【文章內(nèi)容簡介】 的是在單點(diǎn)防范，當(dāng)網(wǎng)絡(luò)中有某臺或某幾臺機(jī)器始終沒有解決病毒問題而又能夠順利上網(wǎng)時，網(wǎng)絡(luò)就會始終處于被感染、被攻擊狀態(tài)。，安全策略不統(tǒng)一，缺乏全局防御能力。只有從用戶的接入終端進(jìn)行安全控制，才能夠從源頭上防御威脅，但是，分散管理的終端難以保證其安全狀態(tài)符合企業(yè)安全策略，無法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。在分科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 22 頁 共 36 頁散管理的安全體系中，新的補(bǔ)丁發(fā)布了卻無人理會、新的病毒出現(xiàn)了卻不及時升級病毒庫的現(xiàn)象普遍存在。分散管理的安全體系無法徹底解決病毒和操作系統(tǒng)漏洞帶來的網(wǎng)絡(luò)安全威脅，只有集中管理、強(qiáng)制終端用戶執(zhí)行，才能夠起到統(tǒng)一策略、全局防范的效果。? 內(nèi)網(wǎng)控制解決方案中 EAD 組件可以實(shí)現(xiàn)下述功能：——檢查用戶終端的安全狀態(tài)和防御能力。用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、防病毒軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。系統(tǒng)補(bǔ)丁、病毒庫版本不及時更新的終端，容易遭受外部攻擊，屬于“易感”終端；已感染病毒的終端，會對網(wǎng)絡(luò)中的其他設(shè)施發(fā)起攻擊，屬于“危險”終端。EAD 通過對終端安全狀態(tài)的檢查，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問網(wǎng)絡(luò)，同時，配合不同方式的身份驗(yàn)證技術(shù)（、Portal 等） ，可以確保接入終端的合法與安全?！綦x“危險”和“易感”終端。在 EAD 方案中，系統(tǒng)補(bǔ)丁、病毒庫版本不及時更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問權(quán)限，只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源，這些受限的網(wǎng)絡(luò)資源被稱之為“隔離區(qū)” ，可以通過 ACL 方式實(shí)現(xiàn)——強(qiáng)制修復(fù)系統(tǒng)補(bǔ)丁、升級防病毒軟件。EAD 可以強(qiáng)制用戶終端進(jìn)行系統(tǒng)補(bǔ)丁和病毒庫版本的升級。當(dāng)不符合安全策略的用戶終端被限制到“隔離區(qū)”以后，EAD 可以自動提醒用戶進(jìn)行缺失補(bǔ)丁或最新病毒庫的升級，配合防病毒服務(wù)器或補(bǔ)丁服務(wù)器，幫助用戶完成手工或自動升級操作，達(dá)到提升終端主動防御能力的目的。完成修復(fù)并達(dá)到安全策略的要求以后，用戶終端將被取消隔離，可以正常訪問網(wǎng)絡(luò)?！小⒔y(tǒng)一的安全策略管理和安全事件監(jiān)控是內(nèi)網(wǎng)控制方案的重要功能。企業(yè)安全策略的統(tǒng)一實(shí)施，需要有一個完善的安全策略管理平臺來支撐。iMC 提供了集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理平臺，可以幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個性化的網(wǎng)絡(luò)安全策略。同時 iMC 可以通過安全策略服務(wù)器與安全客戶端的配合，強(qiáng)制實(shí)施終端安全配置（如是否實(shí)時檢查郵件、注冊表、是否限制代理、是否限制雙科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 23 頁 共 36 頁網(wǎng)卡等） ，監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設(shè)置等） 。? 安全客戶端、安全聯(lián)動設(shè)備（如交換機(jī)、路由器） 、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動的基本原理如下圖： 　　　　用戶終端 安全聯(lián)動設(shè)備 安全策略服務(wù)器 修復(fù)服務(wù)器身份認(rèn)證請求發(fā)起身份認(rèn)證R a d i u s / 身份信息R a d i u s / 身份認(rèn)證成功 ， 下發(fā)隔離 A C L安全認(rèn)證請求安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補(bǔ)丁等信息 ）安全狀態(tài)不合格 （ 缺少補(bǔ)丁等 ）根據(jù)安全認(rèn)證結(jié)果 ， 修復(fù)系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補(bǔ)丁等信息 ）安全認(rèn)證成功 ， 下發(fā)監(jiān)控策略R a d i u s / 安全認(rèn)證成功 ， 下發(fā)工作 A C L安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)圖：聯(lián)動基本原理1．用戶終端試圖接入網(wǎng)絡(luò)時，首先通過安全客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)2．合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫版本是否合格，不合格用戶將被安全聯(lián)動設(shè)備隔離到隔離區(qū)進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫的升級，直到安全狀態(tài)合格，安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 24 頁 共 36 頁從主要功能和基本原理可以看出，端點(diǎn)準(zhǔn)入控制解決方案將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。圖：組成示意圖 EAD 基本組件端點(diǎn)準(zhǔn)入控制方案是一個整合方案，其基本部件包括安全客戶端、安全聯(lián)動設(shè)備、安全策略服務(wù)器，安全管理中心以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方服務(wù)器。方案中的各部件各司其職，由安全策略中心協(xié)調(diào)與整合各功能部件，共同完成對網(wǎng)絡(luò)接入終端的安全狀態(tài)評估、隔離與修復(fù)，提升網(wǎng)絡(luò)的整體防御能力。? iNode 安全客戶端安全客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實(shí)施的主體，其主要功能包括：提供 、portal 等多種認(rèn)證方式，可以與交換機(jī)、路由器配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息；同時提供與防病毒客戶端聯(lián)動的接口，實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 25 頁 共 36 頁到安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表） 、系統(tǒng)修復(fù)通知與實(shí)施（自動或手工升級補(bǔ)丁和病毒庫）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。實(shí)時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。? iMC 安全策略服務(wù)器EAD 方案的核心是整合與聯(lián)動，而安全策略服務(wù)器是 EAD 方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計(jì)等功能。安全策略管理。安全策略服務(wù)器定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。? 安全聯(lián)動設(shè)備安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機(jī)、路由器或防火墻安全網(wǎng)關(guān)，分別實(shí)現(xiàn)不同認(rèn)證方式（如 、Portal 等）的端點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪種認(rèn)證方式，安全聯(lián)動設(shè)備均具有以下功能：科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 26 頁 共 36 頁? 強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。? 隔離不符合安全策略的用戶終端。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，可以通過 ACL 方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。? 提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服務(wù)，如提供不同的 ACL、VLAN 等。? 第三方系統(tǒng)（桌面防病毒系統(tǒng)，防病毒服務(wù)器）在 EAD 方案中，第三方系統(tǒng)是指桌面防病毒系統(tǒng)及處于隔離區(qū)中，用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進(jìn)行在線升級；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級服務(wù)，當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時，可以通過補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級。? 安全管理中心SecCenter 采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的安全日志，結(jié)合 H3C EAD 客戶端上報的用戶上網(wǎng)過程、安全狀態(tài)、病毒查殺事件，進(jìn)行統(tǒng)一分析，實(shí)時輸出審計(jì)報告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進(jìn)行分析和追根朔源。同時，安全管理員可以按照法律法規(guī)（如 SOX 法案）和標(biāo)準(zhǔn)中的規(guī)定，定制相應(yīng)的審計(jì)報告。作為一種成熟的安全防御體系，內(nèi)網(wǎng)控制從端點(diǎn)準(zhǔn)入控制入手，整合防病毒軟件等單點(diǎn)安全產(chǎn)品，可以大幅度提高網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。? 病毒、蠕蟲的主動防御，大幅提高安全性安全管理平臺通過 H3C EAD（端點(diǎn)準(zhǔn)入防御）終端軟件對接入用戶進(jìn)行認(rèn)證時，同時檢查終端補(bǔ)丁、病毒庫升級狀態(tài)，確保只有身份合法并且符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略的用戶接入，從而保證每一個接入端點(diǎn)的安全，預(yù)防內(nèi)網(wǎng)病毒、蠕蟲的泛濫。不符合安全策略的用戶終端將被隔離到“隔離區(qū)” ，只能訪問網(wǎng)絡(luò)管理員指定的資源，在提醒下完成修復(fù)和升級?？萍加邢薰揪W(wǎng)絡(luò)系統(tǒng)解決方案第 27 頁 共 36 頁? 基于深度檢測的安全聯(lián)動，全面隔離“危險”終端安全防御設(shè)備包含防火墻、SecBlade 和 IPS。融合了包過濾、狀態(tài)檢測、入侵防御和防病毒等多種技術(shù)，可以發(fā)現(xiàn)和阻斷蠕蟲、病毒以及惡意入侵行為，同時將安全事件上報安全管理平臺。SecCenter 進(jìn)行智能分析后聯(lián)動 iMC，對造成威脅的內(nèi)網(wǎng)用戶采取在線提醒、強(qiáng)制下線、關(guān)閉交換機(jī)端口、加入黑名單等控制手段，從源頭上制止威脅的發(fā)生。? 專業(yè)的桌面行為審計(jì)SecCenter 采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的安全日志，結(jié)合 H3C EAD 客戶端上報的用戶上網(wǎng)過程、安全狀態(tài)、病毒查殺事件，進(jìn)行統(tǒng)一分析，實(shí)時輸出審計(jì)報告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進(jìn)行分析和追根朔源。同時，安全管理員可以按照法律法規(guī)（如 SOX 法案）和標(biāo)準(zhǔn)中的規(guī)定，定制相應(yīng)的審計(jì)報告。? 靈活、方便的部署與維護(hù)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對待不同身份的用戶，定制不同的安全檢查和隔離級別。其中 EAD 可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒） 、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對安全準(zhǔn)入控制的不同要求。? 專業(yè)第三方廠商的合作內(nèi)網(wǎng)控制是一個整合方案，目前支持方案的廠商包括市場上主流的防病毒軟件廠商及桌面終端管理廠商，包括但不限于Microsoft，Bigfix，LANDdesk，瑞星，金山，江民，北信源，趨勢，Synmantec 等等。通過 EAD 的聯(lián)動，各軟件系統(tǒng)的價值得到提升，從單點(diǎn)防御轉(zhuǎn)化為整體防御。? 具有策略實(shí)施功能，方便企業(yè)實(shí)施組織級安全策略方案除了能夠檢測用戶終端的安全防御狀態(tài)外，還可以幫助管理員設(shè)置終端的安全策略，以達(dá)到企業(yè)級安全策略統(tǒng)一實(shí)施的目的?？萍加邢薰揪W(wǎng)絡(luò)系統(tǒng)解決方案第 28 頁 共 36 頁 絡(luò)絡(luò) 綜綜 合合 管管 理理 平平 臺臺 設(shè)設(shè) 計(jì)計(jì). 應(yīng)用場景隨著網(wǎng)絡(luò)建設(shè)的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)和可運(yùn)營的網(wǎng)絡(luò)成為越來越多的用戶關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)精細(xì)化管理也越來越深入人心，一套好的管理軟件無疑對網(wǎng)絡(luò)的精細(xì)化管理起到至關(guān)重要的作用。精細(xì)化管理的第一步是網(wǎng)絡(luò)的基礎(chǔ)管理，基于多年的積累和對用戶網(wǎng)絡(luò)的深入理解，H3C IMC 開放智能管理中樞解決方案為用戶提供了實(shí)用、易用的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾怼⒏婢芾?、性能管理、軟件升級管理、配置文件管理、ACL 資源管理、MPLS VPN 監(jiān)視與部署等多種管理功能。IMC 解決方案不僅能夠管理 H3C 公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過標(biāo)準(zhǔn) MIB 管理 3Com、華為、Cisco 等各主流廠商的設(shè)備，而且還是 H3C 公司其他管理解決方案的基石所在。. 平臺介紹H3C IMC 解決方案以對網(wǎng)絡(luò)資源的基本管理為核心，不僅提供功能，更通過流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供了網(wǎng)絡(luò)精細(xì)化管理最佳的工具軟件。H3C 解決方案采用全新的 SOA（Service Oriented Architecture，面向服務(wù)的架構(gòu)）為設(shè)計(jì)思想，基于 B/S 架構(gòu)，對外提供多種開放接口，既能與用戶原有業(yè)務(wù)系統(tǒng)有機(jī)融合，又能方便吸納第三方服務(wù)，形成“面向業(yè)務(wù)” 、 “融合聯(lián)動” 、 “開放架構(gòu)”的管理流程?？萍加邢薰揪W(wǎng)絡(luò)系統(tǒng)解決方案第 29 頁 共 36 頁圖 IMC 解決方案概述. NFM 基礎(chǔ)網(wǎng)絡(luò)管理組件介紹IMC 解決方案不僅涵蓋拓?fù)洹⒏婢?、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，而且結(jié)合 H3C 公司的系列交換機(jī)和路由器設(shè)備，提供智能化的 ACL 管理工具，可實(shí)現(xiàn)客戶所需的各種嚴(yán)格的訪問控制策略，從而構(gòu)成對網(wǎng)絡(luò)訪問的權(quán)限控制。在傳統(tǒng)網(wǎng)絡(luò)管理的基礎(chǔ)上，與 BGP/MPLS VPN 網(wǎng)絡(luò)信息聯(lián)動，形成端到端的管理解決方案，切實(shí)有效的減輕管理員的工作量。? 全面的基礎(chǔ)資源管理除了傳統(tǒng)的路由器、交換機(jī)外，更能對網(wǎng)絡(luò)中的