華為TSM技術(shù)和H3CEAD技術(shù)深層次分析資料

1、H3c EAD和華為TSM的技術(shù)分析超級計算可以作為云計算的一種業(yè)務(wù)對internet用戶提供便捷的服務(wù)。從這 個角度來看，超算中心可以作為云計算數(shù)據(jù)中心的一個部分。 但是超級計算和云 計算還是很大區(qū)別的，因此需要看作是一個特殊的云計算服務(wù)。這種特殊性對于 網(wǎng)絡(luò)和安全方面的需求表現(xiàn)在：超級計算是一種“聚合”業(yè)務(wù)，是一種特殊的服務(wù)器集群使用。這種使用要 求服務(wù)器自成系統(tǒng)，具體表現(xiàn)在：集群系統(tǒng)不能出現(xiàn)異構(gòu)現(xiàn)象。集群內(nèi)部的通信服務(wù)質(zhì)量要求非常高，因此不能和其他業(yè)務(wù)共享業(yè)務(wù)通道。集群系統(tǒng)的安全級別很高，從接入?yún)^(qū)開始一直到超算區(qū)，要求和其他系統(tǒng) 保持物理或是邏輯隔離。集群節(jié)點的計算性能要求較高，一般不會

2、出現(xiàn)虛擬機。因此，集群內(nèi)部的 通信流量并不是很大。綜合各種需求，H30出融合超級計算中心和云計算數(shù)據(jù)中心的網(wǎng)絡(luò)解決方 案。將超級計算服務(wù)作為云計算的一個獨立的區(qū)；保證超級計算端到端的安全隔離；在超級計算區(qū)內(nèi)實現(xiàn)統(tǒng)一交換架構(gòu)。華為賽門鐵克 Secospace TSM（Terminal Security Management ,終端安全 管理）系統(tǒng)是面向具有安全內(nèi)控需求的企業(yè)終端安全管理產(chǎn)品，將終端安全狀況和接入控制結(jié)合在一起，通過安全檢查、隔離修復(fù)、行為審計等手段，加強終端 的主動防御能力，保證企業(yè)網(wǎng)絡(luò)的整體安全性，提高企業(yè)對終端的管理水平。多種接入控制方案，滿足各種網(wǎng)絡(luò)接入場景下的準入控制需求

3、：安全接入控制網(wǎng)關(guān)SACG電信級硬件網(wǎng)關(guān)設(shè)備，提供對終端的安全接入控制，部署和維護簡單，安全可靠、性能卓越；802.1x 控制方式，基于端點的安全接入控制，支持國內(nèi)外主流廠商交換機， 有效保證網(wǎng)絡(luò)的接入安全；基于主機防火墻的純軟方案，不依賴于任何網(wǎng)絡(luò)設(shè)備，實現(xiàn)基于端點的安全 接入控制，可主動阻止或隔離未安裝代理的不安全終端對鄰居終端的訪問， 減少 威脅。全面的身份認證方式，不同場景下靈活選擇：提供基于用戶名密碼的認證授權(quán)，同時也廣泛支持主流的外部認證平臺，如: AD LDAP USBKEY數(shù)字證書等，節(jié)省用戶投資的同時極大的方便了管理員對訪 問用戶進行統(tǒng)一的管理和配置，很大程度上降低了支持和維

4、護的成本；提供基于Agent客戶端和基于IE瀏覽器的的無Agent認證方式，靈活滿足 內(nèi)部員工、移動辦公用戶和臨時訪客的安全接入認證需求。持續(xù)的員工行為管理，保障更高的IT資源的可用性和使用效率：提供上網(wǎng)行為審計、軟件使用審計、計算機外設(shè)使用審計、US眼口使用監(jiān)控、非法外聯(lián)監(jiān)控、網(wǎng)絡(luò)異常流量監(jiān)控等安全策略；對員工違規(guī)行為進行審計和控制，保證企業(yè) IT資源的合理使用。強大的終端互訪控制功能，滿足企業(yè)對終端隔離的需求：提供終端互訪控制功能，支持終端層的安全域劃分，不同安全域之間的互訪 需可信授權(quán)，有效保證終端之間的互訪隔離。1系統(tǒng)架構(gòu)分析1.1 TSM系統(tǒng)架構(gòu)分析IntemiTSM終端安全管理系統(tǒng)

5、是一個包括軟件和硬件整體系統(tǒng)。主要由TSM管理器（SM）、控制器（SC）、代理（SA）和修復(fù)服務(wù)器（SRS）四個軟件部件，以及 接入控制網(wǎng)關(guān)（SACG） 一個硬件部件，共五個部件組成。TSM弋理（TSM Agent ,簡稱 SA）安裝在用戶終端上，負責(zé)用戶的身份輸入和安全策略檢查。 在用戶使用網(wǎng)絡(luò) 前，必須啟動SA,然后輸入身份信息進行登錄，在登錄過程中， SA同時收集客 戶端的安全信息，把相關(guān)信息發(fā)送到SC進行檢查。TSM復(fù)服務(wù)器（TSM Repair Server ,簡稱 SRQ對操作系統(tǒng)補丁，殺毒軟件，防火墻等安全資源進行集中統(tǒng)一的管理， 對不 符合企業(yè)安全策略的終端進行安全修復(fù)，同時為

6、用戶提供安全策略查詢和安全問 題反饋。SR能受TSM管理器的信息，根據(jù)用戶的安全狀況給用戶相應(yīng)的提示信 息，并協(xié)助用戶對終端進行安全修復(fù)，比如補丁安裝等。TSM8入控制網(wǎng)關(guān)（TSM Access Control Gateway ,簡稱 SACG ）控制終端的網(wǎng)絡(luò)訪問權(quán)限，對不同的用戶，不同安全狀況的用戶開放不同的 權(quán)限。當TSM控制器認證和安全檢查終端之后，把結(jié)果通知 SACG, SACG根據(jù)控制器的信息，決定終端的訪問權(quán)限。SACG采用華為公司的Eudemon系列產(chǎn)品。TS愜端安全管理各模塊功能TSMt理器（TSM Manager ,簡稱 SM）是TSM安全管理系統(tǒng)的業(yè)務(wù)核心，提供各種業(yè)務(wù)功

7、能組件，包括資產(chǎn)管理、 軟件分發(fā)、補丁管理、日志審計、終端安全策略管理、身份管理、報表等組件， 并提供WEB界面和用戶交互。TSM空制器（TSM Controller ,簡稱 SC）負責(zé)管理SA和SACG , SC接收SM的指令并發(fā)給SA執(zhí)行，當用戶通過SA認 證通過后，SC控制SACG開放用戶訪問相應(yīng)企業(yè)資源的權(quán)限，即當認證通過后， 由SACG （Eudemon防火墻）下發(fā)ACL進行動態(tài)的網(wǎng)絡(luò)訪問控制。為什么SACG （Eudemon防火墻）下發(fā)ACL對接入用戶進行網(wǎng)絡(luò)訪問動態(tài) 控制？因為所有的接入流量必須引入到 SACG （Eudemon防火墻），由SACG（Eudemon防火墻）根據(jù)IP

8、地址下發(fā)ACL進行訪問控制。SACG （Eudemon防火墻）的部署方式主要有兩種：SACG （Eudemon防火墻）旁掛在接入、匯聚或者核心交換機。見下圖說明:SACG （Eud6mon防火墻）旁觀方案步驟說明：接入網(wǎng)絡(luò)的用戶需要進行認證（包括 802.1X或者Portal認證）認證通過，接入流量被通過某種方式（例如策略路由）導(dǎo)入到 SACG（Eudemon防火墻）SACG （Eudemon防火墻）根據(jù)接入IP （即接入用戶身份）下發(fā)ACL訪問相應(yīng)的網(wǎng)絡(luò)資源缺點：所有流量都被導(dǎo)入SACG （Eudemon防火墻），然后下發(fā)ACL進行網(wǎng)絡(luò)訪問控制，意味著上行的網(wǎng)絡(luò)流量都被導(dǎo)入 SACG （Eu

9、demon防火墻），產(chǎn) 生網(wǎng)絡(luò)迂回，降低了網(wǎng)絡(luò)性能，增加了網(wǎng)絡(luò)故障點SACG （Eudemon防火墻）串接入網(wǎng)絡(luò)。見下圖說明:SACG （Eudemon防火墻）串接方案陸務(wù)域步驟說明: 接入網(wǎng)絡(luò)的用戶需要進行認證（包括 802.1X或者Portal認證）認證通過，接入流量進入到SACG （Eudemon防火墻），SACG （Eudemon 防火墻）根據(jù)接入IP （即接入用戶身份）下發(fā)ACL,如果認證和安全檢查不 同，下發(fā)隔離ACL。認證通過，下發(fā)訪問網(wǎng)絡(luò)ACL.訪問相應(yīng)的網(wǎng)絡(luò)資源缺點：SACG （Eudemon防火墻）用接在網(wǎng)絡(luò)中，所有流量都被導(dǎo)入SACG（Eudemon防火墻），然后下發(fā)AC

10、L進行網(wǎng)絡(luò)訪問控制，增加了單點故障，使網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜1.2 H3c EAD系統(tǒng)架構(gòu)分析EAD終端管理解決方案架構(gòu)圖EAD終端管理解決方案由iNcde客戶端、EAD網(wǎng)關(guān)、第三方服務(wù)器、EAD服務(wù)器配 合，完成用戶管理、準人管理、安全管理、維護管理和平臺管理五大功能.sriNock客戶端iN。加客戶端iNode客戶端EAD解決方案組網(wǎng)包括安全客戶端、安全聯(lián)動設(shè)備、IMC EAD安全策略服務(wù)器和第三方服務(wù)器安全客戶端：是指安裝了 H3CiNode智能客戶端的用戶接入終端，負責(zé)身份認證的發(fā)起和安全策略的檢查。安全聯(lián)動設(shè)備：是指用戶網(wǎng)絡(luò)中的交換機、路由器、VPN網(wǎng)關(guān)等設(shè)備。EAD 提供了靈活多樣的組網(wǎng)方案

11、，安全聯(lián)動設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入層和匯聚層。iMC EAD安全策略服務(wù)器：它要求和安全聯(lián)動設(shè)備路由可達。負責(zé)給客戶 端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進行審核，向安全聯(lián)動設(shè)備發(fā) 送網(wǎng)絡(luò)訪問的授權(quán)指令。第三方服務(wù)器：是指補丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署 在隔離區(qū)中。當用戶通過身份認證但安全認證失敗時， 將被隔離到隔離區(qū)，此時 用戶能且僅能訪問隔離區(qū)中的服務(wù)器， 通過第三方服務(wù)器進行自身安全修復(fù)， 直 到滿足安全策略要求。EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強制檢查終端用戶的安全狀態(tài)，并根據(jù)對終端用戶安全狀態(tài)的檢查結(jié)果實施接入控制策略，對不符

12、合企業(yè)安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁升級等操作；在保證終端用戶具備自防御能力并安全接入的前提下，可以通過動態(tài)分配 ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。 具體部署方案如圖：我至代無明裨強制遞入臨蒿區(qū) 進打擊全修重?zé)o法通近身份 件證.振圮挎 入園端認肝通過后 下發(fā)ACL安至粽董&格，茨 謀符合用戶曳伊的 陽銘訪問粗限不符音安全誑踣的用戶者活用尸H3C EAD部署方案步驟說明:接入網(wǎng)絡(luò)的用戶需要進行認證（包括 802.1X或者Portal認證）認證通過，接入交換機根據(jù)用戶身份下發(fā) ACL或者VLAN訪問相應(yīng)的網(wǎng)絡(luò)資源特點：接入交換機

13、可以執(zhí)行802.1X認證，認證通過后根據(jù)用戶身份下發(fā)ACL進行動態(tài)訪問控制。首先這種部署方式不改變網(wǎng)絡(luò)結(jié)構(gòu)， 不存在網(wǎng)絡(luò)迂回和 單點故障問題。接入交換機即可實現(xiàn)認證、訪問控制一體化控制。結(jié)構(gòu)簡單，部 署方便。2安全準入流程分析TSM流程分析策期LiE I T身盎認證】【瓦仝心出 錢越何|監(jiān)控 審計詛止隔離修鱉授標用戶監(jiān)控行為非授權(quán)用戶不安全用戶送問范國審計即證Secosp ace安全接入控制端程示意圖終端安全接入控制是指企業(yè)員工在使用終端訪問企業(yè)資源前，先要經(jīng)過身份 認證和終端健康檢查（即企業(yè)定義的安全策略標準），在確認身份合法并通過健康檢查后，終端可以訪問各種企業(yè)資源，認證不通過則不能訪問網(wǎng)

14、絡(luò)，健康檢查 不通過則放在一個隔離區(qū)進行檢查修復(fù)，直到終端通過健康檢查后才允許正常訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源，終端接入控制采用的是認證前域和認證后域的概念。 終端接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)給企業(yè)安全帶來隱患和防止非法終 端和用戶訪問企業(yè)網(wǎng)絡(luò)網(wǎng)絡(luò)級訪問控制和終端安全接入控制的差異在于認證通過后，訪問控制網(wǎng)關(guān)會根據(jù)用戶的身份，確定用戶可以訪問企業(yè)的哪些業(yè)務(wù)系統(tǒng)， 網(wǎng)絡(luò)級訪問控制的重點是保護企業(yè)資源。TSM安全管理系統(tǒng)提供的網(wǎng)絡(luò)級訪問控制采用基于角色 的訪問控制，可以有效的制止用戶的非法訪問和越權(quán)訪問EAD流程分析EAD網(wǎng)絡(luò)準入控制流程你安全嗎？身粉認記安全認證接入請求 *3 合法用戶喬港 合

15、格用戶木*”法用戶：個合:拒鮑入網(wǎng)：進入隔離區(qū):強制加固你可以做什二幺？動態(tài)授權(quán)網(wǎng)絡(luò)j不同用戶享1受不同的網(wǎng)絡(luò)使用杈限工，你在做什| 行為審計么？EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強制檢查終端用戶的安全狀態(tài)，并根據(jù)對終端用戶安全狀態(tài)的檢查結(jié)果實施接入控制策略，對不符合企業(yè) 安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁升級等操 作；在保證終端用戶具備自防御能力并安全接入的前提下，可以通過動態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。3功能模塊分析H3c公司EAD產(chǎn)品可以提供網(wǎng)絡(luò)準入、終端安全、訪問控制、用戶行為審計、桌面資產(chǎn)管理；在

16、以上幾個功能模塊中，其中用戶行為審計、桌面資產(chǎn)管理華為 產(chǎn)品無法提供，導(dǎo)致方案的較大缺陷，有些客戶需要部署終端安全和桌面資產(chǎn)兩 套產(chǎn)品，維護困難，還存在兼容性差的問題。同時EAD還可以實現(xiàn)基于用戶賬號的網(wǎng)絡(luò)行為審計， 可根據(jù)用戶需要，通過 接入用戶名、上網(wǎng)時間、用戶訪問網(wǎng)頁的URL、ftp操作文件及發(fā)送郵件的主題等 各種條件的組合對網(wǎng)絡(luò)日志進行快速審計，并對審計結(jié)果提供靈活的排序、分組、 保存等功能。網(wǎng)絡(luò)管理員可以從海量的網(wǎng)絡(luò)日志中精確審計終端用戶的上網(wǎng)行為。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果H3c桌面管理模塊可以

17、提供豐富的額桌面管理功能，包括：支持資產(chǎn)分組、資產(chǎn)編號自動生成、資產(chǎn)的增刪改、支持手工掃描單個 資產(chǎn)、自動關(guān)聯(lián)資產(chǎn)責(zé)任人、資產(chǎn)信息上報策略定義、在線用戶列表中 查詢資產(chǎn)信息支持硬件、軟件的資產(chǎn)變更管理，實時監(jiān)控終端用戶軟件安裝卸載/硬件 變更狀態(tài)支持按照CPU、操作系統(tǒng)、軟件、資產(chǎn)類型、硬盤等信息提供資產(chǎn)統(tǒng)計 功能。支持豐富的軟件分發(fā)，其中包括按照資產(chǎn)批量分發(fā)軟件、按照資產(chǎn)分組 分發(fā)、立即分發(fā)軟件和定時分發(fā)軟件、按照分發(fā)任務(wù)查詢每個資產(chǎn)的軟 件分發(fā)狀態(tài)、支持資產(chǎn)的軟件分發(fā)歷史等可對USB勺使用進行監(jiān)控，監(jiān)控信息包括USB雨拔記錄、寫文件名及文件 大小等。對于USB勺插拔記錄可產(chǎn)生告警以提醒管理

18、員注意。外置管理，實現(xiàn)對光驅(qū)、軟驅(qū)、USB動存儲、USBb部接口（不包括USER標、鍵盤）、打印機、調(diào)制解調(diào)器、用行口、并行口、1394控制器、紅外設(shè)備、藍牙設(shè)備等進行啟用和禁用。4對比分析總結(jié) 從部署方案分析，EAD優(yōu)勢非常明顯：H3c EAD可以和接入交換機、路由器、防火墻配合，不需要增加任何硬件 網(wǎng)絡(luò)設(shè)備，既可完成網(wǎng)絡(luò)認證、網(wǎng)絡(luò)訪問控制功能，不需要網(wǎng)絡(luò)訪問控制網(wǎng)關(guān)設(shè) 備，不改變網(wǎng)絡(luò)結(jié)構(gòu)，減少網(wǎng)絡(luò)中故障點，減輕網(wǎng)絡(luò)部署難度，不影響網(wǎng)絡(luò)性能。 是網(wǎng)絡(luò)準入控制和網(wǎng)絡(luò)結(jié)構(gòu)完美的結(jié)合。華為TSM必須和防火墻配合，才能實現(xiàn)網(wǎng)絡(luò)訪問控制功能，從 Eudemon防 火墻在網(wǎng)絡(luò)位置來看，Eudemon防火墻僅僅起到網(wǎng)絡(luò)訪問控制功能，但是完全 改變了網(wǎng)絡(luò)結(jié)構(gòu)，可能產(chǎn)生網(wǎng)絡(luò)迂回，所有接入流量都引入到防火墻，并且增加 網(wǎng)絡(luò)故障點。后續(xù)網(wǎng)絡(luò)擴容，還必須同時增加 Eudemon防火墻。從網(wǎng)絡(luò)結(jié)構(gòu)來 說，為了增加網(wǎng)絡(luò)準入功能，完全改變網(wǎng)絡(luò)結(jié)構(gòu)是不可取的。EAD可以提供豐富的部署場景，包括802.1x、P