【導(dǎo)讀】端點(diǎn)準(zhǔn)入防御方案技術(shù)建議書(shū)。杭州華三通信技術(shù)有限公司。2020-7-3內(nèi)部資料，請(qǐng)勿擴(kuò)散第2頁(yè),共2頁(yè)

　　

【正文】 ，對(duì)于重要的網(wǎng)絡(luò)用戶，比如公司老板，管理員對(duì)其網(wǎng)絡(luò)訪問(wèn)的管理也可應(yīng)用監(jiān)控模式。 提醒 模式和監(jiān)控模式下，安全聯(lián)動(dòng)設(shè)備可以不需要支持動(dòng)態(tài) ACL下發(fā)控制功能。 下線 模式 下線模式實(shí)現(xiàn)流程與隔離模式相同，唯一的區(qū)別是對(duì)不安全的用戶采取直接下線的處理方式。主要與 Portal認(rèn)證相配合 ，實(shí)現(xiàn)網(wǎng)絡(luò)出口或是關(guān)鍵數(shù)據(jù)區(qū)域的認(rèn)證保護(hù)。也可以作為兼容第三方廠商設(shè)備的部署模式，配合接入交換機(jī) Guest VLAN功能實(shí)現(xiàn)對(duì)不安全用戶的隔離功能。 下線模式也是目前友商 相似方案的主要實(shí)現(xiàn)模式， EAD支持下線模式可以增強(qiáng)方案對(duì)設(shè)備的兼容性。 與 Cisco設(shè)備配合部署 EAD解決方案，推薦使用下線模式。 5 系統(tǒng)參數(shù)及環(huán)境要求 EAD 系統(tǒng)技術(shù)參數(shù) ? 網(wǎng)絡(luò)帶寬占用：用戶終端安全狀態(tài)信息 1K； ? 并發(fā)連接數(shù)： CAMS應(yīng)用服務(wù)器可支持 5000個(gè)并發(fā)連接； ? 雙機(jī)備份：支持 24小時(shí)主備數(shù)據(jù)自動(dòng)同步方案； 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 19 頁(yè) , 共 20 頁(yè) EAD 系統(tǒng)環(huán)境要求 ? CAMS 安全策略服務(wù)器 軟件環(huán)境：操作系統(tǒng)和數(shù)據(jù)庫(kù)分別為 Windows 20xx Advanced Server中文版＋SP SQL Server 20xx＋ SP4 ? 硬件環(huán)境： 5000 用戶，推薦使用雙路 Xeon 的 PC 服務(wù)器以上、 1G 以上內(nèi)存。 ? iNode 客戶端： 軟件環(huán)境： Windows 20xx/XP/20xx； 硬件環(huán)境： CPU主頻 、 128M以上內(nèi)存。 ? NAS 設(shè)備： H3C S3600、 S5600、 S7500系列交換機(jī)、 AR2 AR4 MSR路由器 。 6 附： EAD 解決方案應(yīng)用模型及功能特點(diǎn) 應(yīng)用模型 安全準(zhǔn)入應(yīng)用模型 EAD解決方案安全準(zhǔn)入主要是通過(guò)身份認(rèn)證和安全策略檢查的方式，對(duì)未通過(guò)身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫 助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來(lái)安全威脅的目的。 圖表 1 EAD解決方案安全準(zhǔn)入應(yīng)用模型圖 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 20 頁(yè) , 共 20 頁(yè) 安全準(zhǔn)入工作流程 ? 身份驗(yàn)證： 用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前 EAD解決方案支持 Portal認(rèn)證。 ? 安全檢查： 身份認(rèn)證通過(guò)后進(jìn)行終端安全檢查，由 EAD安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫(kù)版本、軟件安裝等）是否合格。 ? 安全隔離： 不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過(guò) ACL策略 限制在隔離區(qū)進(jìn)行安全修復(fù)。 ? 安全修復(fù)： 進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。 ? 動(dòng)態(tài)授權(quán)： 如果用戶身份驗(yàn)證、安全檢查都通過(guò)，則 EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問(wèn)權(quán)限等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。 ? 實(shí)時(shí)監(jiān)控： 在用戶網(wǎng)絡(luò)使用過(guò)程 中 ，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向 EAD安全策略服務(wù)器上報(bào)安全事件，由 EAD安全 策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 21 頁(yè) , 共 20 頁(yè) 用 戶 終 端 安 全 聯(lián) 動(dòng) 設(shè) 備 安 全 策 略 服 務(wù) 器 修 復(fù) 服 務(wù) 器身 份 認(rèn) 證 請(qǐng) 求發(fā) 起 身 份 認(rèn) 證R a d i u s / 身 份 信 息R a d i u s / 身 份 認(rèn) 證 成 功 ， 下 發(fā) 隔 離 A C L安 全 認(rèn) 證 請(qǐng) 求安 全 狀 態(tài) 信 息 （ 防 病 毒 版 本 、 系 統(tǒng) 補(bǔ) 丁 等 信 息 ）安 全 狀 態(tài) 不 合 格 （ 缺 少 補(bǔ) 丁 等 ）根 據(jù) 安 全 認(rèn) 證 結(jié) 果 ， 修 復(fù) 系 統(tǒng) 漏 洞安 全 狀 態(tài) 檢 查安 全 狀 態(tài) 檢 查安 全 狀 態(tài) 信 息 （ 防 病 毒 版 本 、 系 統(tǒng) 補(bǔ) 丁 等 信 息 ）安 全 認(rèn) 證 成 功 ， 下 發(fā) 監(jiān) 控 策 略R a d i u s / 安 全 認(rèn) 證 成 功 ， 下 發(fā) 工 作 A C L安 全 狀 態(tài) 監(jiān) 控安 全 狀 態(tài) 信 息檢 查 終 端 安 全 狀 態(tài)圖表 2 EAD安全準(zhǔn)入流程圖 功能特點(diǎn) EAD解決方案已實(shí)現(xiàn)以下功能規(guī)格，在具體應(yīng)用部署時(shí)，可根據(jù)用戶網(wǎng)絡(luò)的實(shí)際使用需求，確定 EAD的應(yīng)用模式和部署方案。 安全狀態(tài)評(píng)估 ? 終端補(bǔ)丁檢測(cè)： 評(píng)估客戶端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)(Windows 20xx/XP/20xx等，不包括 Windows 98)等符合微軟 補(bǔ)丁規(guī)范的熱補(bǔ)丁 。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 22 頁(yè) , 共 20 頁(yè) ? 安全客戶端版本檢測(cè)： 可以檢測(cè)安全客戶端 iNode Client的版本，防止使用不具備安全檢測(cè)能力的客戶端接入網(wǎng)絡(luò) ， 同時(shí)支持客戶端自動(dòng)升級(jí)。 ? 安全狀態(tài)定時(shí)評(píng)估： 安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài) ， 防止用戶上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致 。 ? 自動(dòng)補(bǔ)丁管理： 提供與微軟 WSUS/SMS（全稱： Windows Server Update Services/System Management Server）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁 。 ? 終端運(yùn)行狀態(tài)實(shí)時(shí) 檢測(cè)： 可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。 ? 防病毒聯(lián)動(dòng)： 主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后， EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問(wèn)限制在隔離區(qū)。 聯(lián)動(dòng)方式目前包括強(qiáng)聯(lián)動(dòng)和 弱聯(lián)動(dòng)，強(qiáng)聯(lián)動(dòng)需要防病毒軟件廠商提供聯(lián)動(dòng)插件， iNode客戶端通過(guò)該聯(lián)動(dòng)插件完成對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。弱聯(lián)動(dòng)不需要防病毒廠商提供聯(lián)動(dòng)插件， iNode客戶端通過(guò)其他方式實(shí)現(xiàn)對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。當(dāng)前支持的強(qiáng) AV聯(lián)動(dòng)支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱 AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、McAfee 、 安博士 、 CA安全甲胄及 VRV。 用戶權(quán)限管理 ? 強(qiáng)身份認(rèn)證： 在用戶身份認(rèn)證時(shí)，可綁定用戶接入 IP、 MAC、接入設(shè)備 IP、端口和 VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防 止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全。 ? “危險(xiǎn) ”用戶隔離： 對(duì)于安全狀態(tài)評(píng)估不合格的用戶，可以限制其訪問(wèn)權(quán)限（通過(guò)ACL隔離），使其只能訪問(wèn) 防 病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。 ? “危險(xiǎn) ”用戶在線隔離： 用戶上網(wǎng)過(guò)程中安全狀態(tài)發(fā)生變化造成與安全策略不一致杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 23 頁(yè) , 共 20 頁(yè) 時(shí) （ 如感染不能殺除的病毒 ） ， EAD可以在線隔離并通知用戶。 ? 軟件安裝和運(yùn)行檢測(cè)： 檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對(duì)于不符合安全策略的用戶可以記錄日志、提醒或隔離。 ? 支 持匿名認(rèn)證： iNode客戶端 與 CAMS服務(wù)器配合 提供 用戶 匿名認(rèn)證 功能 ，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。 ? 接入時(shí)間、區(qū)域控制： 可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng) 。 ? 限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)： 防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁 ， 避免因此可能造成的信息安全問(wèn)題 。 ? 代理限制： 可以限制用戶使用和設(shè)置代理服務(wù)器 。 用戶行為監(jiān)控 ? 終端強(qiáng)制或提醒修復(fù)： 強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫(kù)升級(jí)，補(bǔ)丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中 心做自動(dòng)升級(jí)）。 ? 安全狀態(tài)監(jiān)控： 定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。 ? 安全日志審計(jì)： 定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。 ? 強(qiáng)制用戶下線： 管理員可以強(qiáng)制行為 “可疑 ”的用戶下線 。