端点准入防御的研究.pdfVIP

坪 金骷电肛 安 全 防 范 FIANCIAL COMPUTEtt0Fl儿jANA、 2008年 11月 10日第 11期 三 山 而息准入防御的研究 ■ 中国人民银行海 口中心支行 谢声时 摘 要 ：本文分析 了EAD 方案 的原理 、EAD 组 网的模 型 ，重 点研 究 EAD 方案在银行业 的 应 用 。 关键 词 ：EAD ；网络 安全 ；组 网 为加强对 网络威胁 的防御 ，弥补 目前一些 网络 强制实施用户接入控制策 略 ，从而可把不符合安全 安全产 品的缺 陷，提高如银行等行业 系统和 网络 的 标准 的用户分离到 “隔离 ”区，并强制用户进行病毒 正常运转 ，华为 3tom公司推 出了EAD解 决方案 。 库升级 、系统补丁安装等操作 。当客户端通过认证 一 、 EAD方案的简介 服务器 的身份验证后 ，安全客户端对客户端 的安全 EAD(EndpointAdmissionDefense，端 点准 入 防 状况进 行检测 ，并与安全策 略服务器交互 ，如果不 御 )方 案通 过 对 接 人 的数 据 进 行 监控 ，能够 增 强 网 符合 安全 认 证 的标 准 ，安全 策 略服 务 器下发 ACL 络终端 的主动 防御 能力 ，控制病毒在 网络 内部 的蔓 控制报文到交换机 ，交换机 只允许客户端访 问病毒 延 。同时，通过 限制不符合安全要求 的终端访 问权 补丁服务器 。只有 当客户端安装 了补丁 ，并且客户 限 ，防止不安全终端对整个 网络 的安全造成危害 。 端 的安全 标 准满 足 了安全 认证 的标 准后 ，安全 客户 EAD方 案 的实施需要 交换 机 、AAA服务 器 、安全 策 端才将客户端 的安全状态传递到安全策略服务器 ， 略服务器和安全客户端联合操作 、相互配合 ，从而 安全 策略服 务器将 再次 下发 ACL，使交 换机 打 开客 实现对终端用户 的安全状 态评估和访 问权 限的动 户端 的访 问权 限 ，使之 能够访 问更 多 的网络 资源 态控 制 。EAD方 案启动后 ，交换 机根 据接 收到 的会 ( 图 1所 示 ) 话 控制报文 的源 IP地址判断该报文是否合法 ： 病 毒 补 丁服 只有 从 认 证 服 务器 以及 安全 策 略服 务 器 发送 过 来 的会话控制报文才被交换机认为是合法 的。交 换机根据会话控制报文 的指令 ，动态地调整用户 终端 的 VLAN、速率 、报 文调度优 先级 以及 ACL (AccessControlList，访 问控制列表 )，从而动态控 安 制用户的访 问权 限 。 二、EAD的组网 EAD方案在用户接人 网络前 ，强制对用户终 端进 行安全检查 ，并根据 安全状态 的检查结果 ， 图 1 EAD 的组 网示意 图 N0V．10．2008NO ．11 安 全 防 范 缛岛金骷电肛 2008年 l1月 10日第 11期 三、EAD安全防护解决方案 在这里笔者结合金融行业 的具体应 用 ，讨论 AD在银行业 的解决方 案 。EAD 可 以为 以下应用场景提供安全 防护解 决 方案 ：内联 网接 入安全 防护 、VPN接 入安 全 防护 、重要 数据 区的保护 、银 行 人 口安 全 防护 。 (一 )内联 网接 人安全 防护 在银 行 内部 ，用户终 端一般是通 过楼 层交@ fL接入 内联 网络 ，这些 用户终 端 的 安仝状态将直接影 响