端點準入防御(EAD)方案技術建議書

1、端點準入防御(EAD)方案技術建議書杭州華三通信技術有限公司目 錄1概述42EAD端點準入防御解決方案介紹42.1方案思路52.2方案組成部分52.2.1EAD安全策略服務器62.2.2修復服務器72.2.3安全聯動設備72.2.4安全客戶端73EAD與Microsoft SMS聯動推薦83.1EAD與微軟SMS聯動介紹83.2EAD與SMS聯動技術優(yōu)勢93.3Microsoft SMS功能概述104EAD解決方案組網部署124.1新建網絡部署124.1.1接入層準入控制121.方案組網122.組網設備133.方案說明134.流程說明145.實施效果144.1.2匯聚層準入控制151.方案組網

2、152.組網設備153.方案說明164.流程說明165.實施效果164.2多廠商設備混合組網部署161.方案組網172.組網設備173.方案說明174.流程說明185.實施效果184.3EAD應用模式184.3.1隔離模式184.3.2提醒模式194.3.3監(jiān)控模式194.3.4下線模式195系統(tǒng)參數及環(huán)境要求205.1EAD系統(tǒng)技術參數205.2EAD系統(tǒng)環(huán)境要求206附：EAD解決方案應用模型及功能特點206.1應用模型206.1.1安全準入應用模型206.1.2安全準入工作流程216.2功能特點226.2.1安全狀態(tài)評估226.2.2用戶權限管理236.2.3用戶行為監(jiān)控24端點準入防御

3、(EAD)方案技術建議書1 概述網絡安全問題的解決，三分靠技術，七分靠管理，嚴格管理是企業(yè)、機構及用戶免受網絡安全問題威脅的重要措施。事實上，多數企業(yè)、機構都缺乏有效的制度和手段管理網絡安全。網絡用戶不及時升級系統(tǒng)補丁、升級病毒庫的現象普遍存在；隨意接入網絡、私設代理服務器、私自訪問保密資源、非法拷貝機密文件、利用非法軟件獲取利益等行為在企業(yè)網中也比比皆是。管理的欠缺不僅會直接影響用戶網絡的正常運行，還可能使企業(yè)蒙受巨大的商業(yè)損失。為了解決現有網絡安全管理中存在的不足，應對網絡安全威脅，H3C推出了端點準入防御（EAD，Endpoint Admission Defense）解決方案。該方案從用

4、戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及防病毒軟件產品、系統(tǒng)補丁管理產品、資產管理產品、桌面管理產品的聯動，對接入網絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網絡使用行為，可以加強用戶終端的主動防御能力，大幅度提高網絡安全。EAD在用戶接入網絡前，通過統(tǒng)一管理的安全策略強制檢查用戶終端的安全狀態(tài)，并根據對用戶終端安全狀態(tài)的檢查結果實施接入控制策略，對不符合企業(yè)安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁升級等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過動態(tài)分配ACL、VLAN等合理控制用戶的網絡

5、權限，從而提升網絡的整體安全防御能力。2 EAD端點準入防御解決方案介紹EAD端點準入防御方案包括兩個重要功能：安全防護和安全監(jiān)控。安全防護主要是對終端接入網絡進行認證，保證只有安全的終端才能接入網絡，對達不到安全要求的終端可以進行修復，保障終端和網絡的安全；安全監(jiān)控是指在上網過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應的應對措施，實時保障網絡安全。2.1 方案思路EAD解決方案的實現思路，是通過將網絡接入控制和用戶終端安全策略控制相結合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶訪問網絡的接入權限，從而降低病毒、非法訪問等安全威脅對企業(yè)網絡帶來的危害。為達到

6、以上目的，H3C提出了包括檢查、隔離、修復、監(jiān)控的整體解決思路。1. 檢查：l 檢查網絡接入用戶的身份；l 檢查網絡接入用戶的訪問權限；l 檢查網絡接入用戶終端的安全狀態(tài)；2. 隔離：l 隔離非法用戶終端和越權訪問；l 隔離存在重大安全問題或安全隱患的用戶終端；3. 修復：l 幫助存在安全問題或安全隱患的用戶終端進行安全修復，以便能夠正常使用網絡；4. 監(jiān)控：l 實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息；l 對非法用戶、越權訪問和存在安全問題的網絡終端進行定位統(tǒng)計，為網絡安全管理提供依據；l 通過制定新的安全策略，持續(xù)保障網絡的安全。2.2 方案組成部分為了有效實現用戶終端安全準入

7、控制，需要實現終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合企業(yè)終端安全策略，順利接入網絡進行工作。EAD解決方案的組成部分見下圖：圖1 EAD解決方案組成部分如圖1所示，EAD解決方案的基本部件包括EAD安全策略服務器（CAMS服務器）、防病毒服務器、補丁服務器等修復服務器、安全聯動設備和H3C安全客戶端，各部件各司其職，由安全策略中心協調，共同完成對網絡接入終端的安全準入控制。2.2.1 EAD安全策略服務器EAD方案的核心是整合與聯動，而EAD安全策略服務器（CAMS服務器）是EAD方案中的管理與

8、控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯動控制以及安全事件審計等功能。l 安全策略管理。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。l 用戶管理。企業(yè)網中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略。l 安全聯動控制。安全策略服務器負責評估安全客戶端上報的安全狀態(tài)，控制安全聯動設備對用戶的隔離與開放，下發(fā)用戶終端的修復方式與安全策

9、略。通過安全策略服務器的控制，安全客戶端、安全聯動設備與修復服務器才可以協同工作，配合完成端到端的安全準入控制。2.2.2 修復服務器在EAD方案中，修復服務器可以是第三方廠商提供的防病毒服務器、補丁服務器或用戶自行架設的文件服務器。此類服務器通常放置于網絡隔離區(qū)中，用于終端進行自我修復操作。網絡版的防病毒服務器提供病毒庫升級服務，允許防病毒客戶端進行在線升級；補丁服務器則提供系統(tǒng)補丁升級服務，在用戶終端的系統(tǒng)補丁不能滿足安全要求時，用戶終端可連接至補丁服務器進行補丁下載和升級。EAD解決方案與微軟SMS產品可以無縫集成，能夠實現系統(tǒng)補丁檢查和自動升級，推薦使用SMS桌面管理軟件與EAD解決方

10、案配合部署。同時EAD解決方案與瑞星、金山、江民防病毒軟件可以實現聯動病毒檢查，強制終端用戶進行入網前得病毒檢查，推薦使用瑞星、金山、江民防病毒軟件與EAD配合部署。2.2.3 安全聯動設備安全聯動設備是企業(yè)網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。根據應用場合的不同，安全聯動設備可以是交換機或BAS設備，分別實現不同認證方式（如802.1x或Portal）的端點準入控制。不論是哪種接入設備或采用哪種認證方式，安全聯動設備均具有以下功能：l 強制網絡接入終端進行身份認證和安全狀態(tài)評估。l 隔離不符合安全策略的用戶終端。聯動設備接收到安全策略服務

11、器下發(fā)的隔離指令后，目前可以通過動態(tài)ACL方式限制用戶的訪問權限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。l 提供基于身份的網絡服務。安全聯動設備可以根據安全策略服務器下發(fā)的策略，為用戶提供個性化的網絡服務，如提供不同的ACL、VLAN等。2.2.4 安全客戶端H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：l 提供802.1x、Portal等多種認證方式，可以與交換機、BAS網關等設備配合實現接入層、匯聚層的端點準入控制。l 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁、共享目錄、已安裝的軟件

12、、已啟動的服務等用戶終端信息；同時提供與防病毒客戶端聯動的接口，實現與第三方防病毒軟件產品客戶端的聯動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到EAD安全策略服務器，執(zhí)行端點準入的判斷與控制。l 安全策略實施，接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。l 實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設置、是否發(fā)現新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。3 EAD與Microsof

13、t SMS聯動推薦3.1 EAD與微軟SMS聯動介紹EAD與SMS聯動解決方案可以更好的發(fā)揮兩個方案的優(yōu)勢，微軟SMS實現對終端用戶的計算機進行漏洞檢測、補丁檢測及升級、桌面資產管理、軟件分發(fā)等功能；H3C EAD方案實現安全入網認證（有線、無線以及遠程VPN接入）、防代理、多元素綁定認證（IP、MAC、端口等）、強制安裝和運行SMS客戶端。iNode客戶端通過調用微軟SMS提供的API接口，成功實現認證時補丁自動檢測和升級，融合了EAD與SMS的優(yōu)勢，為客戶提供更完善的網絡安全管理解決方案，其部署圖如下：圖2 EAD與SMS聯動解決方案系統(tǒng)結構圖3.2 EAD與SMS聯動技術優(yōu)勢EAD解決方

14、案與SMS聯動有許多技術優(yōu)勢：1） 聯動的松散耦合性：充分利用微軟成熟的桌面管理工具，由SMS實現各種Windows環(huán)境下用戶的桌面管理需求：資產管理、補丁管理、軟件分發(fā)和安裝等；由EAD實現有線、無線、遠程VPN接入認證、用戶管理、多元素綁定認證，并且聯動SMS實現認證時對用戶的補丁自動檢測和升級；2） 方案部署便捷，由域進行SMS、iNode客戶端的分發(fā)安裝，iNode客戶端提供定制安裝版本，可以根據用戶需要進行定制安裝；同時由網絡認證訪問功能，限制所有接入網絡的用戶均需安裝iNode客戶端和SMS客戶端；3） 更高的安全性，由于EAD安全認證限制了所有接入網絡的用戶必須安裝和運行iNod

15、e客戶端以及SMS客戶端，這樣EAD安全策略和SMS安全策略均可以得到全面的執(zhí)行。不符合安全策略要求的用戶，只能訪問網絡隔離區(qū)資源，最大程度的提高了網絡安全性；4） 補丁更新的即時性：用戶在初始連接網絡時就會被要求進行補丁檢查，終端機器的補丁狀態(tài)檢查不合格后馬上轉入補丁自動更新過程；EAD解決方案的定時重認證功能結合微軟操作系統(tǒng)的Windows Automatic Updates駐留服務，可以保證用戶終端的補丁得到實時更新；5） 與SMS桌面資產管理功能相結合，EAD在線用戶安全檢測功能，可以幫助管理員輕松核對所有上網用戶的資產是否正確；3.3 Microsoft SMS功能概述應用程序配置

16、詳細的部署規(guī)劃：詳細的應用程序部署規(guī)劃。SMS 2003提供了詳細的報告，使應用程序配置過程變得輕松。對于一個計劃好的配置，可以很輕松的獲取目標群組當前的硬件基礎，現有的應用程序，版本信息，以及系統(tǒng)當前服務包和熱修復的級別。 豐富的分發(fā)對象：使用包括網絡和硬件配置、活動目錄、組織單元以及群組成員資格和軟件安裝狀況在內的大量多種手段，向特定的計算機和用戶部署軟件分發(fā)以及其它管理任務。 站點服務器和分發(fā)點之間的增量分發(fā)：當對先前配置的軟件數據包源做出改動時，僅僅是源的改動內容在SMS 2003站點服務器和分發(fā)點之間傳播，而不是整個的應用程序映射。 提高權限的Windows安裝服務：鑒于SMS 20

17、03支持Windows安裝服務(.msi)，在一個組件安裝過程中，可以在關聯的帳戶間切換，允許在“向下鎖定”的系統(tǒng)上安裝自我復原的應用程序。資產管理 應用系統(tǒng)使用情況監(jiān)控：通過監(jiān)控可以生成使用情況的概要和詳細報告。報告詳細列出了用戶使用了哪些應用系統(tǒng)，應用系統(tǒng)使用了多久，以及用戶使用哪個管理系統(tǒng)。使用情況可由用戶或計算機跟蹤，而且，可以圍繞并發(fā)的使用情況數據生成報告。 詳細的軟件、硬件資產目錄：Windows管理工具（WMI）增強功能，實現在資產目錄掃描過程中客戶端的性能提升，并提供一套更豐富的資產目錄數據。 Web報表：包括預建立的120多份報告，涵蓋硬件和軟件資產目錄以及計算機狀態(tài)和軟件部

18、署進展。安全補丁管理 漏洞識別及補丁升級：標準的Microsoft安全工具，使您能夠為系統(tǒng)的應用系統(tǒng)補丁和漏洞建立目錄清單，還可自動升級系統(tǒng)補?。?漏洞評估以及緩解報告：完成識別遺漏的補丁之后，這些單獨掃描結果被發(fā)送到中心數據庫，生成報告和確定目標。遺漏的補丁部署完后，數據就可以隨意地被實時更新。Windows 管理服務集成 活動目錄探索：SMS 2003可以自動探索用戶和系統(tǒng)的活動目錄屬性，包括組織單元容器和組級成員。然后在這些活動目錄屬性的基礎上可以確定軟件包目標。 基于活動目錄的站點邊界：站點邊界現在可以基于活動目錄站點名稱，而不是基于網際協議（IP）子網。 高級安全模式：內置計算機和本

19、地系統(tǒng)帳號可用于服務器的所有功能（譬如數據庫訪問），這顯著地簡化了在SMS 2003的帳號和密碼管理，同時，通過不用創(chuàng)建額外的高權限帳號使企業(yè)更加安全。 改進的狀態(tài)工具：狀態(tài)數據提供了有關SMS 2003在服務器和客戶端兩方面處理當前狀況的實時信息4 EAD解決方案組網部署通過與不同網絡接入設備的聯動，EAD解決方案可在多種應用場景中實現用戶終端安全準入控制，滿足不同網絡環(huán)境下，端點安全準入控制的需要。4.1 新建網絡部署4.1.1 接入層準入控制將接入層設備作為安全準入控制點，對試圖接入網絡的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統(tǒng)補丁等企業(yè)定義的安全策略檢查，防止非法用戶和不

20、符合企業(yè)安全策略的終端接入網絡，降低病毒、蠕蟲等安全威脅在企業(yè)擴散的風險。1. 方案組網 圖3 接入層EAD解決方案組網應用2. 組網設備支持H3C S3000以上系列接入層交換機配合組網，交換機型號主要包括：l S3050C，S3026E/C/G/T；l 3100EI，5100EI；l S3528P/G，S3526E，S3552G/P/F；l S3600系列；3. 方案說明n 用戶終端必須安裝iNode客戶端，在上網前首先要進行802.1x和安全認證，否則將不能接入網絡或者只能訪問隔離區(qū)的資源。其中，隔離區(qū)是指在S30/36系列交換機中配置的一組ACL，一般包括EAD安全代理服務器、補丁服務

21、器、防病毒服務器、DNS、DHCP等服務器的IP地址。n 在接入交換機（S30/35/36系列交換機）中要部署802.1x認證和安全認證，強制進行基于用戶的802.1x認證和動態(tài)ACL、VLAN控制。n CAMS服務器中配置用戶的服務策略、接入策略、安全策略，用戶進行802.1x認證時，由CAMS服務器驗證用戶身份的合法性，并基于用戶角色（服務）向安全客戶端下發(fā)安全評估策略（如檢查病毒庫版本、補丁安裝情況等），完成身份和安全評估后，由CAMS服務器確定用戶的ACL、VLAN以及病毒監(jiān)控策略等。n EAD安全代理服務器必須部署于隔離區(qū)，可以與CAMS自助服務器共用一臺主機。n 補丁服務器（可選）

22、必須部署于隔離區(qū)，可以與EAD安全代理共用一臺主機。n 防病毒服務器（可選）必須部署于隔離區(qū)，可以與補丁服務器、EAD安全代理共用一臺主機，可以選擇Norton防病毒、趨勢防病毒、McAFee防病毒、安博士防病毒、CA Kill安全甲胄、瑞星殺毒軟件、金山毒霸以及江民KV防病毒軟件。4. 流程說明EAD方案可以依據角色對網絡接入用戶實施不同的安全檢查策略并授予不同的網絡訪問權限。其原理性的流程如下：1. 用戶上網前必須首先進行身份認證，確認是合法用戶后，安全客戶端還要檢測病毒軟件和補丁安裝情況，上報CAMS。2. CAMS檢測補丁安裝、病毒庫版本等是否合格，如果合格進入步驟7，如果不合格，進入

23、步驟3。3. CAMS通知接入設備（S30/35/36系列或其他支持EAD解決方案的交換機），將該用戶的訪問權限限制到隔離區(qū)內。此時，用戶只能訪問補丁服務器、防病毒服務器等安全資源，因此不會受到外部病毒和攻擊的威脅。4. 安全客戶端通知用戶進行補丁和病毒庫的升級操作。5. 用戶升級完成后，可重新進行安全認證。如果合格則解除隔離，進入步驟7。6. 如果用戶補丁升級不成功，用戶仍然無法訪問其他網絡資源，回到步驟47. 用戶可以正常訪問其他授權（ACL、VLAN）的網絡資源。5. 實施效果1. 由于接入層交換機對端口部署了802.1x認證，所有非法用戶將不能訪問企業(yè)內部網絡。并且認證通過前，用戶終端

24、之間無法實現互訪。2. 合法用戶接入網絡后，其訪問權限受S30/35/39/50系列交換機中的ACL控制。特定的服務器只能由被授權的用戶訪問。3. 合法用戶接入網絡后，其互訪權限受S30/35/39/50系列交換機中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪（受組網方式限制）。4. 用戶正常接入網絡前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業(yè)網帶來的安全風險。5. 通過使用iNode客戶端，可對用戶的終端使用行為進行嚴格管理，比如禁止設置代理服務器、禁用雙網卡、禁止撥號等。4.1.2 匯聚層準入控制

25、當網絡中接入層設備不支持EAD特性時，可以將匯聚層設備作為安全準入控制點，實施EAD解決方案，這樣可簡化EAD解決方案的應用部署。尤其是在對用戶原有企業(yè)網絡進行改造，實施EAD解決方案時，可以將原有匯聚層設備替換為支持EAD解決方案的H3C匯聚層設備，實現EAD解決方案的應用。1. 方案組網圖4 匯聚層EAD解決方案組網應用2. 組網設備實際上沒有嚴格的接入層和匯聚層設備之分，H3C通常用于匯聚的交換機均實現了對EAD解決方案的支持，包括以下設備：l S3526E/C系列l(wèi) S3528/52系列l(wèi) S5600系列l(wèi) S7500系列；根據網絡規(guī)模不同，這些設備通常也可以作為接入層設備使用。3.

26、方案說明n 在匯聚交換機中要部署802.1x認證和安全認證，強制進行基于用戶的802.1x和動態(tài)ACL控制。n 其余同接入層準入控制4. 流程說明同接入層準入控制方案用戶認證流程。5. 實施效果實施效果同接入層準入控制相同，但是網絡改造費用降低、系統(tǒng)部署簡單。匯聚層EAD應用組網模式下，認證設備下掛接入層設備，如果接入層設備端口不作VLAN劃分，用戶終端之間將可實現互訪。建議在嚴格控制用戶之間互訪的情況下，接入層設備在不同端口之間劃分不同的VLAN。4.2 多廠商設備混合組網部署通常企業(yè)在建設自身的辦公網，滿足互聯互通的要求后，會逐漸意識在內部網絡安全控制的必要性，尤其是內網終端的安全問題，這

27、時對于終端的安全準入控制就顯得尤為重要。而這時的企業(yè)網絡通常為多廠商設備共存，很難單獨使用一家廠商的設備實施網絡的準入控制，這種情況下，視網絡規(guī)模大小，我們推薦使用一臺或多臺網關設備作為強制認證控制器，使用基于Portal的認證協議，與iNode客戶端、安全策略服務器配合完成EAD端點準入防御。Portal認證是一種Web方式的認證，Web認證同802.1x認證相比，具有應用簡單的優(yōu)勢。但在EAD解決方案中，需要使用iNode客戶端來進行終端的安全狀態(tài)檢測和控制，因此在Web認證的基礎上，擴展了Portal協議，使之不僅能夠處理Http協議，還可以控制其他協議的數據流，使EAD解決方案也支持P

28、ortal認證方式下的端點準入控制。1. 方案組網圖5 網關型EAD解決方案組網應用2. 組網設備l 在舊網改造中，可以使用MSR、AR28、AR46、S7502E作為企業(yè)的安全網關，支持Portal認證，并實施EAD方案。3. 方案說明n 使用AR46/28、MSR、S7502E設備配合組網，設備通常放置在網絡出口，并在設備上開啟Portal認證功能。在用戶希望對原有網絡改動最小的情況下，可以將S7502E旁掛在網絡出口或核心設備上，提供用戶接入控制功能。n CAMS服務器需要安裝Portal認證組件，在Portal認證頁面上，提供安全客戶端的下載鏈接。用戶可下載并安裝iNode客戶端后，發(fā)

29、起認證請求。n 隔離區(qū)的設置、第三方服務器的設置、CAMS自助服務器和EAD安全代理服務器的設置等信息同接入層準入控制。4. 流程說明在Web認證方式下，用戶的身份認證、訪問控制和安全認證流程同接入層準入控制基本相同。區(qū)別在于：1. 用戶進行網絡登錄認證之前，可以訪問Portal服務器等URL。2. iNode安全認證客戶端可以在認證前從Portal認證頁面下載并安裝。簡化了客戶端分發(fā)工作。5. 實施效果1. 由于在網絡出口設備上部署了Portal認證，所有非授權用戶將不能隨意訪問網絡。2. 合法用戶通過身份認證、安全認證后，其訪問權限受認證設備的ACL控制。用戶的外部訪問權限受控。3. 通過

30、安全認證網關和策略服務器、客戶端配合，解決了網絡上多廠商設備共存的問題；4. 其余同接入層準入控制。4.3 EAD應用模式EAD解決方案對于每一種安全狀態(tài)的檢測，按照處理模式可分為隔離模式、提醒模式、監(jiān)控模式、下線模式。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過提醒模式進行提醒。四種模式對于實現的終端安全狀態(tài)監(jiān)控功能各有不同，對安全設備的要求也不相同。4.3.1 隔離模式對于一些關系比較重大的安全漏洞或補丁，如Windows服務器的致命安全補丁，需要進行比較嚴厲的控制。具體來說，就是一旦用戶終端安全狀態(tài)不合格，就限制其網

31、絡訪問區(qū)域為隔離區(qū)，在進行修復操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認證，正常接入網絡。隔離模式要求安全聯動設備必須支持動態(tài)ACL特性，能夠實時應用EAD安全策略服務器下發(fā)的ACL規(guī)格，并應用于用戶連接。4.3.2 提醒模式某些應用環(huán)境下，不需要根據用戶終端的安全狀態(tài)嚴格控制用戶終端的訪問權限，可以采用提醒模式來處理不合格的安全狀態(tài)，如對于安全等級略低一些的補丁可以采取這種方式。在提醒模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復指導和相關鏈接。用戶的網絡訪問權限不因終端安全狀態(tài)不合格而被更改。4.3.3 監(jiān)控模式監(jiān)控模式同提醒模

32、式的實現流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項。網絡管理員可在EAD安全策略服務器的管理界面中實時對用戶終端安全狀態(tài)進行監(jiān)控，了解用戶終端的安全信息。一些相對普通的安全問題，如提示性的補丁安裝，可以在不影響終端用戶工作的情況下，由管理員進行定期檢查并通告。同時，對于重要的網絡用戶，比如公司老板，管理員對其網絡訪問的管理也可應用監(jiān)控模式。提醒模式和監(jiān)控模式下，安全聯動設備可以不需要支持動態(tài)ACL下發(fā)控制功能。4.3.4 下線模式下線模式實現流程與隔離模式相同，唯一的區(qū)別是對不安全的用戶采取直接下線的處理方式。主要與Portal認證相配合，實現網絡出口或

33、是關鍵數據區(qū)域的認證保護。也可以作為兼容第三方廠商設備的部署模式，配合接入交換機Guest VLAN功能實現對不安全用戶的隔離功能。下線模式也是目前友商相似方案的主要實現模式，EAD支持下線模式可以增強方案對設備的兼容性。與Cisco設備配合部署EAD解決方案，推薦使用下線模式。5 系統(tǒng)參數及環(huán)境要求5.1 EAD系統(tǒng)技術參數l 網絡帶寬占用：用戶終端安全狀態(tài)信息 1K；l 并發(fā)連接數： CAMS應用服務器可支持5000個并發(fā)連接；l 雙機備份：支持24小時主備數據自動同步方案；5.2 EAD系統(tǒng)環(huán)境要求l CAMS安全策略服務器軟件環(huán)境：操作系統(tǒng)和數據庫分別為Windows 2000 Adv

34、anced Server中文版SP4、SQL Server 2000SP4l 硬件環(huán)境：5000用戶，推薦使用雙路Xeon 3.0G的PC服務器以上、1G以上內存。l iNode客戶端：軟件環(huán)境：Windows 2000/XP/2003；硬件環(huán)境：CPU主頻1.2G以上、128M以上內存。l NAS設備：H3C S3600、S5600、S7500系列交換機、AR28、AR46、MSR路由器。 6 附：EAD解決方案應用模型及功能特點6.1 應用模型6.1.1 安全準入應用模型EAD解決方案安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離，并

35、幫助終端進行安全修復，以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。圖表 1 EAD解決方案安全準入應用模型圖6.1.2 安全準入工作流程l 身份驗證：用戶終端接入網絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網絡。目前EAD解決方案支持802.1x和Portal認證。l 安全檢查：身份認證通過后進行終端安全檢查，由EAD安全策略服務器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。l 安全隔離：不合格的終端將被安全聯動設備通過ACL策略限制在隔離區(qū)進行安全修復。l 安全修復：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，

36、直到安全狀態(tài)合格。l 動態(tài)授權：如果用戶身份驗證、安全檢查都通過，則EAD安全策略服務器將預先配置的該用戶的權限信息（包括網絡訪問權限等）下發(fā)給安全聯動設備，由安全聯動設備實現按用戶身份的權限控制。l 實時監(jiān)控：在用戶網絡使用過程中，安全客戶端根據安全策略服務器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務器上報安全事件，由EAD安全策略服務器按照預定義的安全策略，采取相應的控制措施，比如通知安全聯動設備隔離用戶。圖表 2 EAD安全準入流程圖6.2 功能特點EAD解決方案已實現以下功能規(guī)格，在具體應用部署時，可根據用戶網絡的實際

37、使用需求，確定EAD的應用模式和部署方案。6.2.1 安全狀態(tài)評估l 終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows 2000/XP/2003等，不包括Windows 98)等符合微軟補丁規(guī)范的熱補丁。l 安全客戶端版本檢測：可以檢測安全客戶端iNode Client的版本，防止使用不具備安全檢測能力的客戶端接入網絡，同時支持客戶端自動升級。l 安全狀態(tài)定時評估：安全客戶端可以定時檢測用戶安全狀態(tài)，防止用戶上網過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。l 自動補丁管理：提供與微軟WSUS/SMS（全稱：Windows Server Update Services/System Mana