现按用户身份的权限控制。
实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向CAMS安全策略服务器上报安全事件,由CAMS安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
21
第3章 端点准入防御(EAD)方案
3.1概述
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,H3C推出了端点准入防御(EAD,Endpoint Admission Control)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、软件补丁管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
EAD端点准入防御方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
3.2方案思路
EAD解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,H3C提出了包括检查
22
——隔离——修复——监控的整体解决思路。
检查:
检查网络接入用户的身份; 检查网络接入用户的访问权限; 检查网络接入用户终端的安全状态; 隔离:
隔离非法用户终端和越权访问;
隔离存在重大安全问题或安全隐患的用户终端; 修复:
帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络; 监控:
实时监控在线用户的终端安全状态,及时获取终端安全信息
对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;
通过制定新的安全策略,持续保障网络的安全。
3.3方案组成部分
为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。
EAD解决方案的基本部件包括安全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端,各部件各司其职,由安全策略中心协调,共同完成对网络接入终端的安全准入控制。
安全策略服务器
EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
安全策略管理
安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式
23
配置等。
用户管理
企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
安全联动控制
安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。
修复服务器
在EAD方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。
安全联动设备
安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:
强制网络接入终端进行身份认证和安全状态评估。
隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。
提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的ACL、VLAN等。
安全客户端
H3C 客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
提供802.1X、Portal等多种认证方式,可以与交换机、BAS网关等设备配合实现接入
24
层、汇聚层的端点准入控制。
检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。
安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
3.4 EAD应用模式
EAD解决方案对于每一种安全状态的检测,按照处理模式可分为隔离模式、警告模式、监控模式。如防病毒软件的安装和版本检查可以采用隔离模式,补丁软件依照重要性的不同可以采取不同的模式,一些非法软件的安装可以通过警告方式进行提醒。
三种模式对于实现的终端安全状态监控功能各有不同,对安全设备的要求也不相同。 隔离模式
对于一些关系比较重大的安全漏洞或补丁,如Windows服务器的致命安全补丁,需要进行比较严厉的控制。具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,在进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。
隔离模式要求安全联动设备必须支持动态ACL特性,能够实时应用安全策略服务器下发的ACL规格,并应用于用户连接。
警告模式
某些应用环境下,不需要根据用户终端的安全状态严格控制用户终端的访问权限,可以采用警告模式来处理不合格的安全状态,如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。
25