SYGATE网络准入控制方案.doc

SYGATE网络准入控制方案  目 录 1. Sygate网络准入控制概况 1 1.1Sygate相关背景资料 1 1.2导言 1 2. SYGATE网络准入控制方案 2 2.1 边界准入控制 3 2.1.1远程接入权限 3 2.1.2互联网访问权限 4 2.1.3域名解析权限 4 2.1.4支持的VPN列表 4 2.2接入层准入控制 5 2.2.1 Lan Enforcer与802.1x交换机配合工作的说明 5 2.2.2 LAN Enforcer结合域来做准入控制 6 2.2.3支持的交换机厂商列表 6 2.3 Web应用准入控制 7 2.4 本地准入控制 7 3. 结论—Sygate持续不间断网络 9 1. Sygate网络准入控制概况 1.1Sygate相关背景资料 SYGATE是“可信赖计算组织”(TRUSTED COMPUTING GROUP, TCG)的核心成员，致力于发展、定义和促进开放标准的计算机安全技术，以保护网络、节点、应用和信息的安全。 TCG在基础设施工作组下面专门成立了一个可信任网络连接子组，该子组负责开发可信赖网络连接(Trusted Network Connect)的新标准。这项新标准将保护网络免受病毒、蠕虫、拒绝服务等攻击，允许用户加强安全策略，阻止易受攻击的系统连接。 1.2导言 企业的网络与业务系统以及办公系统连接的越来越紧密，但是网络的安全状况却越来越令人堪忧。 今天几乎所有病毒基于网络来主动传播，系统漏洞成为传播的最有力方式，它们与网络入侵、黑客技术进一步融合，少数病毒直接以瘫痪和拥堵网络为目的，更有甚者目标直指企业的核心敏感信息。传统的病毒解决方案只能治标不能治本、特征库更新滞后、与快速型病毒对抗时速度处于下风……,等等弊端不一而足。面对新的形势，传统的病毒方案已是力不从心，颓势尽显。 从另一个角度来看，服务器和桌面系统不遵循企业安全策略的并不在少数，去定位，隔离和修复这些系统意味着需要消耗大量的人力资源和时间。更无奈的是，即使下大力气梳理，没有好的技术手段来保障，过一段时间以后这些问题又会重新浮现。 SYGATE的网络准入控制技术正是在这样的时局下应运而生， 以主动防护技术为基石，为网络和终端建立了一套多维，多层次的立体防护体系。 2. SYGATE网络准入控制方案 网络准入控制最大的挑战在于网络环境的复杂性，主要归结为以下几方面： 终端用户的多样性—雇员、客户、供应商和合作伙伴 终端设备的多样性—公司自有设备，家中的PC，第三方人员笔记本 终端接入方式的多样性—有线、无线、虚拟私有网 (VPN)和拨号 所以SYGATE运用了四种准入控制技术来应对。每种技术可单独工作，也可配合使用。整个准入控制体系见下图： 网络准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。网络准入控制策略可以简单一分为三，即检查策略、接入策略和修复策略： 检查策略 – 根据进程、文件、注册表等设置的检查结果来判断： 用户身份是否合法 主机防火墙是否安装并运行 防病毒软件是否安装并运行，病毒特征库是否及时更新 主机入侵检测系统是否运行、及时更新 操作系统关键安全补丁是否安装 操作系统安全配置是否妥当 是否感染特定病毒实体 …… 接入策略 – 根据上述检查结果，SYGATE强制服务器和网络设备以及SYGATE客户端联动来决定： 拒绝终端/用户接入 容许终端/用户接入 隔离终端/用户（单机隔离， VLAN隔离） 限制终端/用户访问权限 应用程序，远程主机，时间，协议类型，端口 互联网访问权限 远程接入权限 域名解析权限 Web应用连接权限（website，web mail，web OA，web CRM，web ERP etc） 修复策略 – 在隔离或限制接入的情况下，还可以通过自动修复来换回正常的网络访问权限。修复的内容包括： 自动开启IE，连接内部安全网站上相关的提示页面 自动分发病毒专杀工具 自动升级病毒特征库 自动分发操作系统关键补丁 自动纠正错误的系统配置 …… 2.1 边界准入控制 2.1.1远程接入权限 边界准入通常用来控制使用VPN和RAS拨号的远程用户。实际上这些远程用户游离于企业周边防火墙的保护之外，经常暴露在宾馆，网吧，咖啡厅等公共网络之中，它们所面临的安全风险最大。病毒一旦攻陷远程用户主机，就会以客户机为跳板，进入企业网络，从而给企业生产和办公带来灾难性的损失。边界准入控制拓扑图如下： SYGATE强制服务器（Gateway Enforcer）以内连（inline）的方式站在VPN网关和企业网络之间，它能够验证远程用户主机上是否运行了SYGATE客户端软件，并且要求SYGATE客户端提交该