ead端點准入防禦解決方案
伴隨著網路應用技術的快速發展,網路資訊保安問題也日益突出。病毒氾濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到企業的正常運營。如何應對網路安全威脅,確保企業網路安全,為企業運營提供可靠的網路保障,已經是每乙個企業決策者不得不關注得問題,也是每乙個網路管理員不得不面對得挑戰。
目前,多數網路安全事件都是由脆弱的使用者終端和「失控」的網路使用行為引起。在企業網中,使用者終端不及時公升級系統補丁和病毒庫的現象普遍存在;私設**伺服器、私自訪問外部網路、濫用企業禁用軟體等行為也比比皆是。「失控」的使用者終端一旦接入網路,就等於給潛在的安全威脅敞開了大門,使安全威脅在更大範圍內快速擴散。保證使用者終端的安全、阻止威脅入侵網路,對使用者的網路訪問行為進行有效的控制,是保證企業網路安全執行的前提,也是目前企業網路安全管理急需解決的問題。
傳統的網路安全產品對於網路安全問題的解決,通常是被動防禦,事後補救。華為3com端點准入防禦(ead,endpoint admission defense)解決方案則從使用者終端准入控制入手,整合網路接入控制與終端安全產品,通過安全客戶端、安全策略伺服器、網路裝置以及第三方軟體的聯動,對接入網路的使用者終端強制實施企業安全策略,嚴格控制終端使用者的網路使用行為,可以加強使用者終端的主動防禦能力,大幅度提高網路安全。
方案概述
ead解決方案在使用者接入網路前,強制檢查使用者終端的安全狀態,並根據對使用者終端安全狀態的檢查結果,強制實施使用者接入控制策略,對不符合企業安全標準的使用者進行「隔離」並強制使用者進行病毒庫公升級、系統補丁安裝等操作;在保證使用者終端具備自防禦能力並安全接入的前提下,合理控制使用者的網路行為,提公升整網的安全防禦能力。系統應用示意圖如下所示:
功能特點
n完備的安全狀態評估
使用者終端的安全狀態是指作業系統補丁、第三方軟體版本、病毒庫版本等反映終端防禦能力的狀態資訊。ead通過對終端安全狀態進行評估,使得只有符合企業安全標準的終端才能准許訪問網路。
n實時的「危險」使用者隔離
系統補丁、病毒庫版本不及時更新的使用者終端,如果不符合管理員設定的企業安全策略,將被限制訪問許可權,只能訪問病毒伺服器、補丁伺服器等用於系統修復的網路資源。使用者上網過程中,如果終端發生感染病毒等安全事件,ead系統可實時隔離該「危險」終端。
n基於角色的網路服務
在使用者終端在通過病毒、補丁等安全資訊檢查後,ead可基於終端使用者的角色,向安全客戶端下發系統配置的接入控制策略,按照使用者角色許可權規範使用者的網路使用行為。終端使用者的acl訪問策略、qos策略、是否禁止使用**、是否禁止使用雙網絡卡等安全措施均可由管理員統一管理,並實時應用實施。
n可擴充套件的、開放的安全解決方案
ead是乙個可擴充套件的安全解決方案,對現有網路裝置和組網方式改造較小。在現有企業網中,只需對網路裝置和第三方軟體進行簡單公升級,即可實現接入控制和防病毒的聯動,達到端點准入控制的目的,有效保護使用者的網路投資。
ead也是乙個開放的安全解決方案。ead系統中,安全策略伺服器與網路裝置的互動、與第三方伺服器的互動都基於開放、標準的協議實現。在防病毒方面,目前ead系統已與諾頓、mcafee、趨勢、ca、瑞星、金山、江民等多家主流防病毒廠商的產品實現聯動。
n靈活、方便的部署與維護
ead方案部署靈活,維護方便,可以按照網路管理員的要求區別對待不同身份的使用者,定製不同的安全檢查和隔離級別。ead可以部署為監控模式(只記錄不合格的使用者終端,不進行修復提醒)、提醒模式(只做修復提醒,不進行網路隔離)和隔離模式,以適應使用者對安全准入控制的不同要求。
方案部件
ead是乙個整合與聯動的安全解決方案,主要部件包括安全策略伺服器、安全客戶端、安全聯動裝置和第三方伺服器。
n安全策略伺服器
ead方案中的使用者管理與策略控制中心,實現使用者管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能,是ead解決方案的核心部件。華為3com公司的cams產品作為安全策略伺服器,可以在全面管理網路使用者資訊的基礎上,實現對網路使用者的身份認證和接入終端的安全認證,並通過與網路裝置的聯動控制使用者網路訪問行為。同時,該系統詳細記錄了使用者上網資訊和安全事件資訊,可以方便地跟蹤審計使用者上網行為和安全事件。
n安全客戶端
安裝在使用者終端系統上的軟體,是對使用者終端進行身份認證、安全狀態評估以及安全策略實施的**。安全客戶端可按照企業安全策略的要求,整合第三方廠商的安全產品外掛程式,提供豐富的身份認證方式、實施基於角色的安全策略。
n安全聯動裝置
企業網路中安全策略的實施點,起到強制使用者准入認證、隔離不合格終端、為合法使用者提供差異化服務的作用。華為3com系列交換機、路由器、安全閘道器等網路裝置,可以通過標準的協議與cams安全策略伺服器的聯動,在不同的應用場景實現對使用者的准入控制。
n第三方伺服器
第三方伺服器是指病毒伺服器、補丁伺服器等網路安全產品。通過安全客戶端的**外掛程式以及安全策略伺服器的策略控制,第三方安全產品可以整合至ead解決方案中,實現不同層面安全功能的聯動與融合。
典型組網應用
n區域網安全防護
在企業網內部,接入終端一般是通過交換機接入企業網路,ead通過與接入層交換機的聯動,強制檢查使用者終端的病毒庫和系統補丁資訊,降低病毒和蠕蟲蔓延的風險,同時強制實施網路接入使用者的安全策略,阻止來自企業內部的安全威脅。
nvpn接入網路的安全防護
許多企業和機構允許移動辦公員工或外部合作人員通過vpn方式接入企業內部網路。ead方案可以通過vpn閘道器確保遠端接入使用者在進入企業內部網之前,檢查使用者終端的安全狀態,並在使用者認證通過後實施企業安全策略。對於沒有安裝ead安全客戶端的遠端使用者,管理員可以選擇拒絕其訪問內部網路或限制其訪問許可權。
n企業關鍵資料保護
接入網路的使用者終端的訪問許可權受ead下發的安全策略控制,對企業關鍵資料伺服器的訪問也因此受到保護。在ead的控制下,訪問企業關鍵資料的使用者需要通過身份驗證和安全狀態檢查,可以避免企業敏感資訊遭受非法訪問和惡意攻擊。
n網路入口安全防護
大型企業往往擁有分支機構或合作夥伴,其分支機構、合作夥伴也可以通過專線或wan連線企業總部。這種組網方式在開放型的商業企業中比較普遍,受到的安全威脅也更嚴重。為了確保接入企業內部網的使用者具有合法身份且符合企業安全標準,可以在企業入口路由器中實施ead准入控制,保證接入網路的使用者終端不會對內部網路造成安全威脅。
移動端 點選滾動穿透的解決方案
一般都是touch和click混用導致的,touch是立馬觸發的,touchend還會觸發一次click,導致上層元素touchend觸發的click會影響到下層元素。解決辦法 只用touch 或者 只用click 使用fastclick 等一些自定義tap事件,移除touchend之後觸發的那次c...
H3C ARP攻擊防禦解決方案
欺騙攻擊所表現出來的網路現象。arp欺騙攻擊不僅會造成聯網不穩定,引發使用者無法上網,或者企業斷網導致重大生產事故,而且利用 arp欺騙攻擊可進一步實施中間人攻擊,以此非法獲取到遊戲 網銀 檔案服務等系統的帳號和口令,對被攻擊者造成利益上的重大損失。因此 arp欺騙攻擊是一種非常惡劣的網路攻擊行為。...
未來的入侵防禦解決方案 doc格式
未來的入侵防禦解決方案 目 錄執行摘要 許多企業都部署有入侵防禦系統,但 應用程式與威脅前景已發生變化 企業對於入侵防禦系統的新要求 palo alto networks功能 下一代防火牆是未來的入侵防禦解決方案 許多it企業都已部署了入侵防禦系統 ips 此類系統主要用於保護資料中心免受資訊保安威...