【文章內容簡介】 的是在單點防范，當網(wǎng)絡中有某臺或某幾臺機器始終沒有解決病毒問題而又能夠順利上網(wǎng)時，網(wǎng)絡就會始終處于被感染、被攻擊狀態(tài)。，安全策略不統(tǒng)一，缺乏全局防御能力。只有從用戶的接入終端進行安全控制，才能夠從源頭上防御威脅，但是，分散管理的終端難以保證其安全狀態(tài)符合企業(yè)安全策略，無法有效地從網(wǎng)絡接入點進行安全防范。在分科技有限公司網(wǎng)絡系統(tǒng)解決方案第 22 頁 共 36 頁散管理的安全體系中，新的補丁發(fā)布了卻無人理會、新的病毒出現(xiàn)了卻不及時升級病毒庫的現(xiàn)象普遍存在。分散管理的安全體系無法徹底解決病毒和操作系統(tǒng)漏洞帶來的網(wǎng)絡安全威脅，只有集中管理、強制終端用戶執(zhí)行，才能夠起到統(tǒng)一策略、全局防范的效果。? 內網(wǎng)控制解決方案中 EAD 組件可以實現(xiàn)下述功能：——檢查用戶終端的安全狀態(tài)和防御能力。用戶終端的安全狀態(tài)是指操作系統(tǒng)補丁、防病毒軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。系統(tǒng)補丁、病毒庫版本不及時更新的終端，容易遭受外部攻擊，屬于“易感”終端；已感染病毒的終端，會對網(wǎng)絡中的其他設施發(fā)起攻擊，屬于“危險”終端。EAD 通過對終端安全狀態(tài)的檢查，使得只有符合企業(yè)安全標準的終端才能正常訪問網(wǎng)絡，同時，配合不同方式的身份驗證技術（、Portal 等） ，可以確保接入終端的合法與安全?！綦x“危險”和“易感”終端。在 EAD 方案中，系統(tǒng)補丁、病毒庫版本不及時更新或已感染病毒的用戶終端，如果不符合管理員設定的企業(yè)安全策略，將被限制訪問權限，只能訪問病毒服務器、補丁服務器等用于系統(tǒng)修復的網(wǎng)絡資源，這些受限的網(wǎng)絡資源被稱之為“隔離區(qū)” ，可以通過 ACL 方式實現(xiàn)——強制修復系統(tǒng)補丁、升級防病毒軟件。EAD 可以強制用戶終端進行系統(tǒng)補丁和病毒庫版本的升級。當不符合安全策略的用戶終端被限制到“隔離區(qū)”以后，EAD 可以自動提醒用戶進行缺失補丁或最新病毒庫的升級，配合防病毒服務器或補丁服務器，幫助用戶完成手工或自動升級操作，達到提升終端主動防御能力的目的。完成修復并達到安全策略的要求以后，用戶終端將被取消隔離，可以正常訪問網(wǎng)絡?！?、統(tǒng)一的安全策略管理和安全事件監(jiān)控是內網(wǎng)控制方案的重要功能。企業(yè)安全策略的統(tǒng)一實施，需要有一個完善的安全策略管理平臺來支撐。iMC 提供了集接入策略、安全策略、服務策略、安全事件監(jiān)控于一體的用戶管理平臺，可以幫助網(wǎng)絡管理員定制基于用戶身份的、個性化的網(wǎng)絡安全策略。同時 iMC 可以通過安全策略服務器與安全客戶端的配合，強制實施終端安全配置（如是否實時檢查郵件、注冊表、是否限制代理、是否限制雙科技有限公司網(wǎng)絡系統(tǒng)解決方案第 23 頁 共 36 頁網(wǎng)卡等） ，監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設置等） 。? 安全客戶端、安全聯(lián)動設備（如交換機、路由器） 、安全策略服務器以及防病毒服務器、補丁服務器的聯(lián)動的基本原理如下圖： 　　　　用戶終端 安全聯(lián)動設備 安全策略服務器 修復服務器身份認證請求發(fā)起身份認證R a d i u s / 身份信息R a d i u s / 身份認證成功 ， 下發(fā)隔離 A C L安全認證請求安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補丁等信息 ）安全狀態(tài)不合格 （ 缺少補丁等 ）根據(jù)安全認證結果 ， 修復系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補丁等信息 ）安全認證成功 ， 下發(fā)監(jiān)控策略R a d i u s / 安全認證成功 ， 下發(fā)工作 A C L安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)圖：聯(lián)動基本原理1．用戶終端試圖接入網(wǎng)絡時，首先通過安全客戶端進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡2．合法用戶將被要求進行安全狀態(tài)認證，由安全策略服務器驗證補丁版本、病毒庫版本是否合格，不合格用戶將被安全聯(lián)動設備隔離到隔離區(qū)進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級，直到安全狀態(tài)合格，安全狀態(tài)合格的用戶將實施由安全策略服務器下發(fā)的安全設置，并由安全聯(lián)動設備提供基于身份的網(wǎng)絡服務科技有限公司網(wǎng)絡系統(tǒng)解決方案第 24 頁 共 36 頁從主要功能和基本原理可以看出，端點準入控制解決方案將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。圖：組成示意圖 EAD 基本組件端點準入控制方案是一個整合方案，其基本部件包括安全客戶端、安全聯(lián)動設備、安全策略服務器，安全管理中心以及防病毒服務器、補丁服務器等第三方服務器。方案中的各部件各司其職，由安全策略中心協(xié)調與整合各功能部件，共同完成對網(wǎng)絡接入終端的安全狀態(tài)評估、隔離與修復，提升網(wǎng)絡的整體防御能力。? iNode 安全客戶端安全客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：提供 、portal 等多種認證方式，可以與交換機、路由器配合實現(xiàn)接入層、匯聚層的端點準入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁等信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞科技有限公司網(wǎng)絡系統(tǒng)解決方案第 25 頁 共 36 頁到安全策略服務器，執(zhí)行端點準入的判斷與控制。安全策略實施，接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設置安全策略（是否監(jiān)控郵件、注冊表） 、系統(tǒng)修復通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。? iMC 安全策略服務器EAD 方案的核心是整合與聯(lián)動，而安全策略服務器是 EAD 方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。安全策略管理。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡服務等級，方便管理員對網(wǎng)絡用戶制定差異化的安全策略。安全聯(lián)動控制。安全策略服務器負責評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設備對用戶的隔離與開放，下發(fā)用戶終端的修復方式與安全策略。通過安全策略服務器的控制，安全客戶端、安全聯(lián)動設備與防病毒服務器才可以協(xié)同工作，配合完成端到端的安全準入控制。日志審計。安全策略服務器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡的整個網(wǎng)絡的安全狀態(tài) 提供依據(jù)。? 安全聯(lián)動設備安全聯(lián)動設備是企業(yè)網(wǎng)絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡服務的作用。根據(jù)應用場合的不同，安全聯(lián)動設備可以是交換機、路由器或防火墻安全網(wǎng)關，分別實現(xiàn)不同認證方式（如 、Portal 等）的端點準入控制。不論是哪種接入設備或采用哪種認證方式，安全聯(lián)動設備均具有以下功能：科技有限公司網(wǎng)絡系統(tǒng)解決方案第 26 頁 共 36 頁? 強制網(wǎng)絡接入終端進行身份認證和安全狀態(tài)評估。? 隔離不符合安全策略的用戶終端。聯(lián)動設備接收到安全策略服務器下發(fā)的隔離指令后，可以通過 ACL 方式限制用戶的訪問權限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。? 提供基于身份的網(wǎng)絡服務。安全聯(lián)動設備可以根據(jù)安全策略服務器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡服務，如提供不同的 ACL、VLAN 等。? 第三方系統(tǒng)（桌面防病毒系統(tǒng)，防病毒服務器）在 EAD 方案中，第三方系統(tǒng)是指桌面防病毒系統(tǒng)及處于隔離區(qū)中，用于終端進行自我修復的防病毒服務器或補丁服務器。網(wǎng)絡版的防病毒服務器提供病毒庫升級服務，允許防病毒客戶端進行在線升級；補丁服務器則提供系統(tǒng)補丁升級服務，當用戶終端的系統(tǒng)補丁不能滿足安全要求時，可以通過補丁服務器進行補丁下載和升級。? 安全管理中心SecCenter 采集網(wǎng)絡設備、安全設備和服務器的安全日志，結合 H3C EAD 客戶端上報的用戶上網(wǎng)過程、安全狀態(tài)、病毒查殺事件，進行統(tǒng)一分析，實時輸出審計報告。當發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進行分析和追根朔源。同時，安全管理員可以按照法律法規(guī)（如 SOX 法案）和標準中的規(guī)定，定制相應的審計報告。作為一種成熟的安全防御體系，內網(wǎng)控制從端點準入控制入手，整合防病毒軟件等單點安全產品，可以大幅度提高網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。? 病毒、蠕蟲的主動防御，大幅提高安全性安全管理平臺通過 H3C EAD（端點準入防御）終端軟件對接入用戶進行認證時，同時檢查終端補丁、病毒庫升級狀態(tài)，確保只有身份合法并且符合企業(yè)的防病毒標準和系統(tǒng)補丁安裝策略的用戶接入，從而保證每一個接入端點的安全，預防內網(wǎng)病毒、蠕蟲的泛濫。不符合安全策略的用戶終端將被隔離到“隔離區(qū)” ，只能訪問網(wǎng)絡管理員指定的資源，在提醒下完成修復和升級?？萍加邢薰揪W(wǎng)絡系統(tǒng)解決方案第 27 頁 共 36 頁? 基于深度檢測的安全聯(lián)動，全面隔離“危險”終端安全防御設備包含防火墻、SecBlade 和 IPS。融合了包過濾、狀態(tài)檢測、入侵防御和防病毒等多種技術，可以發(fā)現(xiàn)和阻斷蠕蟲、病毒以及惡意入侵行為，同時將安全事件上報安全管理平臺。SecCenter 進行智能分析后聯(lián)動 iMC，對造成威脅的內網(wǎng)用戶采取在線提醒、強制下線、關閉交換機端口、加入黑名單等控制手段，從源頭上制止威脅的發(fā)生。? 專業(yè)的桌面行為審計SecCenter 采集網(wǎng)絡設備、安全設備和服務器的安全日志，結合 H3C EAD 客戶端上報的用戶上網(wǎng)過程、安全狀態(tài)、病毒查殺事件，進行統(tǒng)一分析，實時輸出審計報告。當發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進行分析和追根朔源。同時，安全管理員可以按照法律法規(guī)（如 SOX 法案）和標準中的規(guī)定，定制相應的審計報告。? 靈活、方便的部署與維護方案部署靈活，維護方便，可以按照網(wǎng)絡管理員的要求區(qū)別對待不同身份的用戶，定制不同的安全檢查和隔離級別。其中 EAD 可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進行修復提醒） 、提醒模式（只做修復提醒，不進行網(wǎng)絡隔離）和隔離模式，以適應用戶對安全準入控制的不同要求。? 專業(yè)第三方廠商的合作內網(wǎng)控制是一個整合方案，目前支持方案的廠商包括市場上主流的防病毒軟件廠商及桌面終端管理廠商，包括但不限于Microsoft，Bigfix，LANDdesk，瑞星，金山，江民，北信源，趨勢，Synmantec 等等。通過 EAD 的聯(lián)動，各軟件系統(tǒng)的價值得到提升，從單點防御轉化為整體防御。? 具有策略實施功能，方便企業(yè)實施組織級安全策略方案除了能夠檢測用戶終端的安全防御狀態(tài)外，還可以幫助管理員設置終端的安全策略，以達到企業(yè)級安全策略統(tǒng)一實施的目的?？萍加邢薰揪W(wǎng)絡系統(tǒng)解決方案第 28 頁 共 36 頁 絡絡 綜綜 合合 管管 理理 平平 臺臺 設設 計計. 應用場景隨著網(wǎng)絡建設的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網(wǎng)絡、高效的網(wǎng)絡和可運營的網(wǎng)絡成為越來越多的用戶關注的焦點，網(wǎng)絡精細化管理也越來越深入人心，一套好的管理軟件無疑對網(wǎng)絡的精細化管理起到至關重要的作用。精細化管理的第一步是網(wǎng)絡的基礎管理，基于多年的積累和對用戶網(wǎng)絡的深入理解，H3C IMC 開放智能管理中樞解決方案為用戶提供了實用、易用的網(wǎng)絡管理功能，在網(wǎng)絡資源的集中管理基礎上，實現(xiàn)設備管理、拓撲管理、告警管理、性能管理、軟件升級管理、配置文件管理、ACL 資源管理、MPLS VPN 監(jiān)視與部署等多種管理功能。IMC 解決方案不僅能夠管理 H3C 公司的全線數(shù)據(jù)通信設備，還能夠通過標準 MIB 管理 3Com、華為、Cisco 等各主流廠商的設備，而且還是 H3C 公司其他管理解決方案的基石所在。. 平臺介紹H3C IMC 解決方案以對網(wǎng)絡資源的基本管理為核心，不僅提供功能，更通過流程向導的方式告訴用戶如何使用功能滿足業(yè)務需求，為用戶提供了網(wǎng)絡精細化管理最佳的工具軟件。H3C 解決方案采用全新的 SOA（Service Oriented Architecture，面向服務的架構）為設計思想，基于 B/S 架構，對外提供多種開放接口，既能與用戶原有業(yè)務系統(tǒng)有機融合，又能方便吸納第三方服務，形成“面向業(yè)務” 、 “融合聯(lián)動” 、 “開放架構”的管理流程?？萍加邢薰揪W(wǎng)絡系統(tǒng)解決方案第 29 頁 共 36 頁圖 IMC 解決方案概述. NFM 基礎網(wǎng)絡管理組件介紹IMC 解決方案不僅涵蓋拓撲、告警、性能和配置等管理功能，使網(wǎng)絡狀況一目了然，而且結合 H3C 公司的系列交換機和路由器設備，提供智能化的 ACL 管理工具，可實現(xiàn)客戶所需的各種嚴格的訪問控制策略，從而構成對網(wǎng)絡訪問的權限控制。在傳統(tǒng)網(wǎng)絡管理的基礎上，與 BGP/MPLS VPN 網(wǎng)絡信息聯(lián)動，形成端到端的管理解決方案，切實有效的減輕管理員的工作量。? 全面的基礎資源管理除了傳統(tǒng)的路由器、交換機外，更能對網(wǎng)絡中的