目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。H3C终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:
组网模型
如下图所示,EAD组网模型图中包括iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。
iNode智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
安全联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。
iMC(EAD)安全策略组件:它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。
第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
功能特点
全方位准入控制
EAD解决方案提供完善的接入控制,可以支持局域网、广域网、VPN、无线各种接入方式,支持包括HUB在内的各种复杂网络、思科等异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。
严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、资产管理、软件分发、U盘外设管理、远程协助等;为了更好的满足客户的需求,EAD客户端支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、Ahn等国内外主流病毒厂商联动,支持和微软SMS、LANDesk、BigFix等业界桌面管理产品的配合使用。
用户管理与网络设备管理的融合
n 接入设备列表中可以直接看到用户相关信息,操作简单方便,提高了操作员日常维护的效率。
n 可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。
n 可在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如对应的基本信息、告警、性能状况等。操作更友好,全面提升操作员的操作体验。
用户管理与网络拓扑管理的融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。
基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备或客户端下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
全面的ARP攻击防御
EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响,同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为。
桌面资产管理
EAD解决方案实现了对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理,帮助客户更有效地管理企业的桌面资产。
U盘审计及外设管理
EAD解决方案可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。EAD还提供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,而且在离线状态下依然生效。
易于部署的无客户端
EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障。
多种层次的高可用性
EAD解决方案提供了双机冷备和双机热备功能,可以避免单台EAD服务器当机引起的认证中断,同时还支持单机故障的逃生方案,临时允许客户端不用认证就可以使用网络,保证了经济敏感用户的利益。
扩展开放的解决方案
EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
灵活方便的部署方式
EAD方案部署灵活,维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式;此外,EAD还支持灵活的旧网改造方案和客户端静默安装等特性。
组网应用
局域网安全准入防护
在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。
n 接入层802.1x认证方式:控制严格、安全性高
n 汇聚层802.1x认证方式:部署简单、管理方便,可识别HUB用户。
广域网安全准入防护
对于拥有分支或下属机构的单位,由于经常存在对分支机构的管理相对松散的状况,从而存在各种安全漏洞和网络失控行为。
为解决上述问题,H3C提供EAD广域网终端控制方案,在骨干路由器或BAS设备中强制用户进行Portal认证和安全状态检查,确保用户访问总部时具有符合标准的安全状态。
VPN安全准入防护
一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装iNode智能客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
无线网络安全准入防护
无线局域网(WLAN)以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,得到越来越广泛的应用,但同时也为局域网带来了巨大的安全威胁。
在无线网络中,结合使用EAD解决方案,可以对无线接入用户进行身份识别、安全检查和网络授权,有效的满足园区网的无线安全准入的需求。
异构网络安全准入防护
在实际情况中,很多用户的网络环境中往往包含多个厂家的设备甚至是集线器设备。对于这种异构的网络环境,如何实现终端准入、安全检查、用户授权、行为记录等EAD解决方案?H3C推出EAD网关设备,在汇聚层设备通过两条链路旁挂一台EAD网关,完成基于Portal的接入控制,进行用户网络访问的通断与开放,同时由EAD服务器进行准入策略的控制、安全状态的检测以及身份和安全认证。