端点准入防御(EAD)方案技术建议书课件.docVIP

端点准入防御(EAD)方案技术建议书 目 录 1 概述 4 2 EAD端点准入防御解决方案介绍 4 2.1 方案思路 5 2.2 方案组成部分 5 2.2.1 EAD安全策略服务器 6 2.2.2 修复服务器 7 2.2.3 安全联动设备 7 2.2.4 安全客户端 7 3 EAD与Microsoft SMS联动推荐 8 3.1 EAD与微软SMS联动介绍 8 3.2 EAD与SMS联动技术优势 9 3.3 Microsoft SMS功能概述 10 4 EAD解决方案组网部署 12 4.1 新建网络部署 12 4.1.1 接入层准入控制 12 1. 方案组网 12 2. 组网设备 13 3. 方案说明 13 4. 流程说明 14 5. 实施效果 14 4.1.2 汇聚层准入控制 15 1. 方案组网 15 2. 组网设备 15 3. 方案说明 16 4. 流程说明 16 5. 实施效果 16 4.2 多厂商设备混合组网部署 16 1. 方案组网 17 2. 组网设备 17 3. 方案说明 17 4. 流程说明 18 5. 实施效果 18 4.3 EAD应用模式 18 4.3.1 隔离模式 18 4.3.2 提醒模式 19 4.3.3 监控模式 19 4.3.4 下线模式 19 5 系统参数及环境要求 20 5.1 EAD系统技术参数 20 5.2 EAD系统环境要求 20 6 附：EAD解决方案应用模型及功能特点 20 6.1 应用模型 20 6.1.1 安全准入应用模型 20 6.1.2 安全准入工作流程 21 6.2 功能特点 22 6.2.1 安全状态评估 22 6.2.2 用户权限管理 23 6.2.3 用户行为监控 24端点准入防御(EAD)方案技术建议书 概述 网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。 为了解决现有网络安全管理中存在的不足，应对网络安全威胁，H3C推出了端点准入防御（EAD，Endpoint Admission Defense）解决方案。该方案从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备防病毒软件产品、补丁管理产品，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。 EAD端点准入防御解决方案介绍 EAD端点准入防御方案包括两个重要功能：安全防护和安全监控安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。 方案思路 EAD解决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的，H3C提出了包括检查隔离修复监控的整体解决思路。 检查： 检查网络接入用户的身份； 检查网络接入用户的访问权限； 检查网络接入用户终端的安全状态； 隔离： 隔离非法用户终端和越权访问； 隔离存在重大安全问题或安全隐患的用户终端； 修复： 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络； 监控： 实时监控在线用户的终端安全状态，及时获取终端安全信息 对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据； 通过制定新的安全策略，持续保障网络的安全。 方案组成部分 为了有效实现用户终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用户终端存在的安全问题进行修复，使之符合企业终端安全策略，顺利接入网络进行工作。EAD解决方案的组成部分见下图： EAD解决方案组成部分 如图所示，