1.3.4 EAD端点准入防御解决方案
目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。H3C端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。 ? 严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。 ? 完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、资产管理、软件分发、U盘外设管理、远程协助等;为了更好的满足客户的需求,
EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、Ahn等国内外主流病毒厂商联动,支持和微软SMS、LANDesk、BigFix等业界桌面管理产品的配合使用。
? 用户管理与网络设备管理的融合
接入设备列表中可以直接看到用户相关信息,操作简单方便,提高了操作员日常维护的效率。
?
可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。
?
可在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如对应的基本信息、告警、性能状况等。操作更友好,全面提升操作员的操作体验。
? 用户管理与网络拓扑管理的融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。
? 基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁
止使用双网卡等安全措施均可由管理员统一配置实施。 ? 全面的ARP攻击防御
EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响,同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为。 ? 桌面资产管理
EAD解决方案实现了对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理,帮助客户更有效地管理企业的桌面资产。 ? U盘审计及外设管理
EAD解决方案可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。EAD还提供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,而且在离线状态下依然生效。 ? 扩展开放的解决方案
EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。 ? 灵活方便的部署方式
EAD方案部署灵活,维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式;此外,EAD还支持灵活的旧网改造方案和客户端静默安装等特性。
1.3.5 CAMS计费管理组件
网络早已融入到人们生活的方方面面,人们对网络的依赖性也日益增加。为了保护网络使用者的合法权益,也为了增加网络运营者的收益,需要对网络的使用进行收费。在实际生活中,需要进行计费管理的网络普遍存在,如:由运营商布设的商用网络,学校、小区宽带等园区网络,网吧等小型运营网络等,都是网络计费运营的典型例子。这些网络都有偿地提供服务,人们在获取网络资源的同时,还需要支付相应的费用。
依托iMC智能管理中心及UAM用户接入管理组件,iMC还提供了功能强大的CAMS计费管理组件。它可以稳定、高效地完成对网络接入用户的账务管理、计费管理等功能,满足各种网络可运营、可管理的需求。同时,它还提供丰富而开放的第三方接口,帮助管理员快速有效地与第三方系统进行对接。
在iMC平台可灵活扩展的基础上,CAMS计费管理组件还可以与EAD终端准入控制组件以及UBA用户行为审计组件进行很好的融合,为管理员提供从认证、计费到控制、审计全流程的具有强大竞争力的用户终端管理解决方案。 (将在第7章详细介绍)
1.3.6 APM应用管理组件
随着Web2.0、云计算、数据中心等信息技术的不断发展,企业的各种业务已经越来越紧密地与Internet结合在一起,由服务器、数据库、中间件等组成的应用信息系统也变得越来越复杂,对IT技术人员的要求变得越来越高,各种突发故障排除起来也越来越困难。因此,企业急需一套经济实用、易于部署、功能全面、扩展灵活的IT运维管理解决方案,满足其不同层次的应用管理需求。
iMC应用管理组件(iMC Applications Manager,iMC APM)是为了帮助企业各种业务的监控管理需求而提供的应用监控管理解决方案,它提供了强大的系统与应用监控管理能力,可以对不同的业务系统、应用和网络服务(如服务器、操作系统、数据库、Web服务、中间件、邮件、其他关键应用等),进行远程监控和管理,从而充分满足金融、电力、政府、烟草、大企业等用户对各种关键业务和数据中心的监控管理需求。
iMC APM采用易于部署的Web架构,并提供友好的安装向导,即使是不熟悉相关技术的维护人员,也可以在半小时内安装完毕,并初步搭建起对企业各种应用提供监控的管理平台。iMC APM采用了agentless(无监控代理)的最新技术,不需要在被监控的服务器上安装监控代理,就可以通过Telnet、命令行等方式,对关键应用或资源进行远程监控,避免安装监控代理后对服务器造成的影响。APM为用户的整个业务基础架构提供各种视图,如Google视图等,可以从多个角度、多个层次,更清晰地监视各种应用程序和服务器的运行情况。iMC APM同时还提供自定义的监视器功能,允许用户对特殊应用进行定制化监控,满足用户的个性化需求。
iMC APM是一款基于Web的综合应用监控解决方案。它具有友好的中文图形化界面,给用户提供一个简单易用的应用管理控制台,同时具备智能化的中文安装及配置向导,帮助用户轻松实现软件安装及配置。iMC APM的界面友好,图形精美,操作简便,功能强大,可以让网管人员在短时间内掌握产品的使用,提高操作人员工作效率。APM具有以下特点:
? 简便灵活的web架构,易于部署和使用
iMC APM基于B/S架构,安装过程非常简单,界面简洁明了,一般管理人员在短时间内就可以掌握,降低了部署和使用成本。一般情况下,用户不需要在服务器上安装专用的监控代理,只通过浏览器就可以使用APM的全部功能,方便管理和维护。