資源描述:
《sygate網(wǎng)絡(luò)準(zhǔn)入控制方案》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1��、SYGATE網(wǎng)絡(luò)準(zhǔn)入控制方案1.SYGATE網(wǎng)絡(luò)準(zhǔn)入控制概況11.1SYGATE相關(guān)背景資料11.2導(dǎo)言12.SYGATE網(wǎng)絡(luò)準(zhǔn)入控制方案22.1邊界準(zhǔn)入控制32丄1遠(yuǎn)程接入權(quán)限.32.1.2互聯(lián)網(wǎng)訪問(wèn)權(quán)限.42.1.3域名解析權(quán)限.42」.4支持的VPN列表42.2接入層準(zhǔn)入控制52.2.7LemEnforcer與802」x交換機(jī)配合工作的說(shuō)明.52.2.2LANEnforcer結(jié)合域來(lái)做準(zhǔn)入控制.62.2.3支持的交換機(jī)廠商列表.62.3WEB應(yīng)用準(zhǔn)入控制72.4本地準(zhǔn)入控制73.結(jié)論—SYGATE持續(xù)不間斷網(wǎng)絡(luò)91.Sygate網(wǎng)絡(luò)準(zhǔn)入控制概況l.lSygate相關(guān)背景資料SYG
2�、ATE是“可信賴計(jì)算組織”(TRUSTEDCOMPUTINGGROUP,TCG)的核心成員,致力于發(fā)展��、定義和促進(jìn)開(kāi)放標(biāo)準(zhǔn)的計(jì)算機(jī)安全技術(shù)��,以保護(hù)網(wǎng)絡(luò)���、節(jié)點(diǎn)�、應(yīng)用和信息的安全�。TCG在基礎(chǔ)設(shè)施工作組下面專(zhuān)門(mén)成立了一個(gè)可信任網(wǎng)絡(luò)連接子組,該子組負(fù)責(zé)開(kāi)發(fā)可信賴網(wǎng)絡(luò)連接(TrustedNetworkConnect)的新標(biāo)準(zhǔn)�����。這項(xiàng)新標(biāo)準(zhǔn)將保護(hù)網(wǎng)絡(luò)免受病毒�、蠕蟲(chóng)、拒絕服務(wù)等攻擊�,允許用戶加強(qiáng)安全策略,阻止易受攻擊的系統(tǒng)連接���。1?2導(dǎo)言企業(yè)的網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)以及辦公系統(tǒng)連接的越來(lái)越緊密����,但是網(wǎng)絡(luò)的安全狀況卻越來(lái)越令人堪憂。今天幾乎所有病毒基于網(wǎng)絡(luò)來(lái)主動(dòng)傳播�,系統(tǒng)漏洞成為傳播的最有力方式,它們與網(wǎng)絡(luò)入
3����、侵、黑客技術(shù)進(jìn)一步融合���,少數(shù)病毒直接以癱瘓和擁堵網(wǎng)絡(luò)為目的��,更有甚者目標(biāo)直指企業(yè)的核心敏感信息���。傳統(tǒng)的病毒解決方案只能治標(biāo)不能治本、特征庫(kù)更新滯后����、與快速型病毒對(duì)抗時(shí)速度處于下風(fēng)……��,等等弊端不一而足���。面對(duì)新的形勢(shì)���,傳統(tǒng)的病毒方案已是力不從心�����,頹勢(shì)盡顯�����。從另一個(gè)角度來(lái)看����,服務(wù)器和桌面系統(tǒng)不遵循企業(yè)安全策略的并不在少數(shù)�����,去定位����,隔離和修復(fù)這些系統(tǒng)意味著需要消耗大量的人力資源和時(shí)間。更無(wú)奈的是���,即使下大力氣梳理����,沒(méi)有好的技術(shù)手段來(lái)保障,過(guò)一段時(shí)間以后這些問(wèn)題又會(huì)重新浮現(xiàn)��。SYGATE的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)正是在這樣的時(shí)局下應(yīng)運(yùn)而生�����,以主動(dòng)防護(hù)技術(shù)為基石,為網(wǎng)絡(luò)和終端建立了一套多維����,多層次的立體
4、防護(hù)體系�����。2.SYGATE網(wǎng)絡(luò)準(zhǔn)入控制方案網(wǎng)絡(luò)準(zhǔn)入控制最大的挑戰(zhàn)在于網(wǎng)絡(luò)環(huán)境的復(fù)雜性���,主要?dú)w結(jié)為以下幾方面:?終端用戶的多樣性一雇員�����、客戶����、供應(yīng)商和合作伙伴?終端設(shè)備的多樣性一公司自有設(shè)備���,家中的pc,第三方人員筆記本?終端接入方式的多樣性一有線���、無(wú)線、虛擬私有網(wǎng)(VPN)和撥號(hào)所以SYGATE運(yùn)用了四種準(zhǔn)入控制技術(shù)來(lái)應(yīng)對(duì)����。每種技術(shù)可單獨(dú)工作,也可配合使用��。整個(gè)準(zhǔn)入控制體系見(jiàn)下圖:SYGATE網(wǎng)絡(luò)準(zhǔn)入控制體系第四層控制:本地準(zhǔn)入a第蘭層控制:Web應(yīng)用準(zhǔn)入aOA/ERP第一層控制:邊界的準(zhǔn)入FW/VPN+GWEnforcer第二層控制:接入層準(zhǔn)入802.1xSwitch+LanEnfo
5��、rcer網(wǎng)絡(luò)準(zhǔn)入控制的核心思想在于屏蔽一切不安全的設(shè)備和人員接入網(wǎng)絡(luò)�,或者規(guī)范用戶接入網(wǎng)絡(luò)的行為,從而鏟除網(wǎng)絡(luò)威脅的源頭�����,避免事后處理的高額成本����。網(wǎng)絡(luò)準(zhǔn)入控制策略可以簡(jiǎn)單一分為三,即檢查策略���、接入策略和修復(fù)策略:檢查策略-根據(jù)進(jìn)程���、文件����、注冊(cè)表等設(shè)置的檢查結(jié)果來(lái)判斷:用戶身份是否合法主機(jī)防火墻是否安裝并運(yùn)行防病毒軟件是否安裝并運(yùn)行��,病毒特征庫(kù)是否及時(shí)更新主機(jī)入侵檢測(cè)系統(tǒng)是否運(yùn)行�、及時(shí)更新操作系統(tǒng)關(guān)鍵安全補(bǔ)丁是否安裝操作系統(tǒng)安全配置是否妥當(dāng)是否感染特定病毒實(shí)體接入策略-根據(jù)上述檢查結(jié)果,SYGATE強(qiáng)制服務(wù)器和網(wǎng)絡(luò)設(shè)備以及SYGATE客戶端聯(lián)動(dòng)來(lái)決定:拒絕終端/用戶接入容許終端/用戶接入
6����、隔離終端/用戶(單機(jī)隔離,VLAN隔離)限制終端/用戶訪問(wèn)權(quán)限應(yīng)用程序����,遠(yuǎn)程主機(jī),時(shí)間����,協(xié)議類(lèi)型,端口互聯(lián)網(wǎng)訪問(wèn)權(quán)限遠(yuǎn)程接入權(quán)限域名解析權(quán)限Web應(yīng)用連接權(quán)限(website,webmail,webOA,webCRM,webERPetc)修復(fù)策略-在隔離或限制接入的情況下��,還可以通過(guò)白動(dòng)修復(fù)來(lái)?yè)Q回正常的網(wǎng)絡(luò)訪問(wèn)權(quán)限�����。修復(fù)的內(nèi)容包括:自動(dòng)開(kāi)啟IE,連接內(nèi)部安全網(wǎng)站上相關(guān)的提示頁(yè)面自動(dòng)分發(fā)病毒專(zhuān)殺工具白動(dòng)升級(jí)病毒特征庫(kù)自動(dòng)分發(fā)操作系統(tǒng)關(guān)鍵補(bǔ)丁自動(dòng)糾正錯(cuò)誤的系統(tǒng)配置2.1邊界準(zhǔn)入控制2.1.1遠(yuǎn)程接入權(quán)限邊界準(zhǔn)入通常用來(lái)控制使用VPN和RAS撥號(hào)的遠(yuǎn)程用戶�。實(shí)際上這些遠(yuǎn)程用戶游離于企業(yè)周邊防
7、火墻的保護(hù)之外����,經(jīng)常暴露在賓館,網(wǎng)吧��,咖啡廳等公共網(wǎng)絡(luò)之中�,它們所面臨的安全風(fēng)險(xiǎn)最大。病毒一旦攻陷遠(yuǎn)程用戶主機(jī)�����,就會(huì)以客戶機(jī)為跳板�����,進(jìn)入企業(yè)網(wǎng)絡(luò)�����,從而給企業(yè)生產(chǎn)和辦公帶來(lái)災(zāi)難性的損失�����。邊界準(zhǔn)入控制拓?fù)鋱D如下:VPN網(wǎng)用加密數(shù)據(jù)流SYGATE安全代理SYGATE認(rèn)址強(qiáng)制網(wǎng)關(guān)SYGATE策略管理服務(wù)器移動(dòng)員丄SYGATE強(qiáng)制服務(wù)器(GatewayEnforcer)以內(nèi)連(inline)的方式站在VPN網(wǎng)關(guān)和企業(yè)網(wǎng)絡(luò)Z間,它能夠驗(yàn)證遠(yuǎn)程用戶主機(jī)上是否
