【文章內(nèi)容簡介】 絡(luò)準(zhǔn)入控制，滿足防病毒服務(wù)器、補(bǔ)丁服務(wù)的檢查后，用戶獲得網(wǎng)絡(luò)訪問許可,根據(jù)分組訪問權(quán)限，用戶就可以訪問指定的業(yè)務(wù)服務(wù)器VPN通道、互連網(wǎng)等，通過EAD系統(tǒng)可以防范網(wǎng)絡(luò)病毒傳播，確保服務(wù)器及企業(yè)數(shù)據(jù)安全。1原理EAD解決方案提供企業(yè)網(wǎng)絡(luò)安全管理的平臺(tái)，通過整合孤立的單點(diǎn)防御系統(tǒng)，加強(qiáng)對(duì)用戶的集中管理，統(tǒng)一實(shí)施企業(yè)網(wǎng)絡(luò)安全策略，提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。其基本原理圖如下：EAD基本原理EAD系統(tǒng)由四部分組成，具體包括安全策略服務(wù)器、安全客戶端平臺(tái)、安全聯(lián)動(dòng)設(shè)備和第三方服務(wù)器。安全策略服務(wù)器是EAD方案中的管理與控制中心，是EAD解決方案的核心組成部分，實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。目前華為3Com公司的CAMS產(chǎn)品實(shí)現(xiàn)了安全策略服務(wù)器的功能，該系統(tǒng)在全面管理網(wǎng)絡(luò)用戶信息的基礎(chǔ)上，支持多種網(wǎng)絡(luò)認(rèn)證方式，支持針對(duì)用戶的安全策略設(shè)置，以標(biāo)準(zhǔn)協(xié)議與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)用戶接入行為的控制，同時(shí)，該系統(tǒng)可詳細(xì)記錄用戶上網(wǎng)信息和安全事件信息，審計(jì)用戶上網(wǎng)行為和安全事件。安全客戶端平臺(tái)是安裝在用戶終端系統(tǒng)上的軟件，該平臺(tái)可集成各種安全廠商的安全產(chǎn)品插件，對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及實(shí)施網(wǎng)絡(luò)安全策略 。安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。CAMS綜合接入管理平臺(tái)作為安全策略服務(wù)器，提供標(biāo)準(zhǔn)的協(xié)議接口，支持同交換機(jī)、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動(dòng)。第三方服務(wù)器為病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品，通過安全策略的設(shè)置實(shí)施，第三方安全產(chǎn)品的功能集成至EAD解決方案中，實(shí)現(xiàn)安全產(chǎn)品功能的整合。EAD原理圖示意了應(yīng)用EAD系統(tǒng)實(shí)現(xiàn)終端安全準(zhǔn)入的流程：用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過安全客戶端上傳用戶信息至安全策略服務(wù)器進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)進(jìn)入隔離區(qū)的用戶可以根據(jù)企業(yè)網(wǎng)絡(luò)安全策略，通過第三方服務(wù)器進(jìn)行安裝系統(tǒng)補(bǔ)丁、升級(jí)病毒庫、檢查終端系統(tǒng)信息等操作，直到接入終端符合企業(yè)網(wǎng)絡(luò)安全策略。安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)2功能特點(diǎn)完備的安全狀態(tài)評(píng)估用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。EAD通過對(duì)終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問網(wǎng)絡(luò)實(shí)時(shí)的“危險(xiǎn)”用戶隔離系統(tǒng)補(bǔ)丁、病毒庫版本不及時(shí)更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問權(quán)限，只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。基于角色的網(wǎng)絡(luò)服務(wù)在用戶終端在通過病毒、補(bǔ)丁等安全信息檢查后，EAD可基于終端用戶的角色，向安全客戶端下發(fā)系統(tǒng)配置的安全策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施設(shè)置均可由管理員統(tǒng)一管理，并實(shí)時(shí)應(yīng)用實(shí)施?？蓴U(kuò)展的、開放的安全解決方案EAD是一個(gè)可擴(kuò)展的安全解決方案，對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中，只需對(duì)網(wǎng)絡(luò)設(shè)備和三方軟件進(jìn)行簡單升級(jí)，即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng)，達(dá)到端點(diǎn)準(zhǔn)入控制的目的，有效保護(hù)用戶的網(wǎng)絡(luò)投資。EAD也是一個(gè)開放的解決方案。EAD系統(tǒng)中，安全策略服務(wù)器同設(shè)備的交互、同第三方服務(wù)器的交互都基于開放的、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面，目前EAD系統(tǒng)已金山、瑞星、江民等多家主流防病毒廠商的產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)。靈活、方便的部署與維護(hù)EAD方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。EAD可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒）、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。3 EAD應(yīng)用場(chǎng)景EAD是一種通用接入安全解決方案，具有很強(qiáng)的靈活性和適應(yīng)性，可以配合交換機(jī)、路由器、VPN網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)對(duì)局域網(wǎng)接入、無線接入、VPN接入、關(guān)鍵區(qū)域訪問等多種組網(wǎng)方式的安全防護(hù)?？梢詾槎喾N應(yīng)用場(chǎng)合提供安全保護(hù)，具體包括：局域網(wǎng)安全防護(hù)在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過交換機(jī)接入企業(yè)網(wǎng)絡(luò)，EAD通過與交換機(jī)的聯(lián)動(dòng)，強(qiáng)制檢查用戶終端的病毒庫和系統(tǒng)補(bǔ)丁信息，降低病毒和蠕蟲蔓延的風(fēng)險(xiǎn)，同時(shí)強(qiáng)制實(shí)施網(wǎng)絡(luò)接入用戶的安全策略，阻止來自企業(yè)內(nèi)部的安全威脅。無線接入網(wǎng)絡(luò)的安全防護(hù)WLAN接入的用戶終端具有漫游性，經(jīng)常脫離企業(yè)網(wǎng)絡(luò)管理員的監(jiān)控，容易感染病毒和木馬或出現(xiàn)長期不更新系統(tǒng)補(bǔ)丁的現(xiàn)象，給網(wǎng)絡(luò)帶來安全隱患。與局域網(wǎng)接入防護(hù)類似，對(duì)于這種無線接入的用戶，EAD也可以在交換機(jī)配合下，通過實(shí)現(xiàn)用戶接入終端的安全控制，實(shí)現(xiàn)用戶網(wǎng)絡(luò)的安全保護(hù)。VPN接入網(wǎng)絡(luò)的安全防護(hù)一些企業(yè)和機(jī)構(gòu)允許移動(dòng)辦公員工或外部合作人員通過VPN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)。EAD方案可以通過VPN網(wǎng)關(guān)確保遠(yuǎn)程接入用戶在進(jìn)入企業(yè)內(nèi)部網(wǎng)之前，檢查用戶終端的安全狀態(tài)，并在用戶認(rèn)證通過后實(shí)施企業(yè)安全策略。對(duì)于沒有安裝EAD安全客戶端的遠(yuǎn)程用戶，管理員可以選擇拒絕其訪問內(nèi)部網(wǎng)絡(luò)或限制其訪問權(quán)限。企業(yè)關(guān)鍵數(shù)據(jù)保護(hù)對(duì)于接入網(wǎng)絡(luò)的用戶終端，其訪問權(quán)限受EAD下發(fā)的安全策略控制，其對(duì)企業(yè)關(guān)鍵數(shù)據(jù)服務(wù)器的訪問也因此受控。同時(shí)由于可訪問該數(shù)據(jù)服務(wù)器的用戶均通過EAD的安全狀態(tài)檢查，避免數(shù)據(jù)遭受非法訪問和攻擊。網(wǎng)絡(luò)入口安全防護(hù)大型企業(yè)往往擁有分支機(jī)構(gòu)或合作伙伴，其分支機(jī)構(gòu)、合作伙伴也可以通過專線或WAN連接企業(yè)總部。這種組網(wǎng)方式在開放型的商業(yè)企業(yè)中比較普遍，受到的安全威脅也更嚴(yán)重。為了確保接入企業(yè)內(nèi)部網(wǎng)的用戶具有合法身份且符合企業(yè)安全標(biāo)準(zhǔn)，可以在企業(yè)入口路由器中實(shí)施EAD準(zhǔn)入認(rèn)證。4 結(jié)論EAD提供了一個(gè)全新的安全防御體系，該系統(tǒng)作為網(wǎng)絡(luò)安全管理的平臺(tái)，將防病毒功能、自動(dòng)升級(jí)系統(tǒng)補(bǔ)丁等第三方軟件提供的網(wǎng)絡(luò)安全功能、網(wǎng)絡(luò)設(shè)備接入控制功能、用戶接入行為管理功能相融合，加強(qiáng)