Noun | Explanation | 中文解释 |
EAD | End user Admission Domination | 终端准入控制 |
H3C iMC | H3C Intelligent Management Center | H3C开放智能管理中枢 |
ACL | Access Control List | 访问控制列表 |
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,H3C推出了终端准入控制(EAD,End user Admission Domination)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、桌面管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
EAD还引入了资产管理、软件分发、USB监控等功能,提供了企业内网PC集中管理运维的方案,以高效率的管理手段和措施,协助企业IT部门及时盘点内网资产、掌控内网资产变更情况。
EAD终端准入控制方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
目前EAD还引入的资产管理、软件分发、USB监控等功能,与之前的准入防御功能并没有交叉,下面分别介绍EAD解决方案的端点准入防御,资产管理,软件分发等功能。
图1 EAD解决方案端点准入防御应用模型图
图2 EAD安全准入流程图
①以太网源地址=发送端以太网地址=本机发包网卡的MAC地址
②发送端IP地址=本机发包网卡的IP地址
③在满足上面两条的前提下判断是否是ARP请求报文,如果是请求报文必须满足是广播报文。
①以太网源地址=发送端以太网地址。
如果iNode发现报文为非法ARP报文,那么将会对报文做丢弃处理。
EAD解决方案不仅能够对用户的端点准入安全进行管理,而且能够对用户网络中的资产进行管理和控制,其基本的功能包括:资产管理、软件分发。
桌面资产管理应用模型如下:
图3 桌面资产管理应用模型
桌面资产管理的应用流程如下图所示:
图4 桌面资产管理工作流程
身份验证及安全认证:EAD的桌面资产管理功能是与EAD的端点准入功能紧密结合的:在安全认证成功之后,服务器将DAM服务器的地址和端口下发给DAM客户端。作为另外一种选择,DAM服务器的地址和端口,也可以采用iNode客户端管理中心定制指定。
资产上线:资产上线分成几种情况:
1、已管理资产的上线:服务器根据客户端上传的资产编号找到资产记录即回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
2、客户端注册方式的新资产(该资产由管理员增加)上线:服务端要求客户端输入资产编号,客户端提交后,服务端根据资产编号找到资产信息,发给客户端确认,确认后服务端将该资产置为已管理状态,回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
3、服务器自动生成新资产方式的上线:服务端根据客户端上传的资产指纹信息生成新资产编号;客户端弹出资产信息录入界面并由用户录入,之后上传给服务端,服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
4、重装操作系统之后的客户端上线:服务端根据客户端传递过来的指纹信息找到已有的资产记录,之后回应资产信息给客户端;客户端用户确认服务器返回的资产信息与自己的资产相匹配,之后,客户端发送确认报文给服务端;服务端确认后将正在上线的资产与自身已有记录关联起来;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
5、安装了多操作系统的资产上线:用户启动一个操作系统并上线成功后,在另一个操作系统下又发起上线请求;服务端发现多操作系统情况,将只允许最后安装的操作系统的客户端可以上线;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
资产信息上报:客户端获取本地资产信息,保存到本地,并上报给服务端;客户端定期会扫描本地资产信息,如发现有变更,更新本地保存的资产文件,同时将资产变更信息上报给服务端。
USB使用信息上报:客户端实时监测USB插入情况,如果有USB插入、向USB中写入文件、或者拔出USB,都会写入文件,客户端定期上报USB使用信息给服务端。
软件分发:服务端为资产创建分发任务,客户端向服务端请求资产策略,服务端回应同时,将分发任务下达给客户端,客户端连接到分发服务器进行软件下载,下载到本地之后可由用户自行安装,也可以自动安装。
无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上,非授权或者非安全的客户一旦接入网络后,将会直接面对企业的核心服务器,威胁企业的核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。 在无线网络中,结合使用EAD解决方案,可以有效的满足园区网的无线安全准入的需求。
图5 无线EAD典型组网-Portal方式(使用独立无线控制器)
图6 无线EAD解决方案典型组网-Portal方式(使用无线控制器插卡)
1. FIT AP与无线控制器之间的连接可以使用二层连接,也可以使用三层连接。
2. 用户接入时需要使用Windows客户端接入无线网络,然后使用iNode进行Portal接入。
3. Portal接入控制方式使用二层Portal(汇聚交换机作为客户端网关)。
4. 在组网中,用户IP地址不发生变化的情况下,可以在AP之间漫游。
5. 基于用户身份的控制信息在AC上下发。
图7 无线用户认证流程-Portal认证方式
1. 无线用户接入企业网络,根据实际需要对无线链路的保护可以使用WPA-PSK,WPA2-PSK等多种方式。
2. 在客户端的报文发送到无线控制器后,解开LWAPP封装,并对客户端进行HTTP重定向。
3. 在无线控制器与iMC之间交互RADIUS报文,对接入用户进行身份认证。
4. 当Portal认证完成后,iMC向AC下发用户权限控制策略。此时用户被隔离在隔离区,等待安全认证。
5. iMC通知客户端身份认证成功,进行安全认证。
6. 客户端进行安全认证。
7. 通过安全认证后,对用户下发基于用户身份的安全控制策略。
1.在无线控制器上进行Portal认证,在无线用户通过身份认证之前,只能访问无线控制上指定的资源。
2.合法用户接入网络后,其访问权限受在无线控制器上下发的基于用户的ACL控制。特定的服务器只能由被授权的用户访问。
3.用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。
4.通过使用iNode客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡等。
5.如果在相同AC的AP间漫游时用户IP未发生变化,则无需再次进行用户身份认证。
在网络中部署无线EAD的典型组网,需要配置如下设备:
无线控制器:
H3C WX3024
H3C WX5002
H3C WX6103,H3C LSQM1WCMB0,H3C LSBM1WCM2A0
AP:
H3C WA2110-AG
H3C WA2210-AG
H3C WA2220-AG
H3C WA1208E
策略服务器:
H3C iMC/CAMS
认证客户端:
H3C iNode