EAD技术白皮书

EAD技术白皮书

关键词:EADCAMS,安全,准入,防病毒

    要:EAD是一项网络端点接入控制方案,它通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,加强网络终端主动防御能力,控制病毒蔓延。本文主要介绍了EAD方案的基本原理、技术特点和典型组网应用等。

缩略语:

缩略语

英文全名

中文解释

ACL

Access Control List

访问控制列表

BAS

Broad Access Server

宽带接入设备

CAMS

Comprehensive Access Management Server

综合接入管理服务器

EAD

Endpoint Admission Defense

端点准入防御

IAG

Intelligent Application Gateway

智能业务网关

L2TP

Layer2 Tunnel Protocol

二层隧道协议

QoS

Quality of Service

服务质量

VLAN

Virtual Local Area Network

虚拟局域网

VPN

Virtual Private Network

虚拟私有网络

 

 



概述

1.1  产生背景

随着网络技术的应用与发展,人们对信息网络的应用需求不断提升,对网络的依赖性也越强,伴随而来的信息安全威胁也在不断增加。网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。

在企业网中,新的安全威胁不断涌现,病毒日益肆虐。它们对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业蒙受严重损失。在企业网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。

目前,针对病毒的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒的威胁,存在严重不足,主要表现在以下几个方面。

l              被动防御,缺乏主动抵抗能力

在多数情况下,当一个终端受到感染时,病毒已经散布于整个网络。亡羊补牢的方法固然有效,但企业用户更多需要的是:在安全威胁尚未发生时就对网络进行监控和修补,使其能够自己抵御来自外部的侵害。而对网络管理员来说,目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成主动防御能力低下。

l              单点防御,对病毒的重复、交叉感染缺乏控制

目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。

l              分散管理,安全策略不统一,缺乏全局防御能力

只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁。

1.2  主要功能

为了解决现有安全防御体系中存在的不足,H3C公司推出了端点准入防御(EAD)解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及第三方服务器的联动,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒的攻击。其主要功能包括:

l              检查——检查用户终端的安全状态和防御能力

用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端,容易遭受外部攻击,属于“易感”终端;已感染病毒的终端,会对网络中的其他设施发起攻击,属于“危险”终端。EAD通过对终端安全状态的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时,配合不同方式的身份验证技术(802.1xVPNPortal等),可以确保接入终端的合法与安全。

l              隔离——隔离“危险”和“易感”终端

EAD方案中,系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源(称之为“隔离区”)。

l              修复——强制修复系统补丁、升级防病毒软件

EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后,EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级,配合防病毒服务器或补丁服务器,帮助用户完成手工或自动升级操作,达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后,用户终端将被取消隔离,可以正常访问网络。

l              管理与监控

集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施,需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。

1.3  技术特色

EAD端点准入方案提供了一个全新的安全防御体系,将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力,具有以下特点:

l              整合防病毒与网络接入控制,大幅提高安全性

EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。通过EAD的强制措施,可以保证用户终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。

l              支持多种认证方式,适用范围广

EAD支持802.1xVPNPortal等多种认证方式,具有广泛的适应性,可以根据应用场景的区别,选择合适的方式实施准入防御策略,分别从局域网接入、VPN接入、汇聚设备等不同层面确保网络的整体安全。

l              全面隔离“危险”终端

EAD方案中,对不符合企业安全策略的用户终端进行隔离时,可以配合设备采用VLANACL隔离的方式,以达到物理或网络隔离的效果,实现对“危险”终端的全面隔离。

l              灵活、方便的部署与维护

EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。EAD可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)、隔离模式和下线模式(对不合格用户进行下线处理)以适应用户对安全准入控制的不同要求。

l              详细的安全事件日志与审计

EAD对网络中的用户上网过程、安全状态、病毒查杀事件等信息提供详细的日志记录,方便管理员全面掌握全网用户终端的安全防御能力和病毒入侵情况。

l              专业防病毒厂商的合作

EAD是一个整合方案,其防病毒功能的实现由第三方厂商完成,目前支持EAD方案的厂商包括了市场上主流的病毒厂商。通过EAD的联动,防病毒软件的价值得到提升,从单点防御转化为整体防御。

l              具有策略实施功能,方便企业实施组织级安全策略

EAD除了能够检测用户终端的安全防御状态外,还可以帮助管理员设置终端的安全策略,以达到企业级安全策略统一实施的目的。

l              可扩展的安全解决方案,有效保护投资

EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和防病毒软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的。

1.4  应用场景

EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,可以配合H3C的交换机、路由器、VPN网关、SecPath IAG等网络设备,实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的端点防御。EAD可以为以下应用场景提供安全防护解决方案:

l              局域网接入安全防护

在企业网内部,接入终端一般是通过交换机接入企业网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网络,EAD可以通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估,帮助管理员实施企业安全策略,确保终端病毒库和系统补丁得到及时更新,降低病毒蔓延的风险,阻止来自企业内部的安全威胁。

l              无线接入安全防护

WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易感染病毒和木马或出现长期不更新系统补丁的现象。与局域网接入防护类似,对于这种无线接入的用户,EAD也可以在交换机配合下,通过标准的802.1x方式,对用户的身份和安全状态进行认证与评估,防止外来病毒对网络的攻击。

l              VPN接入安全防护

一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。远程接入的用户由于其来源的复杂性,往往会给企业网络带来严重的安全隐患。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,安装最新的病毒库和系统补丁。对于没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。

l              关键数据保护

EAD的安全防护层次不仅仅限于用户接入控制,某些企业可能更关心对于核心数据区域(比如数据中心、ERP服务器区等)的安全保护。通过在关键数据区的入口添加安全联动网关设备,EAD可以强制所有访问关键数据区的用户进行Portal认证和安全状态检查,确保用户访问关键数据时不会无意中因病毒对其产生破坏。这种保护方式也可以阻止外部用户对企业敏感数据的非法访问和攻击。

l              企业入口安全防护

大型企业往往拥有分支或下属机构,分支机构可以通过专线或WAN连接企业总部。某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在企业入口增加安全网关设备来实施EAD准入认证,强制接入用户进行Portal认证和安全状态检查。

l              企业出口安全防护

在某些管理和监控较为严格的企业,用户终端在企业网内部访问时,受到的安全威胁相对较小。但当用户试图访问外部网络时,其受到非法攻击和病毒感染的几率则要成倍增加,如果用户在访问外网时没有及时安装补丁或升级病毒库,则其系统中存在的漏洞将很可能成为外部攻击的目标,甚至成为攻击企业内部网络的“帮凶”。EAD可以在企业出口部署EAD功能的设备强制用户进行Portal认证和安全状态检查,确保用户访问外网时具有符合企业标准的攻击防御能力。

EAD技术实现

2.1  组成结构

EAD端点准入防御方案是一个整合方案,其基本部件包括安全客户端、安全联动设备、安全策略服务器以及防病毒服务器、补丁服务器等第三方服务器。EAD方案中的各部件各司其职,由安全策略中心协调与整合各功能部件,共同完成对网络接入终端的安全状态评估、隔离与修复,提升网络的整体防御能力。

图1 EAD组网示意图

2.1.1  安全客户端

安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:

l              支持802.1xPortalVPN等多种认证方式,可以与H3C的交换机、路由器、VPN网关、SecPath IAG配合实现接入层、汇聚层以及VPN的端点准入控制。

l              检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。

l              安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。

l              实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。

2.1.2  安全策略服务器

EAD方案的核心是整合与联动,其中的安全策略服务器是EAD方案中的管理与控制中心,它作为一个软件的集合可运行在WindowsLinux平台下,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

l              安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列措施,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。

l              用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。

l              安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。

l              日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。

2.1.3  安全联动设备

安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是H3C的交换机、路由器、VPN网关或SecPath IAG,分别实现不同认证方式(如802.1xVPNPortal等)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:

l              强制网络接入终端进行身份认证和安全状态评估。

l              隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,可以通过VLANACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。

l              提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的QoSACLVLAN等。

2.1.4  第三方服务器

EAD方案中,第三方服务器是指处于隔离区中,用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。

2.2  基本原理

EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器、SecPath IAG)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原理如2所示。

图2 EAD基本原理

(1)        用户终端试图接入网络时,首先通过安全客户端由安全联动设备和安全策略服务器配合进行用户身份认证,非法用户将被拒绝接入网络。

(2)        安全策略服务器对合法用户下发安全策略,并要求合法用户进行安全状态认证。

(3)        由客户端的第三方桌面管理系统协同安全策略服务器对合法终端的补丁版本、病毒库版本等进行检测。之后,安全客户端将安全策略检查的结果上报安全策略服务器。

(4)        安全策略服务器根据检查结果控制用户的访问权限。

l              安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。

l              安全状态不合格用户将被安全联动设备隔离到隔离区。进入隔离区的用户可以进行系统的修复和补丁、病毒库的升级,直到安全状态合格。

安全认证通过之后在安全策略服务器的配合下可以对合法终端进行安全修复和管理工作,主要包括心跳机制、实时监控及监控发现异常后的处理。

EAD的主要功能和基本原理可以看出,EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒和新兴安全威胁的整体防御能力。

典型组网应用

3.1  802.1x接入组网方案

图3 802.1x接入组网方案

由安全联动接入网关完成基于802.1x的接入控制,进行用户网络访问的通断控制,由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。通过第三方服务器与安全客户端的联动实现客户端的自动升级管理,可以增强企业内部用户终端系统的安全性。另外,802.1x接入与CAMS配合可以支持丰富的ACL授权和VLAN授权信息的下发功能,以及用户接入端口、IP地址的绑定等功能,实现更细粒度地控制用户访问。这种组网方案对不符合安全策略的用户严格隔离,可以有效防止来自企业网络内部的安全威胁。

3.2  VPN接入组网方案

图4 VPN接入组网方案

由安全联动VPN网关结合L2TP认证方式完成对远端用户的接入控制,由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。该EAD方案中,VPN客户端通过向安全联动VPN网关发起并建立VPN连接,为远端的移动办公人员、驻外机构、合作伙伴与企业内部网络之间建立了可靠的安全连接。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,安装最新的病毒库和系统补丁。对于没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限,保证了VPN数据传输的安全性。这种组网方案可以防止来源复杂的远程用户访问企业内网时带来的安全隐患。

3.3  Portal接入组网方案

图5 Portal接入组网方案

由安全联动网关结合Portal认证方式在汇聚层实现对网络用户的端点准入控制,由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。由于EAD的安全防护层次不仅仅限于用户接入控制,某些企业可能更关心对于核心数据区域的安全保护。通过在保护区域的入口添加安全联动设备,EAD可以强制所有访问关键数据区的用户进行Portal认证和安全状态检查,确保用户访问关键数据时不会因自身感染的病毒对其产生破坏。类似的原因,这种组网方案也可以应用于企业网络出口、分支机构入口等多种应用场景,因此具有较广的适应性。

参考文献

RFC 2865Remote Authentication Dial In User Service (RADIUS)

 

 

 

Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

附件下载

联系我们