裝防病毒軟件、防火牆軟件等。當發現新的病毒或新的網絡攻擊時,一般是由網絡管理員發布病毒告警或補丁升級公告,要求網絡中的所有計算機安裝相關防禦軟件。從企業病毒泛濫、損失嚴重的結果來看,當前的防禦方式並不能有效應對病毒的威脅,存在嚴重不足,主要表現在以下幾個方麵。
l 被動防禦,缺乏主動抵抗能力
在多數情況下,當一個終端受到感染時,病毒已經散布於整個網絡。亡羊補牢的方法固然有效,但企業用戶更多需要的是:在安全威脅尚未發生時就對網絡進行監控和修補,使其能夠自己抵禦來自外部的侵害。而對網絡管理員來說,目前的解決方式無法有效監控每一個終端安全狀態,也沒有隔離、修複不合格終端的手段,造成主動防禦能力低下。
l 單點防禦,對病毒的重複、交叉感染缺乏控製
目前的解決方式,更多的是在單點防範,當網絡中有某台或某幾台機器始終沒有解決病毒問題而又能夠順利上網時,網絡就會始終處於被感染、被攻擊狀態。
l 分散管理,安全策略不統一,缺乏全局防禦能力
隻有從用戶的接入終端進行安全控製,才能夠從源頭上防禦威脅,但是,分散管理的終端難以保證其安全狀態符合企業安全策略,無法有效地從網絡接入點進行安全防範。在分散管理的安全體係中,新的補丁發布了卻無人理會、新的病毒出現了卻不及時升級病毒庫的現象普遍存在。分散管理的安全體係無法徹底解決病毒和操作係統漏洞帶來的網絡安全威脅。
為了解決現有安全防禦體係中存在的不足,H3C公司推出了端點準入防禦(EAD)解決方案,旨在整合孤立的單點防禦係統,加強對用戶的集中管理,統一實施企業安全策略,提高網絡終端的主動抵抗能力。EAD方案通過安全客戶端、安全策略服務器、接入設備以及第三方服務器的聯動,可以將不符合安全要求的終端限製在“隔離區”內,防止“危險”終端對網絡安全的損害,避免“易感”終端受病毒的攻擊。其主要功能包括:
l 檢查——檢查用戶終端的安全狀態和防禦能力
用戶終端的安全狀態是指操作係統補丁、防病毒軟件版本、病毒庫版本、是否感染病毒等反映終端防禦能力的狀態信息。係統補丁、病毒庫版本不及時更新的終端,容易遭受外部攻擊,屬於“易感”終端;已感染病毒的終端,會對網絡中的其他設施發起攻擊,屬於“危險”終端。EAD通過對終端安全狀態的檢查,使得隻有符合企業安全標準的終端才能正常訪問網絡,同時,配合不同方式的身份驗證技術(802.1x、VPN、Portal等),可以確保接入終端的合法與安全。
l 隔離——隔離“危險”和“易感”終端
在EAD方案中,係統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端,如果不符合管理員設定的企業安全策略,將被限製訪問權限,隻能訪問病毒服務器、補丁服務器等用於係統修複的網絡資源(稱之為“隔離區”)。
l 修複——強製修複係統補丁、升級防病毒軟件
EAD可以強製用戶終端進行係統補丁和病毒庫版本的升級。當不符合安全策略的用戶終端被限製到“隔離區”以後,EAD可以自動提醒用戶進行缺失補丁或最新病毒庫的升級,配合防病毒服務器或補丁服務器,幫助用戶完成手工或自動升級操作,達到提升終端主動防禦能力的目的。完成修複並達到安全策略的要求以後,用戶終端將被取消隔離,可以正常訪問網絡。
l 管理與監控
集中、統一的安全策略管理和安全事件監控是EAD方案的重要功能。企業安全策略的統一實施,需要有一個完善的安全策略管理平台來支撐。EAD提供了集接入策略、安全策略、服務策略、安全事件監控於一體的用戶管理平台,可以幫助網絡管理員定製基於用戶身份的、個性化的網絡安全策略。同時EAD可以通過安全策略服務器與安全客戶端的配合,強製實施終端安全配置(如是否實時檢查郵件、注冊表、是否限製代理、是否限製雙網卡等),監控用戶終端的安全事件(如查殺病毒、修改安全設置等)。
EAD端點準入方案提供了一個全新的安全防禦體係,將防病毒功能與網絡接入控製相融合,加強了對用戶終端的集中管理,提高了網絡終端的主動抵抗能力,具有以下特點:
l 整合防病毒與網絡接入控製,大幅提高安全性
EAD可以確保所有正常接入網絡的用戶終端符合企業的防病毒標準和係統補丁安裝策略。不符合安全策略的用戶終端將被隔離到“隔離區”,隻能訪問網絡管理員指定的資源,直到按要求完成相應的升級操作。通過EAD的強製措施,可以保證用戶終端與企業安全策略的一致,防止其成為網絡攻擊的對象或“幫凶”。
l 支持多種認證方式,適用範圍廣
EAD支持802.1x、VPN、Portal等多種認證方式,具有廣泛的適應性,可以根據應用場景的區別,選擇合適的方式實施準入防禦策略,分別從局域網接入、VPN接入、彙聚設備等不同層麵確保網絡的整體安全。
l 全麵隔離“危險”終端
在EAD方案中,對不符合企業安全策略的用戶終端進行隔離時,可以配合設備采用VLAN或ACL隔離的方式,以達到物理或網絡隔離的效果,實現對“危險”終端的全麵隔離。
l 靈活、方便的部署與維護
EAD方案部署靈活,維護方便,可以按照網絡管理員的要求區別對待不同身份的用戶,定製不同的安全檢查和隔離級別。EAD可以部署為監控模式(隻記錄不合格的用戶終端,不進行修複提醒)、提醒模式(隻做修複提醒,不進行網絡隔離)、隔離模式和下線模式(對不合格用戶進行下線處理)以適應用戶對安全準入控製的不同要求。
l 詳細的安全事件日誌與審計
EAD對網絡中的用戶上網過程、安全狀態、病毒查殺事件等信息提供詳細的日誌記錄,方便管理員全麵掌握全網用戶終端的安全防禦能力和病毒入侵情況。
l 專業防病毒廠商的合作
EAD是一個整合方案,其防病毒功能的實現由第三方廠商完成,目前支持EAD方案的廠商包括了市場上主流的病毒廠商。通過EAD的聯動,防病毒軟件的價值得到提升,從單點防禦轉化為整體防禦。
l 具有策略實施功能,方便企業實施組織級安全策略
EAD除了能夠檢測用戶終端的安全防禦狀態外,還可以幫助管理員設置終端的安全策略,以達到企業級安全策略統一實施的目的。
l 可擴展的安全解決方案,有效保護投資
EAD是一個可擴展的安全解決方案,對現有網絡設備和組網方式改造較小。在現有企業網中,隻需對網絡設備和防病毒軟件進行簡單升級,即可實現接入控製和防病毒的聯動,達到端點準入控製的目的。
EAD是一種通用接入安全解決方案,具有很強的靈活性和適應性,可以配合H3C的交換機、路由器、VPN網關、SecPath IAG等網絡設備,實現對局域網接入、無線接入、VPN接入、關鍵區域訪問等多種組網方式的端點防禦。EAD可以為以下應用場景提供安全防護解決方案:
l 局域網接入安全防護
在企業網內部,接入終端一般是通過交換機接入企業網絡。這些接入終端的安全狀態將直接影響整個網絡的運行安全。為了確保隻有符合企業安全標準的用戶接入網絡,EAD可以通過交換機的配合,強製用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態評估,幫助管理員實施企業安全策略,確保終端病毒庫和係統補丁得到及時更新,降低病毒蔓延的風險,阻止來自企業內部的安全威脅。
l 無線接入安全防護
WLAN接入的用戶終端具有漫遊性,經常脫離企業網絡管理員的監控,容易感染病毒和木馬或出現長期不更新係統補丁的現象。與局域網接入防護類似,對於這種無線接入的用戶,EAD也可以在交換機配合下,通過標準的802.1x方式,對用戶的身份和安全狀態進行認證與評估,防止外來病毒對網絡的攻擊。
l VPN接入安全防護
一些企業和機構允許移動辦公員工或外部合作人員通過VPN方式接入企業內部網絡。遠程接入的用戶由於其來源的複雜性,往往會給企業網絡帶來嚴重的安全隱患。EAD方案可以通過VPN網關確保遠程接入用戶在進入企業內部網之前,安裝最新的病毒庫和係統補丁。對於沒有安裝EAD安全客戶端的遠程用戶,管理員可以選擇拒絕其訪問內部網絡或限製其訪問權限。
l 關鍵數據保護
EAD的安全防護層次不僅僅限於用戶接入控製,某些企業可能更關心對於核心數據區域(比如數據中心、ERP服務器區等)的安全保護。通過在關鍵數據區的入口添加安全聯動網關設備,EAD可以強製所有訪問關鍵數據區的用戶進行Portal認證和安全狀態檢查,確保用戶訪問關鍵數據時不會無意中因病毒對其產生破壞。這種保護方式也可以阻止外部用戶對企業敏感數據的非法訪問和攻擊。
l 企業入口安全防護
大型企業往往擁有分支或下屬機構,分支機構可以通過專線或WAN連接企業總部。某些企業甚至允許家庭辦公用戶或出差員工直接訪問企業內部網絡。這種組網方式在開放型的商業企業中比較普遍,受到的安全威脅也更嚴重。為了確保接入企業內部網的用戶具有合法身份且符合企業安全標準,可以在企業入口增加安全網關設備來實施EAD準入認證,強製接入用戶進行Portal認證和安全狀態檢查。
l 企業出口安全防護
在某些管理和監控較為嚴格的企業,用戶終端在企業網內部訪問時,受到的安全威脅相對較小。但當用戶試圖訪問外部網絡時,其受到非法攻擊和病毒感染的幾率則要成倍增加,如果用戶在訪問外網時沒有及時安裝補丁或升級病毒庫,則其係統中存在的漏洞將很可能成為外部攻擊的目標,甚至成為攻擊企業內部網絡的“幫凶”。EAD可以在企業出口部署EAD功能的設備強製用戶進行Portal認證和安全狀態檢查,確保用戶訪問外網時具有符合企業標準的攻擊防禦能力。
EAD端點準入防禦方案是一個整合方案,其基本部件包括安全客戶端、安全聯動設備、安全策略服務器以及防病毒服務器、補丁服務器等第三方服務器。EAD方案中的各部件各司其職,由安全策略中心協調與整合各功能部件,共同完成對網絡接入終端的安全狀態評估、隔離與修複,提升網絡的整體防禦能力。
圖1 EAD組網示意圖
安全客戶端是安裝在用戶終端係統上的軟件,是對用戶終端進行身份認證、安全狀態評估以及安全策略實施的主體,其主要功能包括:
l 支持802.1x、Portal、VPN等多種認證方式,可以與H3C的交換機、路由器、VPN網關、SecPath IAG配合實現接入層、彙聚層以及VPN的端點準入控製。
l 檢查用戶終端的安全狀態,包括操作係統版本、係統補丁等信息;同時提供與防病毒客戶端聯動的接口,實現與第三方防病毒客戶端的聯動,檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到安全策略服務器,執行端點準入的判斷與控製。
l 安全策略實施,接收安全策略服務器下發的安全策略並強製用戶終端執行,包括設置安全策略(是否監控郵件、注冊表)、係統修複通知與實施(自動或手工升級補丁和病毒庫)等功能。不按要求實施安全策略的用戶終端將被限製在隔離區。
l 實時監控係統安全狀態,包括是否更改安全設置、是否發現新病毒等,並將安全事件定時上報到安全策略服務器,用於事後進行安全審計。
EAD方案的核心是整合與聯動,其中的安全策略服務器是EAD方案中的管理與控製中心,它作為一個軟件的集合可運行在Windows、Linux平台下,兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控製以及安全事件審計等功能。
l 安全策略管理。安全策略服務器定義了對用戶終端進行準入控製的一係列措施,包括用戶終端安全狀態評估配置、補丁檢查項配置、安全策略配置、終端修複配置以及對終端用戶的隔離方式配置等。
l 用戶管理。企業網中,不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控製。安全策略服務器可以為不同用戶提供基於身份的個性化安全配置和網絡服務等級,方便管理員對網絡用戶製定差異化的安全策略。
l 安全聯動控製。安全策略服務器負責評估安全客戶端上報的安全狀態,控製安全聯動設備對用戶的隔離與開放,下發用戶終端的安全策略。通過安全策略服務器的控製,安全客戶端、安全聯動設備與防病毒服務器才可以協同工作,配合完成端到端的安全準入控製。
l 日誌審計。安全策略服務器收集由安全客戶端上報的安全事件,並形成安全日誌,可以為管理員追蹤和監控網絡的整個網絡的安全狀態 提供依據。
安全聯動設備是企業網絡中安全策略的實施點,起到強製用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。根據應用場合的不同,安全聯動設備可以是H3C的交換機、路由器、VPN網關或SecPath IAG,分別實現不同認證方式(如802.1x、VPN和Portal等)的端點準入控製。不論是哪種接入設備或采用哪種認證方式,安全聯動設備均具有以下功能:
l 強製網絡接入終端進行身份認證和安全狀態評估。
l 隔離不符合安全策略的用戶終端。聯動設備接收到安全策略服務器下發的隔離指令後,可以通過VLAN或ACL方式限製用戶的訪問權限;同樣,收到解除用戶隔離的指令後也可以在線解除對用戶終端的隔離。
l 提供基於身份的網絡服務。安全聯動設備可以根據安全策略服務器下發的策略,為用戶提供個性化的網絡服務,如提供不同的QoS、ACL、VLAN等。
在EAD方案中,第三方服務器是指處於隔離區中,用於終端進行自我修複的防病毒服務器或補丁服務器。網絡版的防病毒服務器提供病毒庫升級服務,允許防病毒客戶端進行在線升級;補丁服務器則提供係統補丁升級服務,當用戶終端的係統補丁不能滿足安全要求時,可以通過補丁服務器進行補丁下載和升級。
EAD的基本功能是通過安全客戶端、安全聯動設備(如交換機、路由器、SecPath IAG)、安全策略服務器以及防病毒服務器、補丁服務器的聯動實現的,其基本原理如圖2所示。
圖2 EAD基本原理
(1) 用戶終端試圖接入網絡時,首先通過安全客戶端由安全聯動設備和安全策略服務器配合進行用戶身份認證,非法用戶將被拒絕接入網絡。
(2) 安全策略服務器對合法用戶下發安全策略,並要求合法用戶進行安全狀態認證。
(3) 由客戶端的第三方桌麵管理係統協同安全策略服務器對合法終端的補丁版本、病毒庫版本等進行檢測。之後,安全客戶端將安全策略檢查的結果上報安全策略服務器。
(4) 安全策略服務器根據檢查結果控製用戶的訪問權限。
l 安全狀態合格的用戶將實施由安全策略服務器下發的安全設置,並由安全聯動設備提供基於身份的網絡服務。
l 安全狀態不合格用戶將被安全聯動設備隔離到隔離區。進入隔離區的用戶可以進行係統的修複和補丁、病毒庫的升級,直到安全狀態合格。
安全認證通過之後在安全策略服務器的配合下可以對合法終端進行安全修複和管理工作,主要包括心跳機製、實時監控及監控發現異常後的處理。
從EAD的主要功能和基本原理可以看出,EAD將終端防病毒、補丁修複等終端安全措施與網絡接入控製、訪問權限控製等網絡安全措施整合為一個聯動的安全體係,通過對網絡接入終端的檢查、隔離、修複、管理和監控,使整個網絡變被動防禦為主動防禦、變單點防禦為全麵防禦、變分散管理為集中策略管理,提升了網絡對病毒和新興安全威脅的整體防禦能力。
圖3 802.1x接入組網方案
由安全聯動接入網關完成基於802.1x的接入控製,進行用戶網絡訪問的通斷控製,由CAMS進行認證、計費以及EAD準入策略控製和安全狀態檢測。通過第三方服務器與安全客戶端的聯動實現客戶端的自動升級管理,可以增強企業內部用戶終端係統的安全性。另外,802.1x接入與CAMS配合可以支持豐富的ACL授權和VLAN授權信息的下發功能,以及用戶接入端口、IP地址的綁定等功能,實現更細粒度地控製用戶訪問。這種組網方案對不符合安全策略的用戶嚴格隔離,可以有效防止來自企業網絡內部的安全威脅。
圖4 VPN接入組網方案
由安全聯動VPN網關結合L2TP認證方式完成對遠端用戶的接入控製,由CAMS進行認證、計費以及EAD準入策略控製和安全狀態檢測。該EAD方案中,VPN客戶端通過向安全聯動VPN網關發起並建立VPN連接,為遠端的移動辦公人員、駐外機構、合作夥伴與企業內部網絡之間建立了可靠的安全連接。EAD方案可以通過VPN網關確保遠程接入用戶在進入企業內部網之前,安裝最新的病毒庫和係統補丁。對於沒有安裝EAD安全客戶端的遠程用戶,管理員可以選擇拒絕其訪問內部網絡或限製其訪問權限,保證了VPN數據傳輸的安全性。這種組網方案可以防止來源複雜的遠程用戶訪問企業內網時帶來的安全隱患。
圖5 Portal接入組網方案
由安全聯動網關結合Portal認證方式在彙聚層實現對網絡用戶的端點準入控製,由CAMS進行認證、計費以及EAD準入策略控製和安全狀態檢測。由於EAD的安全防護層次不僅僅限於用戶接入控製,某些企業可能更關心對於核心數據區域的安全保護。通過在保護區域的入口添加安全聯動設備,EAD可以強製所有訪問關鍵數據區的用戶進行Portal認證和安全狀態檢查,確保用戶訪問關鍵數據時不會因自身感染的病毒對其產生破壞。類似的原因,這種組網方案也可以應用於企業網絡出口、分支機構入口等多種應用場景,因此具有較廣的適應性。
RFC 2865:Remote Authentication Dial In User Service (RADIUS)
Copyright ©2008 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
