【正文】 ........................................................................... 19 6 附： EAD解決方案應用模型及功能特點 ............................................................ 19 應用模型 ............................................................................................... 19 安全準入應用模型 ......................................................................... 19 安全準入工作流程 ......................................................................... 20 功能特點 ............................................................................................... 21 安全狀態(tài)評估 ................................................................................ 21 用戶權限管理 ................................................................................ 22 用戶行為監(jiān)控 ................................................................................ 23杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 4 頁 , 共 20 頁 端點準入防御 (EAD)方案 技術 建議書 1 概述 網絡安全問題的解決，三分靠技術，七分靠管理，嚴格管理是企業(yè)、機構及用戶免受網絡安全問題威脅的重要措施。 為了解決現(xiàn)有網絡安全管理中存在的不足，應對網絡安全威脅 ， H3C推出了 端點準入防御（ EAD， Endpoint Admission Defense）解決方案 。 安全防護主要是對終端接入網絡進行認證，保證只有安全的終端才能接入網絡，對達不到安全要求的終端可以進行修復，保障終端和網絡的安全；安全監(jiān)控是指在上網過程中，系統(tǒng)實時監(jiān)控用戶終端的安全 狀態(tài)，并針對用戶終端的安全事件采取相應的應對措施，實時保障網絡安全。 方案組成部分 為了有效實現(xiàn)用戶終端安全準入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合企業(yè)終端安全策略，順利接入 網絡進行工作。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。 ? 安全聯(lián)動控制。 此類服務器通常放置于網絡 隔離區(qū)中，用于終端進行自我修復 操作 。 安全聯(lián)動設備 安全聯(lián)動設備是企業(yè)網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。聯(lián)動設備接收到安全策略服務器下發(fā)的隔離指令后， 目前 可以通過 動態(tài) ACL方式限制用戶的訪問權限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。 ? 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁、共享目錄、已安裝的軟件、已啟動的服務等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒 軟件產品 客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。 ? 實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。 SMS 20xx提供了 詳細的報告，使應用程序配置過程變得輕松。 ? 提高權限的 Windows安裝服務 ： 鑒于 SMS 20xx支持 Windows安裝服務 (.msi)，在一個組件安裝過程中，可以在關聯(lián)的帳戶間切換，允許在 “向下鎖定 ”的系統(tǒng)上安裝自我復原的應用程序。 ? 詳細的 軟件、 硬件資產目錄 ： Windows管理工具（ WMI）增強功能，實現(xiàn)在資產目錄掃描過程中客戶端的性能提升，并提供一套更豐富的資產目錄數(shù)據(jù)。 Windows 管理服務集成 ? 活動目錄探索 ： SMS 20xx可以自動探索用戶和系統(tǒng)的活動目錄屬性，包括組織單元容器和組級成員。 ? 改進的狀態(tài)工具 ： 狀態(tài)數(shù)據(jù)提供了有關 SMS 20xx在服務器和客戶端兩方面處理當前狀況的實時信息 4 EAD 解決方案組網 部署 通過與不同網絡接入設備的聯(lián)動， EAD解決方案可在多種 應用場景中實現(xiàn)用戶終端安全準入控制，滿足不同網絡環(huán)境下，端點安全準入控制的需要。 ? 在 接入 交換機（ S30/35/36系列 交換機）中 要 部署 ，強制進行基于用戶的 和動態(tài) ACL、 VLAN控制 。 ? 防病毒服務器（可選）必須部署于隔離區(qū)，可以與補丁服務器、 EAD安全代理共用一臺主機，可以選擇 Norton防病毒、趨勢防病毒、 McAFee防病毒、安博士防病毒、 CA Kill安全甲胄 、 瑞星殺毒軟件、金山毒霸以及江民 KV防病毒軟件 。 3. CAMS通知接入設備 （ S30/35/36系列或其他 支持 EAD解決方案 的交換機） ，將該用戶的訪問權限限制到隔離區(qū)內。如果 合格 則 解除隔離，進入步驟 7。 2. 合法用戶接入網絡后，其訪問權限受 S30/35/39/50系列 交換機中的 ACL控制。 4. 用戶正常接入網絡前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。尤其是在對用戶原有企業(yè)網絡進行改造，實施 EAD解決方案時，可以將原有匯聚層設備替換為支持 EAD解決方案的 H3C匯聚層設備，實現(xiàn) EAD解決方案的應用。 5. 實施效果 實施效果 同接入層準入控制 相同 ，但是網絡改造費用降低、系統(tǒng)部署簡單。而這時的企業(yè)網絡通常為多廠商設備共存，很難單獨使用 一家廠商的設備實施網絡的準入控制，這種情況下，視網絡規(guī)模大小，我們推薦使用一臺或多臺網關設備作為強制認證控制器，使用基于 Portal的認證協(xié)議， 與 iNode客戶端、安全策略服務器配合完成 EAD端點準入防御 。 3. 方案說明 ? 使用 AR46/2 MSR、 S7502E設備配合組網，設備通常放置在網絡出口，并在設備上開啟 Portal認證功能。 ? 隔離區(qū)的設置、第三方服務器的設置、 CAMS自助服務器 和 EAD安全代理服務器的 設置等信息同接入層準入控制。 簡化了客戶端分發(fā)工作。 3. 通過安全認證網關和策略服務器、客戶端配合，解決了網絡上多廠商設備共存的問題； 4. 其余同接入層準入控制。 隔離模式 對于 一些關系比較重大的安全漏洞或補丁，如 Windows服務器的致命安全補丁，需要進行比較嚴厲的控制 。在 提醒 模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復指導和相關鏈接。 一些相對普通的安全問題，如提示性的補丁安 裝，可以在不影響終端用戶工作的情況下，由管理員進行定期檢查并通告。主要與 Portal認證相配合 ，實現(xiàn)網絡出口或是關鍵數(shù)據(jù)區(qū)域的認證保護。 5 系統(tǒng)參數(shù)及環(huán)境要求 EAD 系統(tǒng)技術參數(shù) ? 網絡帶寬占用：用戶終端安全狀態(tài)信息 1K； ? 并發(fā)連接數(shù)： CAMS應用服務器可支持 5000個并發(fā)連接； ? 雙機備份：支持 24小時主備數(shù)據(jù)自動同步方案； 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 19 頁 , 共 20 頁 EAD 系統(tǒng)環(huán)境要求 ? CAMS 安全策略服務器 軟件環(huán)境：操作系統(tǒng)和數(shù)據(jù)庫分別為 Windows 20xx Advanced Server中文版＋SP SQL Server 20xx＋ SP4 ? 硬件環(huán)境： 5000 用戶，推薦使用雙路 Xeon 的 PC 服務器以上、 1G 以上內存。 圖表 1 EAD解決方案安全準入應用模型圖 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 20 頁 , 共 20 頁 安全準入工作流程 ? 身份驗證： 用戶終端接入網絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網絡。 ? 安全修復： 進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態(tài)合格。 安全狀態(tài)評估 ? 終端補丁檢測： 評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)