【導(dǎo)讀】端點準(zhǔn)入防御方案技術(shù)建議書。杭州華三通信技術(shù)有限公司。2020-7-3內(nèi)部資料，請勿擴散第2頁,共2頁

　　

【正文】 ，對于重要的網(wǎng)絡(luò)用戶，比如公司老板，管理員對其網(wǎng)絡(luò)訪問的管理也可應(yīng)用監(jiān)控模式。 提醒 模式和監(jiān)控模式下，安全聯(lián)動設(shè)備可以不需要支持動態(tài) ACL下發(fā)控制功能。 下線 模式 下線模式實現(xiàn)流程與隔離模式相同，唯一的區(qū)別是對不安全的用戶采取直接下線的處理方式。主要與 Portal認證相配合 ，實現(xiàn)網(wǎng)絡(luò)出口或是關(guān)鍵數(shù)據(jù)區(qū)域的認證保護。也可以作為兼容第三方廠商設(shè)備的部署模式，配合接入交換機 Guest VLAN功能實現(xiàn)對不安全用戶的隔離功能。 下線模式也是目前友商 相似方案的主要實現(xiàn)模式， EAD支持下線模式可以增強方案對設(shè)備的兼容性。 與 Cisco設(shè)備配合部署 EAD解決方案，推薦使用下線模式。 5 系統(tǒng)參數(shù)及環(huán)境要求 EAD 系統(tǒng)技術(shù)參數(shù) ? 網(wǎng)絡(luò)帶寬占用：用戶終端安全狀態(tài)信息 1K； ? 并發(fā)連接數(shù)： CAMS應(yīng)用服務(wù)器可支持 5000個并發(fā)連接； ? 雙機備份：支持 24小時主備數(shù)據(jù)自動同步方案； 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 19 頁 , 共 20 頁 EAD 系統(tǒng)環(huán)境要求 ? CAMS 安全策略服務(wù)器 軟件環(huán)境：操作系統(tǒng)和數(shù)據(jù)庫分別為 Windows 20xx Advanced Server中文版＋SP SQL Server 20xx＋ SP4 ? 硬件環(huán)境： 5000 用戶，推薦使用雙路 Xeon 的 PC 服務(wù)器以上、 1G 以上內(nèi)存。 ? iNode 客戶端： 軟件環(huán)境： Windows 20xx/XP/20xx； 硬件環(huán)境： CPU主頻 、 128M以上內(nèi)存。 ? NAS 設(shè)備： H3C S3600、 S5600、 S7500系列交換機、 AR2 AR4 MSR路由器 。 6 附： EAD 解決方案應(yīng)用模型及功能特點 應(yīng)用模型 安全準(zhǔn)入應(yīng)用模型 EAD解決方案安全準(zhǔn)入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網(wǎng)絡(luò)隔離，并幫 助終端進行安全修復(fù)，以達到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。 圖表 1 EAD解決方案安全準(zhǔn)入應(yīng)用模型圖 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 20 頁 , 共 20 頁 安全準(zhǔn)入工作流程 ? 身份驗證： 用戶終端接入網(wǎng)絡(luò)時，首先進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前 EAD解決方案支持 Portal認證。 ? 安全檢查： 身份認證通過后進行終端安全檢查，由 EAD安全策略服務(wù)器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。 ? 安全隔離： 不合格的終端將被安全聯(lián)動設(shè)備通過 ACL策略 限制在隔離區(qū)進行安全修復(fù)。 ? 安全修復(fù)： 進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。 ? 動態(tài)授權(quán)： 如果用戶身份驗證、安全檢查都通過，則 EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限等）下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實現(xiàn)按用戶身份的權(quán)限控制。 ? 實時監(jiān)控： 在用戶網(wǎng)絡(luò)使用過程 中 ，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向 EAD安全策略服務(wù)器上報安全事件，由 EAD安全 策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動設(shè)備隔離用戶。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 21 頁 , 共 20 頁 用 戶 終 端 安 全 聯(lián) 動 設(shè) 備 安 全 策 略 服 務(wù) 器 修 復(fù) 服 務(wù) 器身 份 認 證 請 求發(fā) 起 身 份 認 證R a d i u s / 身 份 信 息R a d i u s / 身 份 認 證 成 功 ， 下 發(fā) 隔 離 A C L安 全 認 證 請 求安 全 狀 態(tài) 信 息 （ 防 病 毒 版 本 、 系 統(tǒng) 補 丁 等 信 息 ）安 全 狀 態(tài) 不 合 格 （ 缺 少 補 丁 等 ）根 據(jù) 安 全 認 證 結(jié) 果 ， 修 復(fù) 系 統(tǒng) 漏 洞安 全 狀 態(tài) 檢 查安 全 狀 態(tài) 檢 查安 全 狀 態(tài) 信 息 （ 防 病 毒 版 本 、 系 統(tǒng) 補 丁 等 信 息 ）安 全 認 證 成 功 ， 下 發(fā) 監(jiān) 控 策 略R a d i u s / 安 全 認 證 成 功 ， 下 發(fā) 工 作 A C L安 全 狀 態(tài) 監(jiān) 控安 全 狀 態(tài) 信 息檢 查 終 端 安 全 狀 態(tài)圖表 2 EAD安全準(zhǔn)入流程圖 功能特點 EAD解決方案已實現(xiàn)以下功能規(guī)格，在具體應(yīng)用部署時，可根據(jù)用戶網(wǎng)絡(luò)的實際使用需求，確定 EAD的應(yīng)用模式和部署方案。 安全狀態(tài)評估 ? 終端補丁檢測： 評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows 20xx/XP/20xx等，不包括 Windows 98)等符合微軟 補丁規(guī)范的熱補丁 。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 22 頁 , 共 20 頁 ? 安全客戶端版本檢測： 可以檢測安全客戶端 iNode Client的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò) ， 同時支持客戶端自動升級。 ? 安全狀態(tài)定時評估： 安全客戶端可以定時檢測用戶安全狀態(tài) ， 防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致 。 ? 自動補丁管理： 提供與微軟 WSUS/SMS（全稱： Windows Server Update Services/System Management Server）協(xié)同的自動補丁管理，當(dāng)用戶補丁不合格時，自動安裝補丁 。 ? 終端運行狀態(tài)實時 檢測： 可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動服務(wù)列表等。 ? 防病毒聯(lián)動： 主要包含兩個方面，一是端點用戶接入網(wǎng)絡(luò)時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點用戶接入網(wǎng)絡(luò)后， EAD定期檢查防病毒軟件的運行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。 聯(lián)動方式目前包括強聯(lián)動和 弱聯(lián)動，強聯(lián)動需要防病毒軟件廠商提供聯(lián)動插件， iNode客戶端通過該聯(lián)動插件完成對防病毒軟件的運行狀態(tài)檢查以及行為控制。弱聯(lián)動不需要防病毒廠商提供聯(lián)動插件， iNode客戶端通過其他方式實現(xiàn)對防病毒軟件的運行狀態(tài)檢查以及行為控制。當(dāng)前支持的強 AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱 AV聯(lián)動支持的防病毒軟件有：諾頓、趨勢、McAfee 、 安博士 、 CA安全甲胄及 VRV。 用戶權(quán)限管理 ? 強身份認證： 在用戶身份認證時，可綁定用戶接入 IP、 MAC、接入設(shè)備 IP、端口和 VLAN等信息，進行強身份認證，防 止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。 ? “危險 ”用戶隔離： 對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權(quán)限（通過ACL隔離），使其只能訪問 防 病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 ? “危險 ”用戶在線隔離： 用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 23 頁 , 共 20 頁 時 （ 如感染不能殺除的病毒 ） ， EAD可以在線隔離并通知用戶。 ? 軟件安裝和運行檢測： 檢測終端軟件的安裝和運行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。 ? 支 持匿名認證： iNode客戶端 與 CAMS服務(wù)器配合 提供 用戶 匿名認證 功能 ，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。 ? 接入時間、區(qū)域控制： 可以限制用戶只能在允許的時間和地點（接入設(shè)備和端口）上網(wǎng) 。 ? 限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)： 防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁 ， 避免因此可能造成的信息安全問題 。 ? 代理限制： 可以限制用戶使用和設(shè)置代理服務(wù)器 。 用戶行為監(jiān)控 ? 終端強制或提醒修復(fù)： 強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中 心做自動升級）。 ? 安全狀態(tài)監(jiān)控： 定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。 ? 安全日志審計： 定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。 ? 強制用戶下線： 管理員可以強制行為 “可疑 ”的用戶下線 。