H3C推出的終端準(zhǔn)入控制解決方案(EAD)提供了一個(gè)全新的、開(kāi)放的安全防御體系架構(gòu),為客戶帶來(lái)完整的終端安全和控制方案。作為國(guó)內(nèi)網(wǎng)絡(luò)產(chǎn)品解決方案的主要提供商之一,H3C在自身辦公環(huán)境中首先應(yīng)用了自己開(kāi)發(fā)并擁有獨(dú)立知識(shí)產(chǎn)權(quán)的EAD解決方案,在企業(yè)網(wǎng)內(nèi)部安全控制和信息安全防范方面取得了較為顯著的成效。
案例規(guī)模
共6000個(gè)信息點(diǎn)
管理需求
- 提供多種接入方式。不管是局域網(wǎng)還是廣域網(wǎng)、VPN和無(wú)線,都能夠?qū)尤氲挠脩暨M(jìn)行身份認(rèn)證和安全狀態(tài)控制。
- 身份認(rèn)證。對(duì)登錄網(wǎng)絡(luò)用戶進(jìn)行唯一性身份認(rèn)證,實(shí)現(xiàn)一個(gè)用戶帳號(hào)對(duì)應(yīng)一臺(tái)或者多臺(tái)計(jì)算機(jī),且與接入公司資產(chǎn)相綁定;
- 信息安全。避免外來(lái)計(jì)算機(jī)隨意接入涉密內(nèi)部辦公網(wǎng)絡(luò),杜絕帳戶盜用、PC機(jī)盜用、MAC地址仿冒等。
- 與Norton殺毒聯(lián)動(dòng)。保證接入網(wǎng)絡(luò)的用戶終端沒(méi)有感染病毒,且病毒庫(kù)得到及時(shí)更新。
- 軟件黑白名單。規(guī)范接入網(wǎng)絡(luò)的終端必須安裝、運(yùn)行某些特定管理軟件和防病毒客戶端軟件等。
- 訪問(wèn)權(quán)限。員工需要按照所屬部門(mén)、角色劃分工作和業(yè)務(wù)訪問(wèn)權(quán)限,不同的角色有不同的權(quán)利和責(zé)任。對(duì)于已經(jīng)接入網(wǎng)絡(luò)的用戶,需要規(guī)范用戶的網(wǎng)絡(luò)行為,不同崗位的員工,其網(wǎng)絡(luò)訪問(wèn)權(quán)限必須明確區(qū)分,嚴(yán)格控制。認(rèn)證可以與公司統(tǒng)一的域控制器相融合,達(dá)到單點(diǎn)登錄到域就可訪問(wèn)所有受限資源的目的。
- 日志審計(jì)。提供終端訪問(wèn)網(wǎng)絡(luò)的詳細(xì)上網(wǎng)日志信息和強(qiáng)大的管理查詢功能,便于管理員定位問(wèn)題和跟蹤終端訪問(wèn)明細(xì)。
解決方案實(shí)施
針對(duì)H3C對(duì)于終端的安全防護(hù)和實(shí)際組網(wǎng)規(guī)劃需求,EAD解決方案的綜合組網(wǎng)如下圖所示:全網(wǎng)在終端接入層交換機(jī)(具體設(shè)備型號(hào)見(jiàn)上圖示例)啟用802.1X議認(rèn)證,客戶端PC安裝iNode智能客戶端(以下簡(jiǎn)稱iNode客戶端)以及WSUS補(bǔ)丁管理插件,配合事先部署的Norton防病毒客戶端;“隔離”服務(wù)器區(qū)分別放置了DHCP Server、微軟AD域控制器和WSUS補(bǔ)丁服務(wù)器、Norton防病毒服務(wù)器等。
H3C北研所的辦公網(wǎng)絡(luò)拓?fù)涫疽鈭D如下:
應(yīng)用效果
- 用戶身份管理及安全控制策略
為了嚴(yán)格控制用戶的網(wǎng)絡(luò)接入,北京研發(fā)部門(mén)和各地辦事處在接入層設(shè)備處啟用802.1X證,杭州基地則在網(wǎng)關(guān)處啟用Portal認(rèn)證,并且采用用戶名/密碼/多MAC地址綁定的身份驗(yàn)證策略,有效限制了用戶訪問(wèn)網(wǎng)絡(luò)的區(qū)域,并堅(jiān)決杜絕了外來(lái)和未授權(quán)用戶非法使用網(wǎng)絡(luò);通過(guò)EAD策略服務(wù)器系統(tǒng)負(fù)責(zé)同步AD域控制器中的用戶信息,由管理員審核后方可開(kāi)通權(quán)限。用戶終端通過(guò)DHCP動(dòng)態(tài)獲取IP地址上網(wǎng),設(shè)置接入安全策略為僅限H3C iNode智能客戶端方可認(rèn)證,并限制禁止終端用戶私自修改MAC地址和網(wǎng)卡的IP地址必須使用DHCP動(dòng)態(tài)獲取方式,有效地防止了外來(lái)計(jì)算機(jī)入侵、MAC仿冒盜用帳號(hào)和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生。
- 終端安全管理
H3C企業(yè)內(nèi)部網(wǎng)使用的防病毒軟件是Symantec的Norton Antivirus企業(yè)版防病毒軟件,為了保證防病毒客戶端的正常運(yùn)行,iNode客戶端在用戶每次登錄網(wǎng)絡(luò)時(shí),都需要檢查殺毒客戶端是否正常啟動(dòng)、運(yùn)行并且強(qiáng)制檢查防病毒軟件的版本和病毒庫(kù)版本,一旦用戶的終端在訪問(wèn)網(wǎng)絡(luò)時(shí)出現(xiàn)染毒或者Norton防病毒客戶端運(yùn)行異常,iNode客戶端會(huì)立即上報(bào)給安全策略服務(wù)器,用戶終端會(huì)立即收到修復(fù)通知并被聯(lián)動(dòng)接入設(shè)備隔離到“隔離區(qū)”,防止帶毒或者“易感”的終端接入網(wǎng)絡(luò)誘發(fā)安全問(wèn)題。
針對(duì)終端要求必須安裝和運(yùn)行的特定軟件,管理員可以設(shè)置軟件黑白名單,認(rèn)證并實(shí)時(shí)檢查此類(lèi)軟件的安裝運(yùn)行情況,如果有違規(guī)即刻被限制訪問(wèn)隔離區(qū)甚至直接斷開(kāi)終端網(wǎng)絡(luò)連接。
- 員工終端訪問(wèn)權(quán)限控制
員工認(rèn)證通過(guò)后,根據(jù)用戶身份和所屬部門(mén),EAD方案將用戶劃分為不同的策略組(如研發(fā)類(lèi),非研發(fā)類(lèi),會(huì)議室,外來(lái)人員及臨時(shí)帳號(hào)等),將其劃分入不同的VLAN,并且授予用戶相應(yīng)的ACL訪問(wèn)權(quán)限,有效防止越權(quán)訪問(wèn)資源的發(fā)生。
與Windows AD域控制機(jī)制結(jié)合,采用成熟的802.1X與Windows域統(tǒng)一認(rèn)證技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)接入和Windows域的單點(diǎn)統(tǒng)一登錄,使得用戶在登錄Windows時(shí)僅需輸入一次用戶名密碼即可獲得相應(yīng)的受控訪問(wèn)權(quán)限,方便了使用和業(yè)務(wù)流程整合。
EAD安全策略服務(wù)器與智能客戶端配合可以對(duì)各種外聯(lián)或代理進(jìn)行禁止。無(wú)論用戶采用何種方式,包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過(guò)Modem上網(wǎng)等都可以進(jìn)行控制,以上的禁止方式,可以進(jìn)行靈活選擇,滿足不同組網(wǎng)需要。
- 豐富的終端審計(jì)手段
針對(duì)用戶終端的上網(wǎng)行為,EAD提供的詳細(xì)上網(wǎng)明細(xì)(包括用戶帳號(hào)信息,用戶的IP/MAC地址,接入?yún)^(qū)域的設(shè)備IP/端口號(hào)/VLAN ID,上下線時(shí)間,上下行流量等)、安全日志(違規(guī)安全事件詳細(xì)內(nèi)容/發(fā)生時(shí)間及相應(yīng)處理結(jié)果等)和系統(tǒng)日志為IT部門(mén)管理員提供了豐富的定位問(wèn)題終端、解決終端網(wǎng)絡(luò)接入問(wèn)題以及系統(tǒng)維護(hù)的手段和方法,上網(wǎng)帳號(hào)與相關(guān)資產(chǎn)信息的綁定也為信息安全提供了事后追溯的必要依據(jù)。
