EAD 技术白皮书


EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第1页,共13页 EAD技术白皮书 关键词:EAD,CAMS,安全,准入,防病毒 摘 要:EAD是一项网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备 以及第三方服务器的联动,加强网络终端主动防御能力,控制病毒蔓延。本文主要介 绍了EAD方案的基本原理、技术特点和典型组网应用等。 缩略语: 缩略语 英文全名 中文解释 ACL Access Control List 访问控制列表 BAS Broad Access Server 宽带接入设备 CAMS Comprehensive Access Management Server 综合接入管理服务器 EAD Endpoint Admission Defense 端点准入防御 IAG Intelligent Application Gateway 智能业务网关 L2TP Layer2 Tunnel Protocol 二层隧道协议 QoS Quality of Service 服务质量 VLAN Virtual Local Area Network 虚拟局域网 VPN Virtual Private Network 虚拟私有网络 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第2页,共13页 目 录 1 概述 .......................................................................................................................................3 1.1 产生背景 ......................................................................................................................3 1.2 主要功能 ......................................................................................................................4 1.3 技术特色 ......................................................................................................................5 1.4 应用场景 ......................................................................................................................6 2 EAD技术实现.........................................................................................................................7 2.1 组成结构 ......................................................................................................................7 2.1.1 安全客户端 ........................................................................................................8 2.1.2 安全策略服务器 .................................................................................................8 2.1.3 安全联动设备.....................................................................................................9 2.1.4 第三方服务器.....................................................................................................9 2.2 基本原理 ......................................................................................................................9 3 典型组网应用 .......................................................................................................................11 3.1 802.1x接入组网方案 ..................................................................................................11 3.2 VPN接入组网方案......................................................................................................12 3.3 Portal接入组网方案....................................................................................................13 4 参考文献 ..............................................................................................................................13 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第3页, 共13页 1 概述 1.1 产生背景 随着网络技术的应用与发展,人们对信息网络的应用需求不断提升,对网络的依赖 性也越强,伴随而来的信息安全威胁也在不断增加。网络安全已经超过对网络可靠 性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全基础设施 也日渐成为企业网建设的重中之重。 在企业网中,新的安全威胁不断涌现,病毒日益肆虐。它们对网络的破坏程度和范 围持续扩大,经常引起系统崩溃、网络瘫痪,使企业蒙受严重损失。在企业网络 中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全 设置)都将直接影响到整个网络的安全。 目前,针对病毒的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防 病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理 员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从 企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒的威 胁,存在严重不足,主要表现在以下几个方面。 z 被动防御,缺乏主动抵抗能力 在多数情况下,当一个终端受到感染时,病毒已经散布于整个网络。亡羊补牢的方 法固然有效,但企业用户更多需要的是:在安全威胁尚未发生时就对网络进行监控 和修补,使其能够自己抵御来自外部的侵害。而对网络管理员来说,目前的解决方 式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成 主动防御能力低下。 z 单点防御,对病毒的重复、交叉感染缺乏控制 目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解 决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。 z 分散管理,安全策略不统一,缺乏全局防御能力 只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理 的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全 防范。在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却 不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第4页, 共13页 系统漏洞带来的网络安全威胁。 1.2 主要功能 为了解决现有安全防御体系中存在的不足,H3C公司推出了端点准入防御(EAD) 解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业 安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服 务器、接入设备以及第三方服务器的联动,可以将不符合安全要求的终端限制在 “隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒的 攻击。其主要功能包括: z 检查——检查用户终端的安全状态和防御能力 用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染 病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端, 容易遭受外部攻击,属于“易感”终端;已感染病毒的终端,会对网络中的其他设 施发起攻击,属于“危险”终端。EAD通过对终端安全状态的检查,使得只有符合 企业安全标准的终端才能正常访问网络,同时,配合不同方式的身份验证技术 (802.1x、VPN、Portal等),可以确保接入终端的合法与安全。 z 隔离——隔离“危险”和“易感”终端 在EAD方案中,系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果 不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补 丁服务器等用于系统修复的网络资源(称之为“隔离区”)。 z 修复——强制修复系统补丁、升级防病毒软件 EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用 户终端被限制到“隔离区”以后,EAD可以自动提醒用户进行缺失补丁或最新病毒 库的升级,配合防病毒服务器或补丁服务器,帮助用户完成手工或自动升级操作, 达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后,用户终 端将被取消隔离,可以正常访问网络。 z 管理与监控 集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略 的统一实施,需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策 略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管 理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第5页, 共13页 务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册 表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病 毒、修改安全设置等)。 1.3 技术特色 EAD端点准入方案提供了一个全新的安全防御体系,将防病毒功能与网络接入控制 相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力,具有以 下特点: z 整合防病毒与网络接入控制,大幅提高安全性 EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装 策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指 定的资源,直到按要求完成相应的升级操作。通过EAD的强制措施,可以保证用户 终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。 z 支持多种认证方式,适用范围广 EAD支持802.1x、VPN、Portal等多种认证方式,具有广泛的适应性,可以根据应 用场景的区别,选择合适的方式实施准入防御策略,分别从局域网接入、VPN接 入、汇聚设备等不同层面确保网络的整体安全。 z 全面隔离“危险”终端 在EAD方案中,对不符合企业安全策略的用户终端进行隔离时,可以配合设备采用 VLAN或ACL隔离的方式,以达到物理或网络隔离的效果,实现对“危险”终端的 全面隔离。 z 灵活、方便的部署与维护 EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用 户,定制不同的安全检查和隔离级别。EAD可以部署为监控模式(只记录不合格的 用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)、隔 离模式和下线模式(对不合格用户进行下线处理)以适应用户对安全准入控制的不 同要求。 z 详细的安全事件日志与审计 EAD对网络中的用户上网过程、安全状态、病毒查杀事件等信息提供详细的日志记 录,方便管理员全面掌握全网用户终端的安全防御能力和病毒入侵情况。 z 专业防病毒厂商的合作 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第6页, 共13页 EAD是一个整合方案,其防病毒功能的实现由第三方厂商完成,目前支持EAD方案 的厂商包括了市场上主流的病毒厂商。通过EAD的联动,防病毒软件的价值得到提 升,从单点防御转化为整体防御。 z 具有策略实施功能,方便企业实施组织级安全策略 EAD除了能够检测用户终端的安全防御状态外,还可以帮助管理员设置终端的安全 策略,以达到企业级安全策略统一实施的目的。 z 可扩展的安全解决方案,有效保护投资 EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有 企业网中,只需对网络设备和防病毒软件进行简单升级,即可实现接入控制和防病 毒的联动,达到端点准入控制的目的。 1.4 应用场景 EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,可以配合H3C的 交换机、路由器、VPN网关、SecPath IAG等网络设备,实现对局域网接入、无线 接入、VPN接入、关键区域访问等多种组网方式的端点防御。EAD可以为以下应用 场景提供安全防护解决方案: z 局域网接入安全防护 在企业网内部,接入终端一般是通过交换机接入企业网络。这些接入终端的安全状 态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网 络,EAD可以通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份 认证和安全状态评估,帮助管理员实施企业安全策略,确保终端病毒库和系统补丁 得到及时更新,降低病毒蔓延的风险,阻止来自企业内部的安全威胁。 z 无线接入安全防护 WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易感染病 毒和木马或出现长期不更新系统补丁的现象。与局域网接入防护类似,对于这种无 线接入的用户,EAD也可以在交换机配合下,通过标准的802.1x方式,对用户的身 份和安全状态进行认证与评估,防止外来病毒对网络的攻击。 z VPN 接入安全防护 一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网 络。远程接入的用户由于其来源的复杂性,往往会给企业网络带来严重的安全隐 患。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,安装最 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第7页, 共13页 新的病毒库和系统补丁。对于没有安装EAD安全客户端的远程用户,管理员可以选 择拒绝其访问内部网络或限制其访问权限。 z 关键数据保护 EAD的安全防护层次不仅仅限于用户接入控制,某些企业可能更关心对于核心数据 区域(比如数据中心、ERP服务器区等)的安全保护。通过在关键数据区的入口添 加安全联动网关设备,EAD可以强制所有访问关键数据区的用户进行Portal认证和 安全状态检查,确保用户访问关键数据时不会无意中因病毒对其产生破坏。这种保 护方式也可以阻止外部用户对企业敏感数据的非法访问和攻击。 z 企业入口安全防护 大型企业往往拥有分支或下属机构,分支机构可以通过专线或WAN连接企业总 部。某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网 方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企 业内部网的用户具有合法身份且符合企业安全标准,可以在企业入口增加安全网关 设备来实施EAD准入认证,强制接入用户进行Portal认证和安全状态检查。 z 企业出口安全防护 在某些管理和监控较为严格的企业,用户终端在企业网内部访问时,受到的安全威 胁相对较小。但当用户试图访问外部网络时,其受到非法攻击和病毒感染的几率则 要成倍增加,如果用户在访问外网时没有及时安装补丁或升级病毒库,则其系统中 存在的漏洞将很可能成为外部攻击的目标,甚至成为攻击企业内部网络的“帮 凶”。EAD可以在企业出口部署EAD功能的设备强制用户进行Portal认证和安全状 态检查,确保用户访问外网时具有符合企业标准的攻击防御能力。 2 EAD技术实现 2.1 组成结构 EAD端点准入防御方案是一个整合方案,其基本部件包括安全客户端、安全联动设 备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。EAD方案中 的各部件各司其职,由安全策略中心协调与整合各功能部件,共同完成对网络接入 终端的安全状态评估、隔离与修复,提升网络的整体防御能力。 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第8页, 共13页 图1 EAD组网示意图 2.1.1 安全客户端 安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状 态评估以及安全策略实施的主体,其主要功能包括: z 支持 802.1x、Portal、VPN 等多种认证方式,可以与 H3C 的交换机、路由 器、VPN 网关、SecPath IAG 配合实现接入层、汇聚层以及 VPN 的端点准 入控制。 z 检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供 与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户 终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传 递到安全策略服务器,执行端点准入的判断与控制。 z 安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行, 包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动 或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被 限制在隔离区。 z 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将 安全事件定时上报到安全策略服务器,用于事后进行安全审计。 2.1.2 安全策略服务器 EAD方案的核心是整合与联动,其中的安全策略服务器是EAD方案中的管理与控制 中心,它作为一个软件的集合可运行在Windows、Linux平台下,兼具用户管理、 安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第9页, 共13页 z 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列措 施,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终 端修复配置以及对终端用户的隔离方式配置等。 z 用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别 的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化 安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。 z 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制 安全联动设备对用户的隔离与开放,下发用户终端的安全策略。通过安全策 略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工 作,配合完成端到端的安全准入控制。 z 日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全 日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。 2.1.3 安全联动设备 安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合 格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可 以是H3C的交换机、路由器、VPN网关或SecPath IAG,分别实现不同认证方式 (如802.1x、VPN和Portal等)的端点准入控制。不论是哪种接入设备或采用哪种 认证方式,安全联动设备均具有以下功能: z 强制网络接入终端进行身份认证和安全状态评估。 z 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔 离指令后,可以通过 VLAN 或 ACL 方式限制用户的访问权限;同样,收到解 除用户隔离的指令后也可以在线解除对用户终端的隔离。 z 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策 略,为用户提供个性化的网络服务,如提供不同的 QoS、ACL、VLAN 等。 2.1.4 第三方服务器 在EAD方案中,第三方服务器是指处于隔离区中,用于终端进行自我修复的防病毒 服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客 户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁 不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。 2.2 基本原理 EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器、SecPath EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第10页, 共13页 IAG)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原 理如图2所示。 用户访问网络前的身份认证 对合法用户控制网络权限,并下发安全策略 与第三方桌 面管理系统 协同检查终 端安全状态 安全策略检查结果上报安全策略服务器 根据检查结果控制访问权限 安全检查不合格用户进入隔离区,进行系统修复和软件升级 图2 EAD基本原理 (1) 用户终端试图接入网络时,首先通过安全客户端由安全联动设备和安全策略 服务器配合进行用户身份认证,非法用户将被拒绝接入网络。 (2) 安全策略服务器对合法用户下发安全策略,并要求合法用户进行安全状态认 证。 (3) 由客户端的第三方桌面管理系统协同安全策略服务器对合法终端的补丁版 本、病毒库版本等进行检测。之后,安全客户端将安全策略检查的结果上报 安全策略服务器。 (4) 安全策略服务器根据检查结果控制用户的访问权限。 z 安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联 动设备提供基于身份的网络服务。 z 安全状态不合格用户将被安全联动设备隔离到隔离区。进入隔离区的用户可 以进行系统的修复和补丁、病毒库的升级,直到安全状态合格。 安全认证通过之后在安全策略服务器的配合下可以对合法终端进行安全修复和管理 工作,主要包括心跳机制、实时监控及监控发现异常后的处理。 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第11页, 共13页 从EAD的主要功能和基本原理可以看出,EAD将终端防病毒、补丁修复等终端安全 措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系, 通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为 主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病 毒和新兴安全威胁的整体防御能力。 3 典型组网应用 3.1 802.1x接入组网方案 Internet 补丁服务器 病毒服务器 802.1x 图3 802.1x接入组网方案 由安全联动接入网关完成基于802.1x的接入控制,进行用户网络访问的通断控制, 由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。通过第三方服务 器与安全客户端的联动实现客户端的自动升级管理,可以增强企业内部用户终端系 统的安全性。另外,802.1x接入与CAMS配合可以支持丰富的ACL授权和VLAN授 权信息的下发功能,以及用户接入端口、IP地址的绑定等功能,实现更细粒度地控 制用户访问。这种组网方案对不符合安全策略的用户严格隔离,可以有效防止来自 企业网络内部的安全威胁。 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第12页, 共13页 3.2 VPN接入组网方案 移动办公员工 补丁服务器 病毒服务器 Internet VPN 外部合作员工 在家办公员工 VPN 图4 VPN接入组网方案 由安全联动VPN网关结合L2TP认证方式完成对远端用户的接入控制,由CAMS进 行认证、计费以及EAD准入策略控制和安全状态检测。该EAD方案中,VPN客户 端通过向安全联动VPN网关发起并建立VPN连接,为远端的移动办公人员、驻外机 构、合作伙伴与企业内部网络之间建立了可靠的安全连接。EAD方案可以通过VPN 网关确保远程接入用户在进入企业内部网之前,安装最新的病毒库和系统补丁。对 于没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限 制其访问权限,保证了VPN数据传输的安全性。这种组网方案可以防止来源复杂的 远程用户访问企业内网时带来的安全隐患。 EAD技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第13页, 共13页 3.3 Portal接入组网方案 补丁服务器 病毒服务器 Portal 图5 Portal接入组网方案 由安全联动网关结合Portal认证方式在汇聚层实现对网络用户的端点准入控制,由 CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。由于EAD的安全防 护层次不仅仅限于用户接入控制,某些企业可能更关心对于核心数据区域的安全保 护。通过在保护区域的入口添加安全联动设备,EAD可以强制所有访问关键数据区 的用户进行Portal认证和安全状态检查,确保用户访问关键数据时不会因自身感染 的病毒对其产生破坏。类似的原因,这种组网方案也可以应用于企业网络出口、分 支机构入口等多种应用场景,因此具有较广的适应性。 4 参考文献 RFC 2865:Remote Authentication Dial In User Service (RADIUS) Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 本文档中的信息可能变动,恕不另行通知。
还剩12页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 3 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

zhaoyi4200

贡献于2015-06-17

下载需要 3 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf