某鋼鐵鋼鐵端點(diǎn)準(zhǔn)入防御方案技術(shù)建議書V4.doc

某鋼鐵端點(diǎn)準(zhǔn)入防御方案技術(shù)建議書 目 錄1概述42ead端點(diǎn)準(zhǔn)入防御解決方案介紹52.1方案思路52.2方案組成部分52.2.1ead安全策略服務(wù)器62.2.2修復(fù)服務(wù)器72.2.3安全聯(lián)動(dòng)設(shè)備72.2.4安全客戶端73ead解決方案組網(wǎng)部署83.1多廠商設(shè)備混合組網(wǎng)部署（portal方式）9方案組網(wǎng)10組網(wǎng)設(shè)備10方案說明10流程說明11實(shí)施效果113.2接入層準(zhǔn)入控制組網(wǎng)部署（802.1x）11方案組網(wǎng)11組網(wǎng)設(shè)備12方案說明12流程說明13實(shí)施效果133.3ead應(yīng)用模式143.3.1隔離模式143.3.2guest模式143.3.3vip模式153.3.4下線模式154ead解決方案應(yīng)用模型及功能特點(diǎn)164.1端點(diǎn)準(zhǔn)入防御應(yīng)用模型164.1.1端點(diǎn)準(zhǔn)入防御應(yīng)用模型164.1.2端點(diǎn)準(zhǔn)入防御工作流程164.2端點(diǎn)準(zhǔn)入防御功能特點(diǎn)174.2.1安全狀態(tài)評估174.2.2用戶權(quán)限管理184.2.3用戶行為監(jiān)控184.3桌面資產(chǎn)管理應(yīng)用模型194.3.1桌面資產(chǎn)管理應(yīng)用模型194.4桌面資產(chǎn)管理功能特點(diǎn)204.4.1終端資產(chǎn)管理204.4.2軟件分發(fā)215系統(tǒng)參數(shù)及環(huán)境要求215.1ead系統(tǒng)技術(shù)參數(shù)215.2ead系統(tǒng)環(huán)境要求216附1：部署說明227附2：ead功能列表23第26頁, 共26頁1 概述某鋼鐵（集團(tuán)）有限責(zé)任公司（以下簡稱酒鋼）網(wǎng)絡(luò)信息化建設(shè)目前處于同行業(yè)領(lǐng)先水平，自動(dòng)化應(yīng)用程度高，信息平臺(tái)承載著erp、oa、mes等眾多系統(tǒng)，因此信息平臺(tái)成為企業(yè)正常經(jīng)營生產(chǎn)的基礎(chǔ)平臺(tái)之一。多年的系統(tǒng)運(yùn)維與建設(shè)，酒鋼信息化平臺(tái)已搭建得比較完善，但同時(shí)對安全管理方面提出了較高要求。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)以及對原有網(wǎng)絡(luò)進(jìn)行終端安全準(zhǔn)入的改造已經(jīng)成為酒鋼網(wǎng)絡(luò)建設(shè)的重中之重。目前酒鋼網(wǎng)絡(luò)中存在的典型問題歸納總結(jié)為以下幾大類：（1）終端時(shí)刻受到病毒和蠕蟲的威脅，存在安全隱患，更為嚴(yán)重的是由此觸發(fā)一系列問題擴(kuò)散全網(wǎng)，導(dǎo)致全網(wǎng)癱瘓、核心數(shù)據(jù)時(shí)刻受到安全威脅，一旦被攻擊，將為企業(yè)造成無法挽回的損失；（2）防護(hù)策略趕不上攻擊方式的更新，被動(dòng)式防御已不適應(yīng)企業(yè)的發(fā)展，主動(dòng)式保護(hù)的安全戰(zhàn)略勢在必行；（3）隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器，有意或無意的盜用ip地址情況嚴(yán)重；（4）網(wǎng)絡(luò)采用分散管理模式，終端難以保證其安全狀態(tài)符合企業(yè)安全策略，例如新的補(bǔ)丁發(fā)布了卻無人理會(huì)、新的病毒出現(xiàn)了卻不及時(shí)升級病毒庫的現(xiàn)象普遍存在，無法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。導(dǎo)致網(wǎng)絡(luò)接入層面管理失控。為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對網(wǎng)絡(luò)安全威脅，甘肅藍(lán)潮世訊通信科技有限責(zé)任公司提供了端點(diǎn)準(zhǔn)入防御（ead，endpoint admission defense）解決方案。該方案從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、系統(tǒng)補(bǔ)丁管理產(chǎn)品、資產(chǎn)管理產(chǎn)品、桌面管理產(chǎn)品的聯(lián)動(dòng)，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。ead在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略，對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級、系統(tǒng)補(bǔ)丁升級等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過動(dòng)態(tài)分配acl、vlan等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。ead同時(shí)具有資產(chǎn)管理、外設(shè)監(jiān)控、軟件分發(fā)等功能，提供了企業(yè)內(nèi)網(wǎng)pc集中管理運(yùn)維的方案，以高效率的管理手段和措施，協(xié)助企業(yè)it部門及時(shí)盤點(diǎn)內(nèi)網(wǎng)資產(chǎn)、掌控內(nèi)網(wǎng)資產(chǎn)變更情況。2 ead端點(diǎn)準(zhǔn)入防御解決方案介紹ead端點(diǎn)準(zhǔn)入防御方案包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應(yīng)的應(yīng)對措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。2.1 方案思路ead解決方案的實(shí)現(xiàn)思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶訪問網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對企業(yè)網(wǎng)絡(luò)帶來的危害。為達(dá)到以上目的，甘肅藍(lán)潮提出了包括檢查、隔離、修復(fù)、監(jiān)控的整體解決思路。1. 檢查：l 檢查網(wǎng)絡(luò)接入用戶的身份；l 檢查網(wǎng)絡(luò)接入用戶的訪問權(quán)限；l 檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；2. 隔離：l 隔離非法用戶終端和越權(quán)訪問；l 隔離存在重大安全問題或安全隱患的用戶終端；3. 修復(fù)：l 幫助存在安全問題或安全隱患的用戶終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；4. 監(jiān)控：l 實(shí)時(shí)監(jiān)控在線用戶的終端安全狀態(tài)，及時(shí)獲取終端安全信息；l 對非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全管理提供依據(jù)；l 通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。2.2 方案組成部分為了有效實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時(shí)還需要提供有效的技術(shù)手段，對用戶終端存在的安全問題進(jìn)行修復(fù)，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。ead解決方案的組成部分見下圖：圖1 ead解決方案組成部分如圖1所示，ead解決方案的基本部件包括ead安全策略服務(wù)器（ead服務(wù)器）、防病毒服務(wù)器、補(bǔ)丁服務(wù)器等修復(fù)服務(wù)器、安全聯(lián)動(dòng)設(shè)備和h3c安全客戶端，各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對網(wǎng)絡(luò)接入終端的安全準(zhǔn)入控制。2.2.1 ead安全策略服務(wù)器ead方案的核心是整合與聯(lián)動(dòng)，而ead安全策略服務(wù)器（imc ead服務(wù)器）是ead方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。l 安全策略管理。安全策略服務(wù)器定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。l 用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。l 安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與修復(fù)服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。2.2.2 修復(fù)服務(wù)器在ead方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進(jìn)行在線升級；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級。2.2.3 安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)或bas設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如802.1x或portal）的端點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪種認(rèn)證方式，安全聯(lián)動(dòng)設(shè)備均具有以下功能：l 強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。l 隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，目前可以通過動(dòng)態(tài)acl方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。l 提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的acl、vlan等。2.2.4 安全客戶端h3c客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實(shí)施的主體，其主要功能包括：l 提供802.1x、portal、vpn、無線等多種認(rèn)證方式，可以與交換機(jī)、bas網(wǎng)關(guān)等設(shè)備配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入控制。l 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安裝的軟件、已啟動(dòng)的服務(wù)等用戶終端信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒軟件產(chǎn)品客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到ead安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。l 安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級補(bǔ)丁和病毒庫）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。l 實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。l 監(jiān)控終端資產(chǎn)組成和變更情況，監(jiān)控的信息包括：邏輯磁盤、os登錄名、計(jì)算機(jī)名、ip地址、操作系統(tǒng)、屏保、分區(qū)信息、共享信息；cpu、內(nèi)存、主板、磁盤、網(wǎng)卡、光驅(qū)、bios；安裝/卸載軟件，包括程序名稱、程序版本、安裝日期；進(jìn)程列表、服務(wù)列表、磁盤可用空間、cpu使用頻率/時(shí)鐘頻率、內(nèi)存剩余空間、ip獲取方式等等，并按照分類以報(bào)表的形式展示，如果有軟硬件發(fā)生變化也將實(shí)時(shí)記錄。3 ead解決方案組網(wǎng)部署目前某鋼鐵的網(wǎng)絡(luò)，主要?jiǎng)澐譃闊Y(jié)區(qū)、煉鋼區(qū)、宏昌區(qū)、動(dòng)力區(qū)、交易區(qū)、辦公樓和生產(chǎn)指揮中心共七大區(qū)域，總共4500左右個(gè)接入點(diǎn)，大部分采用思科交換機(jī)，少量采用h3c交換機(jī)。其中燒結(jié)區(qū)、煉鋼區(qū)、宏昌區(qū)、動(dòng)力區(qū)、交易區(qū)均為思科接入設(shè)備匯聚到c6506，辦公區(qū)為h3c的接入交換機(jī)3026/3050c匯聚到思科45上，生產(chǎn)指揮中心為6臺(tái)3550接入到6509上。為了便于部署實(shí)施，且達(dá)到準(zhǔn)入控制的要求，經(jīng)過論證在燒結(jié)區(qū)等五個(gè)區(qū)域在匯聚的6506上旁掛ead網(wǎng)關(guān)，采取portal認(rèn)證的方式。由于翼鋼和榆鋼分別在蘭州和山西，為了解決這兩地的內(nèi)部準(zhǔn)入問題分別在他們的網(wǎng)絡(luò)旁掛ead網(wǎng)關(guān)（要求兩地的網(wǎng)絡(luò)設(shè)備支持策略路由）。對于生產(chǎn)指揮中心的六臺(tái)3550，在核心的一臺(tái)6509上旁掛一臺(tái)ead網(wǎng)關(guān)實(shí)現(xiàn)portal認(rèn)證，控制該區(qū)域的網(wǎng)絡(luò)準(zhǔn)入問題。在辦公大樓區(qū)域采取802.1x的認(rèn)證方式，解決網(wǎng)絡(luò)準(zhǔn)入控制。圖2 某鋼鐵網(wǎng)絡(luò)拓?fù)鋱D3.1 多廠商設(shè)備混合組網(wǎng)部署（portal方式）通常企業(yè)在建設(shè)自身的辦公網(wǎng)，滿足互聯(lián)互通的要求后，會(huì)逐漸意識(shí)在內(nèi)部網(wǎng)絡(luò)安全控制的必要性，尤其是內(nèi)網(wǎng)終端的安全問題，這時(shí)對于終端的安全準(zhǔn)入控制就顯得尤為重要。而這時(shí)的企業(yè)網(wǎng)絡(luò)通常為多廠商設(shè)備共存，很難單獨(dú)使用一家廠商的設(shè)備實(shí)施網(wǎng)絡(luò)的準(zhǔn)入控制，這種情況下，視網(wǎng)絡(luò)規(guī)模大小，我們推薦使用一臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證控制器，使用基于portal的認(rèn)證協(xié)議，與inode客戶端、安全策略服務(wù)器配合完成ead端點(diǎn)準(zhǔn)入防御。portal認(rèn)證是一種web方式的認(rèn)證，portal認(rèn)證同802.1x認(rèn)證相比，具有應(yīng)用簡單的優(yōu)勢。但在ead解決方案中，需要使用inode客戶端來進(jìn)行終端的安全狀態(tài)檢測和控制，因此在web認(rèn)證的基礎(chǔ)上，擴(kuò)展了portal協(xié)議，使之不僅能夠處理http協(xié)議，還可以控制其他協(xié)議的數(shù)據(jù)流，使ead解決方案也支持portal認(rèn)證方式下的端點(diǎn)準(zhǔn)入控制。方案組網(wǎng)圖3 網(wǎng)關(guān)型ead解決方案組網(wǎng)應(yīng)用組網(wǎng)設(shè)備l 在舊網(wǎng)改造中，可以使用msr、ar28、ar46、s7502e、s5500ei、iag作為企業(yè)的安全網(wǎng)關(guān)，支持portal認(rèn)證，并實(shí)施ead方案。方案說明n 使用ar46/28、msr、s7502e、s5500ei、iag設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開啟portal認(rèn)證功能。在用戶希望對原有網(wǎng)絡(luò)改動(dòng)最小的情況下，可以將s7502e旁掛在網(wǎng)絡(luò)出口或核心設(shè)備上，提供用戶接入控制功能。n ead服務(wù)器需要安裝portal認(rèn)證組件，在portal認(rèn)證頁面上，提供安全客戶端的下載鏈接。用戶可下載并安裝inode客戶端后，發(fā)起認(rèn)證請求。n 隔離區(qū)的設(shè)置、第三方服務(wù)器的設(shè)置、ead自助服務(wù)器和ead安全代理服務(wù)器的設(shè)置等信息同接入層準(zhǔn)入控制。流程說明在web認(rèn)證方式下，用戶的身份認(rèn)證、訪問控制和安全認(rèn)證流程同接入層準(zhǔn)入控制基本相同。區(qū)別在于：1. 用戶進(jìn)行網(wǎng)絡(luò)登錄認(rèn)證之前，可以訪問portal服務(wù)器等url。2. inode安全認(rèn)證客戶端可以在認(rèn)證前從portal認(rèn)證頁面下載并安裝。簡化了客戶端分發(fā)工作。實(shí)施效果1. 由于在網(wǎng)絡(luò)出口設(shè)備上部署了portal認(rèn)證，所有非授權(quán)用戶將不能隨意訪問網(wǎng)絡(luò)。2. 合法用戶通過身份認(rèn)證、安全認(rèn)證后，其訪問權(quán)限受認(rèn)證設(shè)備的acl控制。用戶的外部訪問權(quán)限受控。3. 通過安全認(rèn)證網(wǎng)關(guān)和策略服務(wù)器、客戶端配合，解決了網(wǎng)絡(luò)上多廠商設(shè)備共存的問題；其余同接入層準(zhǔn)入控制3.2 接入層準(zhǔn)入控制組網(wǎng)部署（802.1x）將接入層設(shè)備作為安全準(zhǔn)入控制點(diǎn)，對試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查，強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等安全威脅在企業(yè)擴(kuò)散的風(fēng)險(xiǎn)。方案組網(wǎng) 圖4 接入層ead解決方案組網(wǎng)應(yīng)用組網(wǎng)設(shè)備支持h3c s3000以上系列接入層交換機(jī)，主要型號(hào)包括：l s3050c，s3026e/c/g/t；l 3100ei，5100ei，l s3528p/g，s3526e，s3552g/p/f；l s3600系列（原對應(yīng)型號(hào)為s3900），s3610；l s5500si方案說明n 用戶終端必須安裝inode客戶端，在上網(wǎng)前首先要進(jìn)行802.1x和安全認(rèn)證，否則將不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源。其中，隔離區(qū)是指在s3600系列交換機(jī)中配置的一組acl，一般包括ead安全代理服務(wù)器、補(bǔ)丁服務(wù)器、防病毒服務(wù)器、dns、dhcp等服務(wù)器的ip地址。n 在接入交換機(jī)（s36系列交換機(jī)）中要部署802.1x認(rèn)證和安全認(rèn)證，強(qiáng)制進(jìn)行基于用戶的802.1x認(rèn)證和動(dòng)態(tài)acl、vlan控制。n ead服務(wù)器中配置用戶的服務(wù)策略、接入策略、安全策略，用戶進(jìn)行802.1x認(rèn)證時(shí)，由ead服務(wù)器驗(yàn)證用戶身份的合法性，并基于用戶角色（服務(wù)）向安全客戶端下發(fā)安全評估策略（如檢查病毒庫版本、補(bǔ)丁安裝情況等），完成身份和安全評估后，由ead服務(wù)器確定用戶的acl、vlan以及病毒監(jiān)控策略等。n ead安全代理服務(wù)器必須部署于隔離區(qū)，可以與ead自助服務(wù)器共用一臺(tái)主機(jī)。n 補(bǔ)丁服務(wù)器（可選）必須部署于隔離區(qū)，可以與ead安全代理共用一臺(tái)主機(jī)。n 防病毒服務(wù)器（可選）必須部署于隔離區(qū)，可以與補(bǔ)丁服務(wù)器、ead安全代理共用一臺(tái)主機(jī)，可以選擇mcafee防病毒、norton防病毒、趨勢防病毒、安博士防病毒、ca kill安全甲胄、瑞星殺毒軟件、金山毒霸以及江民kv防病毒軟件。流程說明ead方案可以依據(jù)角色對網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問權(quán)限。其原理性的流程如下：1. 用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證，確認(rèn)是合法用戶后，安全客戶端還要檢測病毒軟件和補(bǔ)丁安裝情況，上報(bào)ead。2. ead檢測補(bǔ)丁安裝、病毒庫版本等是否合格，如果合格進(jìn)入步驟7，如果不合格，進(jìn)入步驟3。3. ead通知接入設(shè)備（s36系列或其他支持ead解決方案的交換機(jī)），將該用戶的訪問權(quán)限限制到隔離區(qū)內(nèi)。此時(shí)，用戶只能訪問補(bǔ)丁服務(wù)器、防病毒服務(wù)器等安全資源，因此不會(huì)受到外部病毒和攻擊的威脅。4. 安全客戶端通知用戶進(jìn)行補(bǔ)丁和病毒庫的升級操作。5. 用戶升級完成后，可重新進(jìn)行安全認(rèn)證。如果合格則解除隔離，進(jìn)入步驟7。6. 如果用戶補(bǔ)丁升級不成功，用戶仍然無法訪問其他網(wǎng)絡(luò)資源，回到步驟47. 用戶可以正常訪問其他授權(quán)（acl、vlan）的網(wǎng)絡(luò)資源。實(shí)施效果1. 由于接入層交換機(jī)對端口部署了802.1x認(rèn)證，所有非法用戶將不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。并且認(rèn)證通過前，用戶終端之間無法實(shí)現(xiàn)互訪。2. 合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受s36系列交換機(jī)中的acl控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問。3. 合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受s36系列交換機(jī)中的vlan控制。不同角色的用戶分屬不同的vlan，跨vlan的用戶不能互訪（受組網(wǎng)方式限制）。4. 用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補(bǔ)丁得到及時(shí)升級。降低了病毒和遠(yuǎn)程攻擊對企業(yè)網(wǎng)帶來的安全風(fēng)險(xiǎn)。5. 通過使用inode客戶端，可對用戶的終端使用行為進(jìn)行嚴(yán)格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡、禁止撥號(hào)等。3.3 ead應(yīng)用模式ead解決方案對于每一種安全狀態(tài)的檢測，按照處理模式可分為隔離模式、vip模式、guest模式、下線模式。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補(bǔ)丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過guest模式進(jìn)行提醒。四種模式對于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對安全設(shè)備的要求也不相同。3.3.1 隔離模式對于一些關(guān)系比較重大的安全漏洞或補(bǔ)丁，如windows服務(wù)器的致命安全補(bǔ)丁，需要進(jìn)行比較嚴(yán)厲的控制。具體來說，就是一旦用戶終端安全狀態(tài)不合格，就限制其網(wǎng)絡(luò)訪問區(qū)域?yàn)楦綦x區(qū)，在進(jìn)行修復(fù)操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認(rèn)證，正常接入網(wǎng)絡(luò)。隔離模式要求安全聯(lián)動(dòng)設(shè)備必須支持動(dòng)態(tài)acl特性，能夠?qū)崟r(shí)應(yīng)用ead安全策略服務(wù)器下發(fā)的acl規(guī)格，并應(yīng)用于用戶連接。3.3.2 guest模式某些應(yīng)用環(huán)境下，不需要根據(jù)用戶終端的安全狀態(tài)嚴(yán)格控制用戶終端的訪問權(quán)限，比如訪客，可以采用guest模式來處理不合格的安全狀態(tài)，如對于安全等級略低一些的補(bǔ)丁可以采取這種方式。在guest模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項(xiàng)以彈出窗口的形式提供給終端用戶，同時(shí)提供修復(fù)指導(dǎo)和相關(guān)鏈接。用戶的網(wǎng)絡(luò)訪問權(quán)限不因終端安全狀態(tài)不合格而被更改。3.3.3 vip模式對于一些高級別的領(lǐng)導(dǎo)或網(wǎng)絡(luò)管理者，可以采取級別最低的vip模式。vip模式同guest模式的實(shí)現(xiàn)流程基本相同，區(qū)別在于vip模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項(xiàng)。網(wǎng)絡(luò)管理員可在ead安全策略服務(wù)器的管理界面中實(shí)時(shí)對用戶終端安全狀態(tài)進(jìn)行監(jiān)控，了解用戶終端的安全信息。一些相對普通的安全問題，如提示性的補(bǔ)丁安裝，可以在不影響終端用戶工作的情況下，由管理員進(jìn)行定期檢查并通告。guest模式和vip模式下，安全聯(lián)動(dòng)設(shè)備可以不需要支持動(dòng)態(tài)acl下發(fā)控制功能。3.3.4 下線模式下線模式實(shí)現(xiàn)流程與隔離模式相同，唯一的區(qū)別是對不安全的用戶采取直接下線的處理方式。主要與portal認(rèn)證相配合，實(shí)現(xiàn)網(wǎng)絡(luò)出口或是關(guān)鍵數(shù)據(jù)區(qū)域的認(rèn)證保護(hù)。也可以作為兼容第三方廠商設(shè)備的部署模式，配合接入交換機(jī)guest vlan功能實(shí)現(xiàn)對不安全用戶的隔離功能。下線模式也是目前友商相似方案的主要實(shí)現(xiàn)模式，ead支持下線模式可以增強(qiáng)方案對設(shè)備的兼容性。與cisco接入設(shè)備配合部署802.1x認(rèn)證方式下的ead解決方案，推薦使用下線模式。除上上述幾種策略處理方式以外，ead解決方案還支持細(xì)致到處一個(gè)策略的綜合控制方式，也就是通過以上幾種方式組合出符合您企業(yè)的策略：4 ead解決方案應(yīng)用模型及功能特點(diǎn)4.1 端點(diǎn)準(zhǔn)入防御應(yīng)用模型4.1.1 端點(diǎn)準(zhǔn)入防御應(yīng)用模型ead解決方案在準(zhǔn)入上主要是通過身份認(rèn)證和安全策略檢查的方式，對未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。圖5 ead解決方案安全準(zhǔn)入應(yīng)用模型圖4.1.2 端點(diǎn)準(zhǔn)入防御工作流程l 身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前ead解決方案支持802.1x、portal、vpn和無線認(rèn)證。l 安全檢查：身份認(rèn)證通過后進(jìn)行終端安全檢查，由ead安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫版本、軟件安裝等）是否合格。l 安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過acl策略限制在隔離區(qū)進(jìn)行安全修復(fù)。l 安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。l 動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過，則ead安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。l 實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向ead安全策略服務(wù)器上報(bào)安全事件，由ead安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。4.2 端點(diǎn)準(zhǔn)入防御功能特點(diǎn)4.2.1 安全狀態(tài)評估l 終端補(bǔ)丁檢測：評估客戶端的補(bǔ)丁安裝是否合格，可以檢測的補(bǔ)丁包括：操作系統(tǒng)(windows 2000/xp/2003等，不包括windows 98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。l 安全客戶端版本檢測：可以檢測安全客戶端inode client的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò)，同時(shí)支持客戶端自動(dòng)升級。l 安全狀態(tài)定時(shí)評估：安全客戶端可以定時(shí)檢測用戶安全狀態(tài)，防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。l 自動(dòng)補(bǔ)丁管理：提供與微軟wsus/sms（全稱：windows server update services/system management server）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。l 終端運(yùn)行狀態(tài)實(shí)時(shí)檢測：可以對上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。l 防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，ead定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。當(dāng)前支持的防病毒聯(lián)動(dòng)軟件有：瑞星、金山、江民、諾頓、趨勢、mcafee 、安博士、ca安全甲胄及vrv等。4.2.2 用戶權(quán)限管理l 強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入ip、mac（對用portal的方式不支持mac綁定）、接入設(shè)備ip、端口、vlan和電子證書等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全。l “危險(xiǎn)”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權(quán)限（通過acl隔離），使其只能訪問防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。l “危險(xiǎn)”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)（如感染不能殺除的病毒），ead可以在線隔離并通知用戶。l 軟件安裝和運(yùn)行檢測：檢測終端軟件的安裝和運(yùn)行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。l 支持匿名認(rèn)證：inode客戶端與ead服務(wù)器配合提供用戶匿名認(rèn)證功能，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。l 接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。l 限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。l 代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。4.2.3 用戶行為監(jiān)控l 終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級，病毒庫升級，補(bǔ)丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動(dòng)升級）。l 安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。l 安全日志審計(jì)：定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。l 強(qiáng)制用戶下線：管理員可以強(qiáng)制行為“可疑”的用戶下線。4.3 桌面資產(chǎn)管理應(yīng)用模型4.3.1 桌面資產(chǎn)管理應(yīng)用模型（注：radius服務(wù)器、安全策略服務(wù)器、dam服務(wù)器均由ead完成）l 身份驗(yàn)證及安全認(rèn)證：身份認(rèn)證和安全認(rèn)證不在資產(chǎn)管理流程中。這里提到，主要是在安全認(rèn)證成功之后，在ead交互報(bào)文中給出了dam（桌面資產(chǎn)管理，內(nèi)含于ead服務(wù)器）服務(wù)器的地址和端口；可選的，dam服務(wù)器的地址和端口，也可以采用inode客戶端管理中心定制指定；l 資產(chǎn)上線：資產(chǎn)上線分成幾種情況：1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號(hào)找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；2、客戶端注冊方式的新資產(chǎn)（該資產(chǎn)由管理員增加）上線：服務(wù)端要求客戶端輸入資產(chǎn)編號(hào)，客戶端提交后，服務(wù)端根據(jù)資產(chǎn)編號(hào)找到資產(chǎn)信息，發(fā)給客戶端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；3、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線：服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號(hào)；客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端根據(jù)客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端；客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認(rèn)報(bào)文給服務(wù)端；服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動(dòng)一個(gè)操作系統(tǒng)并上線成功后，在另一個(gè)操作系統(tǒng)下又發(fā)起上線請求；服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶端可以上線；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；l 資產(chǎn)信息上報(bào)：客戶端獲取本地資產(chǎn)信息，保存到本地，并上報(bào)給服務(wù)端；客戶端定期會(huì)掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時(shí)將資產(chǎn)變更信息上報(bào)給服務(wù)端；l usb使用信息上報(bào)：客戶端實(shí)時(shí)監(jiān)測usb插入情況，如果有usb插入、向usb中寫入文件、或者拔出usb，都會(huì)寫入文件；客戶端定期上報(bào)usb使用信息給服務(wù)端；l 軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù)；客戶端向服務(wù)端請求資產(chǎn)策略，服務(wù)端回應(yīng)同時(shí)，將分發(fā)任務(wù)下達(dá)給客戶端；客戶端連接到分發(fā)服務(wù)器進(jìn)行軟件下載；下載到本地之后可由用戶自行安裝，也可以自動(dòng)安裝；4.4 桌面資產(chǎn)管理功能特點(diǎn)4.4.1 終端資產(chǎn)管理l 資產(chǎn)編號(hào)處理：針對新資產(chǎn)，支持服務(wù)端自動(dòng)生成資產(chǎn)編號(hào)、也可管理員手工輸入，方式靈活，并豐富了管理手段；l 支持資產(chǎn)信息的增刪改：管理員可以增加、刪除、修改資產(chǎn)信息；l 支持資產(chǎn)分組管理：可靈活的將資產(chǎn)對應(yīng)到相應(yīng)分組中，便于管理；l 終端資產(chǎn)信息自動(dòng)上報(bào)：支持資產(chǎn)信息自動(dòng)上報(bào)；支持資產(chǎn)變更信息自動(dòng)上報(bào)；usb使用信息自動(dòng)上報(bào)；l 資產(chǎn)信息審計(jì)：可對軟硬件資產(chǎn)進(jìn)行查詢，支持按cpu、制造商、型號(hào)、操作系統(tǒng)等統(tǒng)計(jì)資產(chǎn)，便于管理員分類進(jìn)行企業(yè)資產(chǎn)盤點(diǎn)；l 資產(chǎn)變更審計(jì)：可針對資產(chǎn)變更信息進(jìn)行審計(jì)，審計(jì)內(nèi)容包含資產(chǎn)名、編號(hào)、變更類型、變更內(nèi)容、資產(chǎn)責(zé)任人、變更時(shí)間等；便于管理員及時(shí)掌握企業(yè)資產(chǎn)變動(dòng)情況；l 支持usb使用審計(jì)：支持usb使用的審計(jì)，審計(jì)內(nèi)容包括資產(chǎn)名、文件名、文件大小、操作時(shí)間等，幫助管理員追蹤定位非法用戶；l 支持禁用光驅(qū)、軟驅(qū)、紅外、藍(lán)牙、modem等外設(shè)：可以禁用usb存儲(chǔ)設(shè)備，光驅(qū)、軟驅(qū)、紅外、藍(lán)牙、modem、并口、串口等外設(shè)，防止關(guān)鍵機(jī)密信息外泄。4.4.2 軟件分發(fā)l 分發(fā)任務(wù)管理：支持軟件分發(fā)任務(wù)的增加，修改，查詢和刪除以及關(guān)閉功能；可以按資產(chǎn)分組、選中單個(gè)或者多個(gè)資產(chǎn)進(jìn)行資產(chǎn)批量分發(fā)；可以自定義分發(fā)操作的時(shí)間；支持http，ftp和文件共享三種方式的分發(fā)服務(wù)器的參數(shù)配置功能；l 軟件分發(fā)查詢：支持按照資產(chǎn)查詢軟件分發(fā)歷史；支持按照分發(fā)任務(wù)查詢每個(gè)資產(chǎn)的軟件分發(fā)狀態(tài)；l 軟件分發(fā)：支持http、ftp和文件共享等三種協(xié)議的軟件分發(fā)，軟件分發(fā)給終端之后，安裝的方式可以根據(jù)管理員指定好的策略進(jìn)行靜默安裝或者普通安裝。5 系統(tǒng)參數(shù)及環(huán)境要求5.1 ead系統(tǒng)技術(shù)參數(shù)l 網(wǎng)絡(luò)帶寬占用：用戶終端安全狀態(tài)信息 1k；l 并發(fā)連接數(shù)： ead應(yīng)用服務(wù)器可支持5000個(gè)并發(fā)連接；l 雙機(jī)備份：支持24小時(shí)主備數(shù)據(jù)自動(dòng)同步方案；5.2 ead系統(tǒng)環(huán)境要求l imc平臺(tái)服務(wù)器（最大管理500臺(tái)設(shè)備）屬性參數(shù)硬件平臺(tái)服務(wù)器端：pc服務(wù)器：xeon 2.4 g（及以上）、內(nèi)存2g（及以上）、硬盤80g（及以上）、48倍速光驅(qū)、100m網(wǎng)卡、顯卡支持分辯率1024*768、聲卡操作系統(tǒng)服務(wù)器：windows 2000 server/server 2003（簡體中文版）客戶端：windows xp/2000/vista（簡體中文版）瀏覽器：ie5.5及以上版本 、firefox1.5及以上版本數(shù)據(jù)庫sql server 2000 standard簡體中文版（sp4）sql server 2005 workgroup簡體中文版l ead安全策略服務(wù)器（最大管理5000用戶）屬性參數(shù)硬件平臺(tái)服務(wù)器端：處理器類型：intel xeon em64t或更好；處理器主頻：3.0ghz；處理器二級高速緩存： 2mb；處理器配置數(shù)目1；內(nèi)存 2g；硬盤容量144gb（raid 1）；陣列控制器/raid卡：配置雙通道ultra 320 scsi卡式陣列控制器或更好，緩存128mb；支持raid 0、1、1+0、5；網(wǎng)卡1塊10/100/1000mb自適應(yīng)以太網(wǎng)卡；操作系統(tǒng)服務(wù)器：windows 2000 server sp4/server 2003 sp1（簡體中文版）客戶端：windows xp/2000/vista（簡體中文版）瀏覽器：ie5.5及以上版本 、firefox1.5及以上版本數(shù)據(jù)庫sql server 2000 standard簡體中文版（sp4）sql server 2005 workgroup簡體中文版l inode客戶端：軟件環(huán)境：windows 2000/xp/2003/vista；硬件環(huán)境：cpu主頻800mhz以上、128m以上內(nèi)存。6 附1：部署說明portal網(wǎng)關(guān)設(shè)備性能：設(shè)備型號(hào)認(rèn)證性能說明s5500ei28c/pwr/28fportal512整機(jī)4000(一條規(guī)則占4條資源)52c/pwr-ei1024整機(jī)8000，每芯片4000，限制同上s7502eportal1500sc單板每板4000(一條規(guī)則占4條資源)，每板1.5k，整機(jī)上限3000(需將用戶平分到單板)酒鋼廠區(qū)pc終端數(shù)量分布：區(qū)域pc數(shù)量建議設(shè)備富余量a辦公406802.1x實(shí)現(xiàn)b燒結(jié)329500c煉鋼351500d動(dòng)力274500e宏昌4921000f交易中心8441500g指揮中心200500榆鋼500翼鋼500由此，交易區(qū)旁掛一臺(tái)s7502e，在宏昌區(qū)旁掛一臺(tái)s5500-52c-ei，在燒結(jié)區(qū)、煉鋼區(qū)、動(dòng)力區(qū)、生產(chǎn)指揮中心、翼鋼、榆鋼各旁掛六臺(tái)s5500-28c-ei。7 附2：ead功能列表網(wǎng)絡(luò)與安全統(tǒng)一管理拓?fù)浞绞街庇^顯示網(wǎng)絡(luò)設(shè)備及接入用戶，可通過拓?fù)湔莆杖W(wǎng)用戶安全狀態(tài)，直接對用戶進(jìn)行下線、在線檢查等操作終端補(bǔ)丁檢測能夠評估客戶端的補(bǔ)丁安裝是否合格，可以檢測的補(bǔ)丁包括：操作系統(tǒng)(windows 2000、xp、server2003等，不包括windows 98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁自動(dòng)補(bǔ)丁管理支持與微軟wsus/sms協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶安全認(rèn)證時(shí)，自動(dòng)檢查、下載、安裝補(bǔ)丁。與廠商防病毒聯(lián)動(dòng)支持與趨勢科技、瑞星、江民、金山、mcafee、symentec、ahn、北信源、ca、kill等廠商的防病毒軟件聯(lián)動(dòng)，支持安裝運(yùn)行狀態(tài)等的檢測病毒庫版本檢測支持檢測終端安裝的防病毒軟件和病毒庫的版本是否合格終端病毒感染狀態(tài)檢測用戶上網(wǎng)前的殺毒記錄，可以強(qiáng)制用戶在接入網(wǎng)絡(luò)前首先查殺病毒。arp網(wǎng)關(guān)綁定支持通過提供用戶網(wǎng)關(guān)ip、mac地址配置信息防止本地受到假冒網(wǎng)關(guān)方式的arp欺騙客戶端arp報(bào)文過濾客戶端可對于ip-mac不對應(yīng)的arp主動(dòng)進(jìn)行過濾，防止客戶端主機(jī)發(fā)起arp攻擊異常流量監(jiān)控支持根據(jù)流量監(jiān)控策略進(jìn)行流量監(jiān)控。可針對告警級別的不同對應(yīng)不同的處理軟件黑白名單控制支持檢測終端應(yīng)用程序、進(jìn)程的運(yùn)行狀態(tài)。可以限制接入網(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件；必須運(yùn)行或禁止運(yùn)行其中某些進(jìn)程。終端強(qiáng)制或提醒修復(fù)支持強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級，病毒庫升級，補(bǔ)丁安裝； 多種安全模式支持下線模式、guest模式、vip模式和隔離模式，以適應(yīng)不同客戶對安全準(zhǔn)入控制的不同要求。安全模式設(shè)置支持基于單一安全檢查項(xiàng)（防病毒軟件、軟件補(bǔ)丁、應(yīng)用軟件、進(jìn)程等）設(shè)置不同的安全模式用戶黑名單功能1、黑名單用戶接入限制管理：列入黑名單的用戶禁止接入網(wǎng)絡(luò)。2、支持手工加入和多次嘗試密碼失敗自動(dòng)劃入隔離區(qū)。3、黑名單增強(qiáng)功能：對于多次嘗試密碼用戶，只限制嘗試密碼所使用終端不能登錄，不限制其它終端登錄?；?02.1x的身份認(rèn)證和安全認(rèn)證支持多種認(rèn)證方式，如pap、chap、eap-md5、eap-tls和peap-chap v2認(rèn)證vpn遠(yuǎn)程登錄、無線接入身份認(rèn)證和安全認(rèn)證支持ipsec vpn接入用戶、無線接入用戶的身份認(rèn)證和安全認(rèn)證windows域統(tǒng)一認(rèn)證與支持802.1x、portal和windows域統(tǒng)一認(rèn)證，實(shí)現(xiàn)網(wǎng)絡(luò)登錄與域登錄的一次性認(rèn)證。安全證書認(rèn)證支持eap-tls認(rèn)證和peap-mschap v2認(rèn)證方式。與ldap服務(wù)器的同步認(rèn)證支持與第三方郵件或proxy系統(tǒng)（必須支持ldap協(xié)議）的統(tǒng)一認(rèn)