EAD端点准入防御解决方案
目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。H3C端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
1.方案概述
对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:
2.组网模型
如下图所示,EAD组网模型图中包括安全客户端、安全联动设备、CAMS安全策略服务器和第三方服务器。
安全客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
安全联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。
CAMS安全策略服务器:它要求和安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。
第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
3.功能特点
?严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
?完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;为了更好的满足客户的需求,EAD客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用,支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、Ahn等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具,由SMS实现各种Windows环境下用户的桌面管理需求:资产管理、补丁管理、软件分发和安装等。
?基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
?扩展开放的解决方案
EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
?灵活方便的部署方式
EAD方案部署灵活,维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式;此外,EAD还支持灵活的旧网改造方案和客户端静默安装等特性。
4.典型组网应用
?局域网安全准入防护
在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。
广域网安全准入防护
大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在分支机构出口路由器、企业入口路由器或网关中实施EAD准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。
VPN安全准入防护
一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
5. EAD组件配置信息
组件配置列表
组件名称 |
描述 |
H3C CAMS- 平台 (for Windows) |
必配,支持 Windows 操作系统,已包含 1000 用户,平台中同时已包括 LDAP 组件。 |
H3C CAMS- 平台 (for Windows) 每增加 1000 用户应用软件费用 |
选配,可增加管理 1000 用户。 |
H3C CAMS-LAN 接入业务组件 (for Windows) |
必配,支持 Windows 操作系统(组件基本包中已经含了 1000 用户的 License )。 |
H3C CAMS-LAN 接入业务组件 (for Windows) 每增加 1000 用户应用软件费用 |
选配,可增加管理 1000 用户。 |
H3C CAMS-Portal 业务组件 (for Windows) |
选配,支持 Windows 操作系统,有 Portal 认证业务时配置(组件基本包中已经含了 1000 用户的 License ,按照实际进行 Portal 认证的用户数购买 license )。 |
H3C CAMS-Portal 业务组件 (for Windows)- 每增加 1000 用户应用软件费用 |
选配,可增加管理 1000 用户。 |
H3C CAMS-EAD 安全策略组件 (for Windows) |
必配,支持 Windows 操作系统,已包含 1000 用户。 |
H3C CAMS-EAD 安全策略组件 (for Windows) 每增加 1000 用户应用软件费用 |
选配,可增加管理 1000 用户。 |
H3C iNode-iNode EAD 客户端组件 (for Windows) |
必配,光盘自带一个客户端。 |
H3C iNode-iNode EAD 客户端组件 (for Windows) 每增加 200 用户应用软件费用 |
必配,可增加管理 200 用户。 |
扩容升级改造方法和配置说明
CAMS在扩容方面包括几个方面:
管理用户规模增大。
如果CAMS管理用户规模增加,则需要根据增加的用户数量购买license。同时需要根据增加后的用户数量考虑是否需要更换CAMS服务器配置。需要重新申请license。
组件变化。
如果增加CAMS组件,例如,如原来没有Portal认证需求,后续增加需要增加此功能,则无论用户数是否变化,都需要重新申请license