端点准入防御解决方案

 

1、概述

在互联网技术的发展应用过程中，伴随着网络应用软硬件技术的快速发展，网络信息安全问题日益严重，新的安全威胁不断涌现，网络治理员不得不面对病毒泛滥、软件漏洞、黑客攻击等诸多网络安全问题。当前，计算机病毒的感染率高达89.73%，种类繁多、传播迅速；软件系统中的漏洞也不断被发现，成为病毒、黑客新的攻击点；成为一名黑客也不再是一件困难的事情--世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。

网络安全问题的解决，三分靠技术，七分靠治理，严格治理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段治理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、使用网络治理员禁止使用的软件等行为在企业网中也比比皆是。治理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。

如何有效治理企业网络安全，确保企业网络安全是每一个网络治理员不得不面对的挑战。但现有技术、产品对于网络安全问题的解决，通常是被动防御，事后补救。

为了解决现有网络安全治理中存在的不足，应对网络安全威胁，华为3Com公司推出了端点准入防御（EAD）解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。

2、EAD简介

2.1、原理

EAD解决方案提供企业网络安全治理的平台，通过整合孤立的单点防御系统，加强对用户的集中治理，统一实施企业网络安全策略，提高网络终端的主动反抗能力。其基本原理图如下：

EAD基本原理

EAD系统由四部分组成，具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。

安全策略服务器是EAD方案中的治理与控制中心，是EAD解决方案的核心组成部分，实现用户治理、安全策略治理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的CAMS产品实现了安全策略服务器的功能，该系统在全面治理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可具体记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。

安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略 。

安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入治理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。

第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能集成至EAD解决方案种，实现安全产品功能的整合。

EAD原理图示意了应用EAD系统实现终端安全准入的流程：

l         用户终端试图接入网络时，首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证，非法用户将被拒绝接入网络

l         合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区

l         进入隔离区的用户可以根据企业网络安全策略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合企业网络安全策略

l         安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务

2.2、功能特点

l         完备的安全状态评估

用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能正常访问网络

l         实时的“危险”用户隔离

系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，假如不符合治理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。

l         基于角色的网络服务

在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配置的安全策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由治理员统一治理，并实时应用实施。

l         可扩展的、开放的安全解决方案

EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。

EAD也是一个开放的解决方案。EAD系统中，安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。

l         灵活、方便的部署与维护

EAD方案部署灵活，维护方便，可以按照网络治理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。

3、EAD应用场景

EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，可以配合交换机、路由器、VPN网关等网络设备，实现对局域网接入、无线接入、VPN接入、要害区域访问等多种组网方式的安全防护。可以为多种应用场合提供安全保护，具体包括：

l         局域网安全防护

在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。

l         无线接入网络的安全防护

WLAN接入的用户终端具有漫游性，经常脱离企业网络治理员的监控，轻易感染病毒和木马或出现长期不更新系统补丁的现象，给网络带来安全隐患。与局域网接入防护类似，对于这种无线接入的用户，EAD也可以在交换机配合下，通过实现用户接入终端的安全控制，实现用户网络的安全保护。

l         VPN接入网络的安全防护

一些企业和机构答应移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装EAD安全客户端的远程用户，治理员可以选择拒绝其访问内部网络或限制其访问权限。

l         企业要害数据保护

对于接入网络的用户终端，其访问权限受EAD下发的安全策略控制，其对企业要害数据服务器的访问也因此受控。同时由于可访问该数据服务器的用户均通过EAD的安全状态检查，避免数据遭受非法访问和攻击。

l         网络入口安全防护

大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器中实施EAD准入认证。

4、结论

EAD提供了一个全新的安全防御体系，该系统作为网络安全治理的平台，将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为治理功能相融合，加强了对用户终端的集中治理，提高了网络终端的主动反抗能力。在EAD平台的基础上，可轻松构建让企业治理者、网络用户和网络治理员均放心的安全网络。通过对网络接入终端的检查、隔离、修复、治理和监控，有效治理网络安全，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散治理为集中策略治理，让网络拥有“自动免疫”的安全机能。