資源描述:
《EAD端點準入防御解決方案.doc》由會員上傳分享����,免費在線閱讀,更多相關內容在應用文檔-天天文庫���。
1�����、EAD端點準入防御解決方案 杭州華三通信技術有限公司.h3c..EAD端點準入防御解決方案目前����,在企業(yè)網絡中�����,用戶的終端計算機不及時升級系統(tǒng)補丁和病毒庫、私設代理服務器����、私自訪問外部網絡、濫用企業(yè)禁用軟件的行為比比皆是�,脆弱的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門�,使安全威脅在更大范圍內快速擴散,進而導致網絡使用行為的“失控”�����?���! ”WC用戶終端的安全、阻止威脅入侵網絡���,對用戶的網絡訪問行為進行有效的控制�,是保證企業(yè)網絡安全運行的前提�,也是目前企業(yè)急需解決的問題?����! 【W絡安全從本質上講是管理問題?��! ?/p>
2、H3C端點準入防御(EAD����,EndpointAdmissionDefense)解決方案從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品�,通過安全客戶端、安全策略服務器��、網絡設備以及第三方軟件的聯(lián)動��,對接入網絡的用戶終端強制實施企業(yè)安全策略�,嚴格控制終端用戶的網絡使用行為,有效地加強了用戶終端的主動防御能力����,為企業(yè)網絡管理人員提供了有效、易用的管理工具和手段�。 1.方案概述對于要接入安全網絡的用戶��,EAD解決方案首先要對其進行身份認證,通過身份認證的用戶進行終端的安全認證�����,根據網絡管理員定制的安全
3��、策略進行包括病毒庫更新情況����、系統(tǒng)補丁安裝情況、軟件的黑白名單等內容的安全檢查�����,根據檢查的結果�����,EAD對用戶網絡準入進行授權和控制����。 通過安全認證后�,用戶可以正常使用網絡,與此同時,EAD可以對用戶終端運行情況和網絡使用情況進行審計和監(jiān)控��?����! AD解決方案對用戶網絡準入的整體認證過程如下圖所示你身邊的好網絡1杭州華三通信技術有限公司.h3c..2.組網模型如下圖所示�����,EAD組網模型圖中包括安全客戶端�����、安全聯(lián)動設備��、CAMS安全策略服務器和第三方服務器��?���! “踩蛻舳耸侵赴惭b了H3CiNode智能客戶端的用戶接入終端
4�����、,負責身份認證的發(fā)你身邊的好網絡2杭州華三通信技術有限公司.h3c..起和安全策略的檢查�����?�! “踩?lián)動設備是指用戶網絡中的交換機�����、路由器���、VPN網關等設備�����?����! AD提供了靈活多樣的組網方案���,安全聯(lián)動設備可以根據需要靈活部署在各層比如網絡接入層和匯聚層?��! AMS安全策略服務器它要求和安全聯(lián)動設備路由可達����。 負責給客戶端下發(fā)安全策略����、接收客戶端安全策略檢查結果并進行審核,向安全聯(lián)動設備發(fā)送網絡訪問的授權指令�����?����! 〉谌椒掌魇侵秆a丁服務器��、病毒服務器和安全代理服務器等���,被部署在隔離區(qū)中?����! ‘斢脩敉ㄟ^身份認證但安
5、全認證失敗時�,將被隔離到隔離區(qū),此時用戶能且僅能訪問隔離區(qū)中的服務器�����,通過第三方服務器進行自身安全修復��,直到滿足安全策略要求��?! ?.功能特點?嚴格的身份認證除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址�����、IP地址���、所在VLAN�、接入設備IP��、接入設備端口號等信息進行綁定�����,支持智能卡、數字證書認證�����,增強身份認證的安全性���?����! ?完備的安全狀態(tài)評估根據管理員配置的安全策略����,用戶可以進行的安全認證檢查包括終端病毒庫版本檢查����、終端補丁檢查�、終端安裝的應用軟件檢查、是否有代理�����、撥號配置等�����;為了更好的滿足
6、客戶的需求���,EAD客戶端支持和微軟SMS�����、LANDesk��、BigFix等業(yè)界桌面安全產品的配合使用�,支持和瑞星�、江民、金山����、Symantec、MacAfee����、TrendMicro、Ahn等國內外主流病毒廠商聯(lián)動�����。 例如EAD可充分利用微軟成熟的桌面管理工具��,由SMS實現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求資產管理�����、補丁管理�����、軟件分發(fā)和安裝等��?����! ?基于角色的網絡授權在用戶終端通過病毒�、補丁等安全信息檢查后,EAD可基于終端用戶的角色���,向安全聯(lián)動設備下發(fā)事先配置的接入控制策略���,按照用戶角色權限規(guī)范用戶的網絡使用
7��、行為?! 〗K端用戶的所屬VLAN、ACL訪問策略�����、是否禁止使用代理����、是否禁止使用雙網卡等安全措施均可由管理員統(tǒng)一配置實施?����! ?擴展開放的解決方案EAD解決方案為客戶提供了一個擴展���、開放的結構框架��,最大限度的保護了用戶已有的投資����?��! AD廣泛���、深入的和國內外防病毒���、操作系統(tǒng)、桌面安全等廠商展開合作���,融合各家你身邊的好網絡3杭州華三通信技術有限公司.h3c..所長���;EAD與第三方認證服務器、安全聯(lián)動設備等之間的交互基于標準��、開放的協(xié)議架構和規(guī)范�,易于互聯(lián)互通?����! ?靈活方便的部署方式EAD方案部署靈活����,維護方便?��! ?/p>
8����、EAD按照網絡管理員配置的安全策略區(qū)別對待不同身份的用戶����,定制不同的安全檢查和處理模式,包括監(jiān)控模式����、提醒模式、隔離模式和下線模式����;此外,EAD還支持靈活的舊網改造方案和客戶端靜默安裝等特性�����?�! ?.典型組網應用?局域網安全準入防護在企業(yè)網內部�����,接入終端一般是通過交換機接入企業(yè)網絡,EAD通過與交換機的聯(lián)動�,強制檢查用戶終端的病毒庫和系統(tǒng)補丁信
