端点准入防御(ead)方案技术建议书(编辑修改稿)

端点准入防御(ead)方案技术建议书(编辑修改稿)内容摘要：

除对用户终端的隔离。  提供基于身份的网络服务。 安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的 ACL、 VLAN等。 安全客户端 H3C客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实 施的主体，其主要功能包括：  提供 、 Portal等多种认证方式，可以与 交换机、 BAS网关 等设备配合实现接杭州华三通信 技术有限公司 202073 内部资料，请勿扩散 第 8 页 , 共 20 页 入层、汇聚层的端点准入控制。  检查用户终端的安全状态，包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒 软件产品 客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。 这些信息将被传递到 EAD安全策略服务器，执行端点准入的判断与控制。  安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执 行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。 不按要求实施安全策略的用户终端将被限制在隔离区。  实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。 3 EAD 与 Microsoft SMS 联动 推荐 EAD 与微软 SMS 联动介绍 EAD与 SMS联动 解决 方案 可以更好的发挥两个方案的优势，微软 SMS实现对 终端 用户的计算机进行 漏洞检测、补丁检测及升级、桌面资产管理、软件分发等功能； H3C EAD方案实现安全入网认证（有线、无线以及远程 VPN接入）、防代理、 多元素绑定认证（ IP、MAC、端口等）、强制安装和运行 SMS客户端。 iNode客户端通过调用 微软 SMS提供的 API接口，成功实现认证时 补丁 自动检测和 升级， 融合了 EAD与 SMS的优势，为客户提供更完善的网络安全管理解决方案， 其部署图如下： 图 2 EAD与 SMS联动 解决 方案 系统结构图 杭州华三通信 技术有限公司 202073 内部资料，请勿扩散 第 9 页 , 共 20 页 EAD 与 SMS 联动技术优势 EAD解决方案与 SMS联动 有许多 技术 优势： 1） 联动的松散耦合性：充分利用微软成熟的 桌面 管理工具，由 SMS实现 各种 Windows环境下用户 的桌面管理 需求：资产管理、补丁管理、软件分发和安装等；由 EAD实现有线、无线、远程 VPN接入认证、用户管理、多元素绑定认证，并且联动 SMS实现认证时对用户的补丁自动检测和升级 ； 2） 方案部署便捷，由域进行 SMS、 iNode客户端的分发安装， iNode客户端提供定制安装版本，可以根据用户需要进行定制安装 ； 同时由网络认证访问功能，限制所有接入网络的用户均需安装 iNode客户端和 SMS客户端； 3） 更高的安全性，由于 EAD安全认证限制了所有接入网络的用户必须 安装和运行iNode客户端以及 SMS客户端，这样 EAD安全策略和 SMS安全 策略均可以得到全面的执行。 不符合安全策略要求的用户，只能访问网络隔离区资源，最大程度的提高了网络安全性； 4） 补丁更新的即时性：用户 在初始连接网络时就会被要求进行补丁检查，终端 机器的补丁状态检查不合格后马上转入补丁自动更新过程； EAD解决方案的定时重认证功能结合微软操作系统的 Windows Automatic Updates驻留服务，可以保证用户终端的补丁得到实时更新； 5） 与 SMS桌面 资产 管理功能相结合 ， EAD在线用户安全检测功能，可以帮助管理员轻松核对所有上网用户的资产是否正确 ； Microsoft SMS 功能 概述 应用程序配置 • 详细的部署规划 ： 详细的应用程序部署规划。 SMS 20xx提供了 详细的报告，使应用程序配置过程变得轻松。 对于一个计划好的配置，可以很轻松的获取目标群组当前的硬件基础，现有的应用程序，版本信息，以及系统当前服务包和热修复的级别。 杭州华三通信 技术有限公司 202073 内部资料，请勿扩散 第 10 页 , 共 20 页 • 丰富的分发对象 ： 使用包括网络和硬件配置 、 活动目录 、 组织单元以及群组成员资格和软件安装状况在内的大量多种手段，向特定的计算机和用户部署软件分发以及其它管理任务。 • 站点服务器和分发点之间的增量分发 ： 当对先前配置的软件数据包源做出改动时，仅仅是源的改动内容在 SMS 20xx站点服务器和分发点之间传播，而不是整个的应用程序映射。 • 提高权限的 Windows安装服务 ： 鉴于 SMS 20xx支持 Windows安装服务 (.msi)，在一个组件安装过程中，可以在关联的帐户间切换，允许在 “向下锁定 ”的系统上安装自我复原的应用程序。 资产管理 • 应用系统使用情况监控 ： 通过监控可以生成使用情况的概要和详细报告。 报告详细列出了用户使用了哪些应用系统，应用系统使用了多久，以及用户使用哪个管理系统。 使用情况可由用户或计算机跟踪，而 且，可以围绕并发的使用情况数据生成报告。 • 详细的 软件、 硬件资产目录 ： Windows管理工具（ WMI）增强功能，实现在资产目录扫描过程中客户端的性能提升，并提供一套更丰富的资产目录数据。 • Web报表 ： 包括预建立的 120多份报告，涵盖硬件和软件资产目录以及计算机状态和软件部署进展。 安全补丁管理 • 漏洞识别 及补丁升级 ： 标准的 Microsoft安全工具，使您能够为系统的应用系统补丁和漏洞建立目录清单 ，还可自动升级系统补丁； • 漏洞评估以及缓解报告 ： 完成识别遗漏的补丁之后，这些单独扫描结果被发送到中心数据库，生成报告和 确定目标。 遗漏的补丁部署完后，数据就可以随意地被实时更新。 Windows 管理服务集成 • 活动目录探索 ： SMS 20xx可以自动探索用户和系统的活动目录属性，包括组织单元容器和组级成员。 然后在这些活动目录属性的基础上可以确定软件包目标。 • 基于活动目录的站点边界 ： 站点边界现在可以基于活动目录站点名称，而不是基于网际协议（ IP）子网。 • 高级安全模式 ： 内置计算机和本地系统帐号可用于服务器的所有功能（譬如数杭州华三通信 技术有限公司 202073 内部资料，请勿扩散 第 11 页 , 共 20 页 据库访问），这显著地简化了在 SMS 20xx的帐号和密码管理，同时，通过不用创建额外的高权限帐号使企业更加安全。 • 改进的状态工具 ： 状态数据提供了有关 SMS 20xx在服务器和客户端两方面处理当前状况的实时信息 4 EAD 解决方案组网 部署 通过与不同网络接入设备的联动， EAD解决方案可在多种 应用场景中实现用户终端安全准入控制，满足不同网络环境下，端点安全准入控制的需要。 新建网络 部署 接入层 准入控制 将 接入层 设备 作为安全准入控制点，对试图接入网络的用户终端进行安全检查， 强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查， 防止非法用户和不符合企业安全策略的终端接入网络， 降低病毒、蠕虫 等安全威胁在企业扩散 的风险。 1. 方案组网 杭州华三通信 技术有限公司 202073 内部资料，请勿扩散 第 12 页 , 共 20 页 图 3 接入层 EAD解决方案组网应用 2. 组网设备 支持 H3C S3000以上系列接入层交换机 配合组网 ， 交换机型号 主要包括：  S3050C， S3026E/C/G/T；  3100EI， 5100EI；  S3528P/G， S3526E， S3552G/P/F；  S3600系列 ； 3. 方案说明  用户终端必须安装 iNode客户端，在上网前首先要进行 ，否则 将 不能接入网络或者只能访问隔离区的资源。 其中，隔离区是指在 S30/36系列交换机中配置的一组 ACL，一般包括 EAD安全代理 服务器 、补丁服务器、防 病毒服务器、 DNS、 DHCP等服务器的 IP地址。  在 接入 交换机（ S30/35/36系列 交换机）中 要 部署 ，强制进行基于用户的 和动态 ACL、 VLAN控制。  CAMS服务器 中配置用户的服务策略、接入策略、安全策略，用户进行 认证时， 由 CAMS服务器 验证用户身份的合法性，并基于用户角色（服务）向安全客户端下发安全评估策略（如检查病毒库版本、补丁安装情况等），完成身份和安全评估后，由 CAMS服务器 确定用户的 ACL、 VLAN以及病毒监控策略等。  EAD安全代理服务器 必 须 部署于隔离区，可以与 CAMS自助服务器共用一台主机。