EAD端點(diǎn)準(zhǔn)入防御解決方案

EAD端點(diǎn)準(zhǔn)入防衛(wèi)解決方案

伴隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息平安問題也日益突出。病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，已經(jīng)干脆影響到企業(yè)的正常運(yùn)營。如何應(yīng)對網(wǎng)絡(luò)平安威逼，確保企業(yè)網(wǎng)絡(luò)平安，為企業(yè)運(yùn)營供應(yīng)牢靠的網(wǎng)絡(luò)保障，已經(jīng)是每一個(gè)企業(yè)決策者不得不關(guān)注得問題，也是每一個(gè)網(wǎng)絡(luò)管理員不得不面對得挑戰(zhàn)。目前，多數(shù)網(wǎng)絡(luò)平安事務(wù)都是由脆弱的用戶終端和“失控”的網(wǎng)絡(luò)運(yùn)用行為引起。在企業(yè)網(wǎng)中，用戶終端不剛好升級系統(tǒng)補(bǔ)丁和病毒庫的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件等行為也比比皆是?！笆Э亍钡挠脩艚K端一旦接入網(wǎng)絡(luò)，就等于給潛在的平安威逼放開了大門，使平安威逼在更大范圍內(nèi)快速擴(kuò)散。保證用戶終端的平安、阻擋威逼入侵網(wǎng)絡(luò)，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的限制，是保證企業(yè)網(wǎng)絡(luò)平安運(yùn)行的前提，也是目前企業(yè)網(wǎng)絡(luò)平安管理急需解決的問題。傳統(tǒng)的網(wǎng)絡(luò)平安產(chǎn)品對于網(wǎng)絡(luò)平安問題的解決，通常是被動防衛(wèi)，事后補(bǔ)救。華為3Com端點(diǎn)準(zhǔn)入防衛(wèi)（EAD，EndpointAdmissionDefense）解決方案則從用戶終端準(zhǔn)入限制入手，整合網(wǎng)絡(luò)接入限制與終端平安產(chǎn)品，通過平安客戶端、平安策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)平安策略，嚴(yán)格限制終端用戶的網(wǎng)絡(luò)運(yùn)用行為，可以加強(qiáng)用戶終端的主動防衛(wèi)實(shí)力，大幅度提高網(wǎng)絡(luò)平安。

方案概述EAD解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的平安狀態(tài)，并依據(jù)對用戶終端平安狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入限制策略，對不符合企業(yè)平安標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防衛(wèi)實(shí)力并平安接入的前提下，合理限制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的平安防衛(wèi)實(shí)力。系統(tǒng)應(yīng)用示意圖如下所示：

功能特點(diǎn)

完備的平安狀態(tài)評估用戶終端的平安狀態(tài)是指操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫版本等反映終端防衛(wèi)實(shí)力的狀態(tài)信息。EAD通過對終端平安狀態(tài)進(jìn)行評估，使得只有符合企業(yè)平安標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問網(wǎng)絡(luò)。

實(shí)時(shí)的“危急”用戶隔離系統(tǒng)補(bǔ)丁、病毒庫版本不剛好更新的用戶終端，假如不符合管理員設(shè)定的企業(yè)平安策略，將被限制訪問權(quán)限，只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。用戶上網(wǎng)過程中，假如終端發(fā)生感染病毒等平安事務(wù)，EAD系統(tǒng)可實(shí)時(shí)隔離該“危急”終端。

基于角色的網(wǎng)絡(luò)服務(wù)在用戶終端在通過病毒、補(bǔ)丁等平安信息檢查后，EAD可基于終端用戶的角色，向平安客戶端下發(fā)系統(tǒng)配置的接入限制策略，依據(jù)用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)運(yùn)用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止運(yùn)用代理、是否禁止運(yùn)用雙網(wǎng)卡等平安措施均可由管理員統(tǒng)一管理，并實(shí)時(shí)應(yīng)用實(shí)施。

可擴(kuò)展的、開放的平安解決方案EAD是一個(gè)可擴(kuò)展的平安解決方案，對現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中，只需對網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡潔升級，即可實(shí)現(xiàn)接入限制和防病毒的聯(lián)動，達(dá)到端點(diǎn)準(zhǔn)入限制的目的，有效愛護(hù)用戶的網(wǎng)絡(luò)投資。EAD也是一個(gè)開放的平安解決方案。EAD系統(tǒng)中，平安策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方服務(wù)器的交互都基于開放、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面，目前EAD系統(tǒng)已與諾頓、McAFee、趨勢、CA、瑞星、金山、江民等多家主流防病毒廠商的產(chǎn)品實(shí)現(xiàn)聯(lián)動。

敏捷、便利的部署與維護(hù)EAD方案部署敏捷，維護(hù)便利，可以依據(jù)網(wǎng)絡(luò)管理員的要求區(qū)分對待不同身份的用戶，定制不同的平安檢查和隔離級別。EAD可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提示）、提示模式（只做修復(fù)提示，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對平安準(zhǔn)入限制的不同要求。方案部件EAD是一個(gè)整合與聯(lián)動的平安解決方案，主要部件包括平安策略服務(wù)器、平安客戶端、平安聯(lián)動設(shè)備和第三方服務(wù)器。

平安策略服務(wù)器EAD方案中的用戶管理與策略限制中心，實(shí)現(xiàn)用戶管理、平安策略管理、平安狀態(tài)評估、平安聯(lián)動限制以及平安事務(wù)審計(jì)等功能，是EAD解決方案的核心部件。華為3Com公司的CAMS產(chǎn)品作為平安策略服務(wù)器，可以在全面管理網(wǎng)絡(luò)用戶信息的基礎(chǔ)上，實(shí)現(xiàn)對網(wǎng)絡(luò)用戶的身份認(rèn)證和接入終端的平安認(rèn)證，并通過與網(wǎng)絡(luò)設(shè)備的聯(lián)動限制用戶網(wǎng)絡(luò)訪問行為。同時(shí)，該系統(tǒng)具體記錄了用戶上網(wǎng)信息和平安事務(wù)信息，可以便利地跟蹤審計(jì)用戶上網(wǎng)行為和平安事務(wù)。

平安客戶端安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進(jìn)行身份認(rèn)證、平安狀態(tài)評估以及平安策略實(shí)施的代理。平安客戶端可依據(jù)企業(yè)平安策略的要求，集成第三方廠商的平安產(chǎn)品插件，供應(yīng)豐富的身份認(rèn)證方式、實(shí)施基于角色的平安策略。

平安聯(lián)動設(shè)備企業(yè)網(wǎng)絡(luò)中平安策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶供應(yīng)差異化服務(wù)的作用。華為3Com系列交換機(jī)、路由器、平安網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備，可以通過標(biāo)準(zhǔn)的協(xié)議與CAMS平安策略服務(wù)器的聯(lián)動，在不同的應(yīng)用場景實(shí)現(xiàn)對用戶的準(zhǔn)入限制。

第三方服務(wù)器第三方服務(wù)器是指病毒服務(wù)器、補(bǔ)丁服務(wù)器等網(wǎng)絡(luò)平安產(chǎn)品。通過平安客戶端的代理插件以及平安策略服務(wù)器的策略限制，第三方平安產(chǎn)品可以集成至EAD解決方案中，實(shí)現(xiàn)不同層面平安功能的聯(lián)動與融合。典型組網(wǎng)應(yīng)用

局域網(wǎng)平安防護(hù)在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過交換機(jī)接入企業(yè)網(wǎng)絡(luò)，EAD通過與接入層交換機(jī)的聯(lián)動，強(qiáng)制檢查用戶終端的病毒庫和系統(tǒng)補(bǔ)丁信息，降低病毒和蠕蟲擴(kuò)散的風(fēng)險(xiǎn)，同時(shí)強(qiáng)制實(shí)施網(wǎng)絡(luò)接入用戶的平安策略，阻擋來自企業(yè)內(nèi)部的平安威逼。

VPN接入網(wǎng)絡(luò)的平安防護(hù)很多企業(yè)和機(jī)構(gòu)允許移動辦公員工或外部合作人員通過VPN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)。EAD方案可以通過VPN網(wǎng)關(guān)確保遠(yuǎn)程接入用戶在進(jìn)入企業(yè)內(nèi)部網(wǎng)之前，檢查用戶終端的平安狀態(tài)，并在用戶認(rèn)證通過后實(shí)施企業(yè)平安策略。對于沒有安裝EAD平安客戶端的遠(yuǎn)程用戶，管理員可以選擇拒絕其訪問內(nèi)部網(wǎng)絡(luò)或限制其訪問權(quán)限。

企業(yè)關(guān)鍵數(shù)據(jù)愛護(hù)接入網(wǎng)絡(luò)的用戶終端的訪問權(quán)限受EAD下發(fā)的平安策略限制，對企業(yè)關(guān)鍵數(shù)據(jù)服務(wù)器的訪問也因此受到愛護(hù)。在EAD的限制下，訪問企業(yè)關(guān)鍵數(shù)據(jù)的用戶須要通過身份驗(yàn)證和平安狀態(tài)檢查，可以避開企業(yè)敏感信息遭遇非法訪問和惡意攻擊。

網(wǎng)絡(luò)入口平安防護(hù)大型企業(yè)往往擁有分支機(jī)構(gòu)或合作伙伴，其分