資源描述:
《H3C EAD端點準入防御組件解決方案.doc》由會員上傳分享����,免費在線閱讀,更多相關內(nèi)容在應用文檔-天天文庫��。
1��、H3C智能管理中心EAD安全策略組件解決方案H3C智能管理中心EAD安全策略組件解決方案1產(chǎn)品簡介目前��,在企業(yè)網(wǎng)絡中��,用戶的終端計算機不及時升級系統(tǒng)補丁和病毒庫、私設代理服務器�����、私自訪問外部網(wǎng)絡��、濫用企業(yè)禁用軟件的行為比比皆是��,脆弱的用戶終端一旦接入網(wǎng)絡�,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內(nèi)快速擴散�����,進而導致網(wǎng)絡使用行為的“失控”����。保證用戶終端的安全��、阻止威脅入侵網(wǎng)絡�,對用戶的網(wǎng)絡訪問行為進行有效的控制,是保證企業(yè)網(wǎng)絡安全運行的前提���,也是目前企業(yè)急需解決的問題����。同時,目前市場上常見的用戶管理
2���、及接入控制軟件往往缺乏與網(wǎng)絡資源管理、業(yè)務管理的融合�,導致管理手段單一、管理力度不足���、管理操作復雜�。企業(yè)迫切需要一種管理方案�,使得用戶、網(wǎng)絡�、業(yè)務統(tǒng)一管理、互相協(xié)同��、提升管理效率���、滿足多種接入場景所需��。H3C端點準入防御(EAD�����,EndpointAdmissionDefense)解決方案從控制用戶終端安全接入網(wǎng)絡的角度入手���,整合網(wǎng)絡接入控制與終端安全產(chǎn)品��,通過iNode智能客戶端�����、EAD安全策略服務器���、iMC平臺、網(wǎng)絡設備以及第三方軟件的配合和聯(lián)動��,對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略��,嚴格控制終端用戶的網(wǎng)
3�����、絡使用行為�;同時,在管理上�,又能做到用戶管理與網(wǎng)絡設備管理、網(wǎng)絡拓撲管理的融合�����,并支持與iMCACLManager組件的聯(lián)動,使得H3C端點準入防御解決方案在有效地加強用戶終端的主動防御能力的基礎上���,為企業(yè)網(wǎng)絡管理人員更提供了有效����、易用����、強大的管理工具和手段���。1.1方案概述對于要接入網(wǎng)絡的用戶����,EAD解決方案首先要對其進行身份認證�,通過身份認證的用戶進行終端的安全認證,根據(jù)網(wǎng)絡管理員定制的安全策略進行包括病毒庫更新情況��、系統(tǒng)補丁安裝情況�����、軟件的黑白名單等內(nèi)容的安全檢查,根據(jù)檢查的結(jié)果�,EAD對用戶網(wǎng)絡準入進行授
4、權(quán)和控制����。通過安全認證后,用戶可以正常使用網(wǎng)絡��,與此同時�,EAD可以對用戶終端運行情況和網(wǎng)絡使用情況進行審計和監(jiān)控。EAD解決方案對用戶網(wǎng)絡準入的整體認證過程如下圖所示:Copyright?2007杭州華三通信技術(shù)有限公司第6頁,共6頁H3C智能管理中心EAD安全策略組件解決方案1.1組網(wǎng)模型如下圖所示���,EAD組網(wǎng)模型圖中包括iNode智能客戶端��、安全聯(lián)動設備����、iMC安全策略服務器和第三方服務器����。Copyright?2007杭州華三通信技術(shù)有限公司第6頁,共6頁H3C智能管理中心EAD安全策略組件解決方案iNo
5、de智能客戶端:是指安裝了H3CiNode智能客戶端的用戶接入終端�����,負責身份認證的發(fā)起和安全策略的檢查。安全聯(lián)動設備:是指用戶網(wǎng)絡中的交換機��、路由器��、VPN網(wǎng)關等設備��。EAD提供了靈活多樣的組網(wǎng)方案��,安全聯(lián)動設備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡接入層和匯聚層��。iMC(EAD)安全策略組件:它要求與安全聯(lián)動設備路由可達����。負責給客戶端下發(fā)安全策略�����、接收客戶端安全策略檢查結(jié)果并進行審核�����,向安全聯(lián)動設備發(fā)送網(wǎng)絡訪問的授權(quán)指令���。第三方服務器:是指補丁服務器�、病毒服務器和安全代理服務器等,被部署在隔離區(qū)中���。當用戶通過身份
6�、認證但安全認證失敗時���,將被隔離到隔離區(qū)���,此時用戶能且僅能訪問隔離區(qū)中的服務器,通過第三方服務器進行自身安全修復���,直到滿足安全策略要求���。1產(chǎn)品特點?嚴格的身份認證除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址�����、IP地址��、所在VLAN��、接入設備IP、接入設備端口號等信息進行綁定����,支持智能卡、數(shù)字證書認證���,增強身份認證的安全性����。?完備的安全狀態(tài)評估根據(jù)管理員配置的安全策略���,用戶可以進行的安全認證檢查包括終端病毒庫版本檢查���、終端補丁檢查、終端安裝的應用軟件檢查��、是否有代理����、撥號配置等���;為了更好的
7����、滿足客戶的需求,EAD客戶端支持和微軟SMS���、LANDesk��、BigFix等業(yè)界桌面安全產(chǎn)品的配合使用���,支持和瑞星、江民���、金山、Symantec��、MacAfee�����、TrendMicro�����、Ahn等國內(nèi)外主流病毒廠商聯(lián)動。例如EAD可充分利用微軟成熟的桌面管理工具���,由SMS實現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求:資產(chǎn)管理����、補丁管理��、軟件分發(fā)和安裝等�����。?用戶管理與網(wǎng)絡設備管理的融合?接入設備列表中可以直接看到用戶相關信息,操作簡單方便����,Copyright?2007杭州華三通信技術(shù)有限公司第6頁,共6頁H3C智能
8����、管理中心EAD安全策略組件解決方案提高了操作員日常維護的效率。?可針對選定的接入設備進行用戶操作���,比如�����,針對某個接入設備����,將其所掛的用戶全部下線處理等���。?可在在線用戶列表中通過點擊接入設備��,直接查看當前在線用戶所對應的接入設備的詳細信息��,比如對應的基本信息、告警�、性能狀況等����。操作更友好,全面提升操作員的操作體驗���。?用戶管理與網(wǎng)絡拓撲管理的融合在拓撲上可以直觀的操作接入設備�����、接入終端相關
