【文章內(nèi)容簡(jiǎn)介】 的是在單點(diǎn)防范，當(dāng)網(wǎng)絡(luò)中有某臺(tái)或某幾臺(tái)機(jī)器始終沒(méi)有解決病毒問(wèn)題而又能夠順利上網(wǎng)時(shí)，網(wǎng)絡(luò)就會(huì)始終處于被感染、被攻擊狀態(tài)。，安全策略不統(tǒng)一，缺乏全局防御能力。只有從用戶的接入終端進(jìn)行安全控制，才能夠從源頭上防御威脅，但是，分散管理的終端難以保證其安全狀態(tài)符合企業(yè)安全策略，無(wú)法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。在分科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 22 頁(yè) 共 36 頁(yè)散管理的安全體系中，新的補(bǔ)丁發(fā)布了卻無(wú)人理會(huì)、新的病毒出現(xiàn)了卻不及時(shí)升級(jí)病毒庫(kù)的現(xiàn)象普遍存在。分散管理的安全體系無(wú)法徹底解決病毒和操作系統(tǒng)漏洞帶來(lái)的網(wǎng)絡(luò)安全威脅，只有集中管理、強(qiáng)制終端用戶執(zhí)行，才能夠起到統(tǒng)一策略、全局防范的效果。? 內(nèi)網(wǎng)控制解決方案中 EAD 組件可以實(shí)現(xiàn)下述功能：——檢查用戶終端的安全狀態(tài)和防御能力。用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、防病毒軟件版本、病毒庫(kù)版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新的終端，容易遭受外部攻擊，屬于“易感”終端；已感染病毒的終端，會(huì)對(duì)網(wǎng)絡(luò)中的其他設(shè)施發(fā)起攻擊，屬于“危險(xiǎn)”終端。EAD 通過(guò)對(duì)終端安全狀態(tài)的檢查，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問(wèn)網(wǎng)絡(luò)，同時(shí)，配合不同方式的身份驗(yàn)證技術(shù)（、Portal 等） ，可以確保接入終端的合法與安全?！綦x“危險(xiǎn)”和“易感”終端。在 EAD 方案中，系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問(wèn)權(quán)限，只能訪問(wèn)病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源，這些受限的網(wǎng)絡(luò)資源被稱之為“隔離區(qū)” ，可以通過(guò) ACL 方式實(shí)現(xiàn)——強(qiáng)制修復(fù)系統(tǒng)補(bǔ)丁、升級(jí)防病毒軟件。EAD 可以強(qiáng)制用戶終端進(jìn)行系統(tǒng)補(bǔ)丁和病毒庫(kù)版本的升級(jí)。當(dāng)不符合安全策略的用戶終端被限制到“隔離區(qū)”以后，EAD 可以自動(dòng)提醒用戶進(jìn)行缺失補(bǔ)丁或最新病毒庫(kù)的升級(jí)，配合防病毒服務(wù)器或補(bǔ)丁服務(wù)器，幫助用戶完成手工或自動(dòng)升級(jí)操作，達(dá)到提升終端主動(dòng)防御能力的目的。完成修復(fù)并達(dá)到安全策略的要求以后，用戶終端將被取消隔離，可以正常訪問(wèn)網(wǎng)絡(luò)?！?、統(tǒng)一的安全策略管理和安全事件監(jiān)控是內(nèi)網(wǎng)控制方案的重要功能。企業(yè)安全策略的統(tǒng)一實(shí)施，需要有一個(gè)完善的安全策略管理平臺(tái)來(lái)支撐。iMC 提供了集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理平臺(tái)，可以幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個(gè)性化的網(wǎng)絡(luò)安全策略。同時(shí) iMC 可以通過(guò)安全策略服務(wù)器與安全客戶端的配合，強(qiáng)制實(shí)施終端安全配置（如是否實(shí)時(shí)檢查郵件、注冊(cè)表、是否限制代理、是否限制雙科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 23 頁(yè) 共 36 頁(yè)網(wǎng)卡等） ，監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設(shè)置等） 。? 安全客戶端、安全聯(lián)動(dòng)設(shè)備（如交換機(jī)、路由器） 、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動(dòng)的基本原理如下圖： 　　　　用戶終端 安全聯(lián)動(dòng)設(shè)備 安全策略服務(wù)器 修復(fù)服務(wù)器身份認(rèn)證請(qǐng)求發(fā)起身份認(rèn)證R a d i u s / 身份信息R a d i u s / 身份認(rèn)證成功 ， 下發(fā)隔離 A C L安全認(rèn)證請(qǐng)求安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補(bǔ)丁等信息 ）安全狀態(tài)不合格 （ 缺少補(bǔ)丁等 ）根據(jù)安全認(rèn)證結(jié)果 ， 修復(fù)系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補(bǔ)丁等信息 ）安全認(rèn)證成功 ， 下發(fā)監(jiān)控策略R a d i u s / 安全認(rèn)證成功 ， 下發(fā)工作 A C L安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)圖：聯(lián)動(dòng)基本原理1．用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)安全客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)2．合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫(kù)版本是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)，直到安全狀態(tài)合格，安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 24 頁(yè) 共 36 頁(yè)從主要功能和基本原理可以看出，端點(diǎn)準(zhǔn)入控制解決方案將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防御能力。圖：組成示意圖 EAD 基本組件端點(diǎn)準(zhǔn)入控制方案是一個(gè)整合方案，其基本部件包括安全客戶端、安全聯(lián)動(dòng)設(shè)備、安全策略服務(wù)器，安全管理中心以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方服務(wù)器。方案中的各部件各司其職，由安全策略中心協(xié)調(diào)與整合各功能部件，共同完成對(duì)網(wǎng)絡(luò)接入終端的安全狀態(tài)評(píng)估、隔離與修復(fù)，提升網(wǎng)絡(luò)的整體防御能力。? iNode 安全客戶端安全客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其主要功能包括：提供 、portal 等多種認(rèn)證方式，可以與交換機(jī)、路由器配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 25 頁(yè) 共 36 頁(yè)到安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊(cè)表） 、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫(kù)）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。? iMC 安全策略服務(wù)器EAD 方案的核心是整合與聯(lián)動(dòng)，而安全策略服務(wù)器是 EAD 方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。安全策略管理。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開(kāi)放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。? 安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)、路由器或防火墻安全網(wǎng)關(guān)，分別實(shí)現(xiàn)不同認(rèn)證方式（如 、Portal 等）的端點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪種認(rèn)證方式，安全聯(lián)動(dòng)設(shè)備均具有以下功能：科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 26 頁(yè) 共 36 頁(yè)? 強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估。? 隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，可以通過(guò) ACL 方式限制用戶的訪問(wèn)權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離。? 提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的 ACL、VLAN 等。? 第三方系統(tǒng)（桌面防病毒系統(tǒng)，防病毒服務(wù)器）在 EAD 方案中，第三方系統(tǒng)是指桌面防病毒系統(tǒng)及處于隔離區(qū)中，用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫(kù)升級(jí)服務(wù)，允許防病毒客戶端進(jìn)行在線升級(jí)；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，可以通過(guò)補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)。? 安全管理中心SecCenter 采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的安全日志，結(jié)合 H3C EAD 客戶端上報(bào)的用戶上網(wǎng)過(guò)程、安全狀態(tài)、病毒查殺事件，進(jìn)行統(tǒng)一分析，實(shí)時(shí)輸出審計(jì)報(bào)告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對(duì)用戶既往行為進(jìn)行分析和追根朔源。同時(shí)，安全管理員可以按照法律法規(guī)（如 SOX 法案）和標(biāo)準(zhǔn)中的規(guī)定，定制相應(yīng)的審計(jì)報(bào)告。作為一種成熟的安全防御體系，內(nèi)網(wǎng)控制從端點(diǎn)準(zhǔn)入控制入手，整合防病毒軟件等單點(diǎn)安全產(chǎn)品，可以大幅度提高網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防御能力。? 病毒、蠕蟲(chóng)的主動(dòng)防御，大幅提高安全性安全管理平臺(tái)通過(guò) H3C EAD（端點(diǎn)準(zhǔn)入防御）終端軟件對(duì)接入用戶進(jìn)行認(rèn)證時(shí)，同時(shí)檢查終端補(bǔ)丁、病毒庫(kù)升級(jí)狀態(tài)，確保只有身份合法并且符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略的用戶接入，從而保證每一個(gè)接入端點(diǎn)的安全，預(yù)防內(nèi)網(wǎng)病毒、蠕蟲(chóng)的泛濫。不符合安全策略的用戶終端將被隔離到“隔離區(qū)” ，只能訪問(wèn)網(wǎng)絡(luò)管理員指定的資源，在提醒下完成修復(fù)和升級(jí)?？萍加邢薰揪W(wǎng)絡(luò)系統(tǒng)解決方案第 27 頁(yè) 共 36 頁(yè)? 基于深度檢測(cè)的安全聯(lián)動(dòng)，全面隔離“危險(xiǎn)”終端安全防御設(shè)備包含防火墻、SecBlade 和 IPS。融合了包過(guò)濾、狀態(tài)檢測(cè)、入侵防御和防病毒等多種技術(shù)，可以發(fā)現(xiàn)和阻斷蠕蟲(chóng)、病毒以及惡意入侵行為，同時(shí)將安全事件上報(bào)安全管理平臺(tái)。SecCenter 進(jìn)行智能分析后聯(lián)動(dòng) iMC，對(duì)造成威脅的內(nèi)網(wǎng)用戶采取在線提醒、強(qiáng)制下線、關(guān)閉交換機(jī)端口、加入黑名單等控制手段，從源頭上制止威脅的發(fā)生。? 專業(yè)的桌面行為審計(jì)SecCenter 采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的安全日志，結(jié)合 H3C EAD 客戶端上報(bào)的用戶上網(wǎng)過(guò)程、安全狀態(tài)、病毒查殺事件，進(jìn)行統(tǒng)一分析，實(shí)時(shí)輸出審計(jì)報(bào)告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對(duì)用戶既往行為進(jìn)行分析和追根朔源。同時(shí)，安全管理員可以按照法律法規(guī)（如 SOX 法案）和標(biāo)準(zhǔn)中的規(guī)定，定制相應(yīng)的審計(jì)報(bào)告。? 靈活、方便的部署與維護(hù)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。其中 EAD 可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒） 、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。? 專業(yè)第三方廠商的合作內(nèi)網(wǎng)控制是一個(gè)整合方案，目前支持方案的廠商包括市場(chǎng)上主流的防病毒軟件廠商及桌面終端管理廠商，包括但不限于Microsoft，Bigfix，LANDdesk，瑞星，金山，江民，北信源，趨勢(shì)，Synmantec 等等。通過(guò) EAD 的聯(lián)動(dòng)，各軟件系統(tǒng)的價(jià)值得到提升，從單點(diǎn)防御轉(zhuǎn)化為整體防御。? 具有策略實(shí)施功能，方便企業(yè)實(shí)施組織級(jí)安全策略方案除了能夠檢測(cè)用戶終端的安全防御狀態(tài)外，還可以幫助管理員設(shè)置終端的安全策略，以達(dá)到企業(yè)級(jí)安全策略統(tǒng)一實(shí)施的目的?？萍加邢薰揪W(wǎng)絡(luò)系統(tǒng)解決方案第 28 頁(yè) 共 36 頁(yè) 絡(luò)絡(luò) 綜綜 合合 管管 理理 平平 臺(tái)臺(tái) 設(shè)設(shè) 計(jì)計(jì). 應(yīng)用場(chǎng)景隨著網(wǎng)絡(luò)建設(shè)的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)和可運(yùn)營(yíng)的網(wǎng)絡(luò)成為越來(lái)越多的用戶關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)精細(xì)化管理也越來(lái)越深入人心，一套好的管理軟件無(wú)疑對(duì)網(wǎng)絡(luò)的精細(xì)化管理起到至關(guān)重要的作用。精細(xì)化管理的第一步是網(wǎng)絡(luò)的基礎(chǔ)管理，基于多年的積累和對(duì)用戶網(wǎng)絡(luò)的深入理解，H3C IMC 開(kāi)放智能管理中樞解決方案為用戶提供了實(shí)用、易用的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾怼⒏婢芾?、性能管理、軟件升?jí)管理、配置文件管理、ACL 資源管理、MPLS VPN 監(jiān)視與部署等多種管理功能。IMC 解決方案不僅能夠管理 H3C 公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過(guò)標(biāo)準(zhǔn) MIB 管理 3Com、華為、Cisco 等各主流廠商的設(shè)備，而且還是 H3C 公司其他管理解決方案的基石所在。. 平臺(tái)介紹H3C IMC 解決方案以對(duì)網(wǎng)絡(luò)資源的基本管理為核心，不僅提供功能，更通過(guò)流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供了網(wǎng)絡(luò)精細(xì)化管理最佳的工具軟件。H3C 解決方案采用全新的 SOA（Service Oriented Architecture，面向服務(wù)的架構(gòu)）為設(shè)計(jì)思想，基于 B/S 架構(gòu)，對(duì)外提供多種開(kāi)放接口，既能與用戶原有業(yè)務(wù)系統(tǒng)有機(jī)融合，又能方便吸納第三方服務(wù)，形成“面向業(yè)務(wù)” 、 “融合聯(lián)動(dòng)” 、 “開(kāi)放架構(gòu)”的管理流程。科技有限公司網(wǎng)絡(luò)系統(tǒng)解決方案第 29 頁(yè) 共 36 頁(yè)圖 IMC 解決方案概述. NFM 基礎(chǔ)網(wǎng)絡(luò)管理組件介紹IMC 解決方案不僅涵蓋拓?fù)?、告警、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，而且結(jié)合 H3C 公司的系列交換機(jī)和路由器設(shè)備，提供智能化的 ACL 管理工具，可實(shí)現(xiàn)客戶所需的各種嚴(yán)格的訪問(wèn)控制策略，從而構(gòu)成對(duì)網(wǎng)絡(luò)訪問(wèn)的權(quán)限控制。在傳統(tǒng)網(wǎng)絡(luò)管理的基礎(chǔ)上，與 BGP/MPLS VPN 網(wǎng)絡(luò)信息聯(lián)動(dòng)，形成端到端的管理解決方案，切實(shí)有效的減輕管理員的工作量。? 全面的基礎(chǔ)資源管理除了傳統(tǒng)的路由器、交換機(jī)外，更能對(duì)網(wǎng)絡(luò)中的