返回
EAD安全接入解决方案在多业务园区中的部署

EAD安全接入解决方案在多业务园区中的部署

ID:38243942

大小:91.00 KB

页数:4页

时间:2019-05-30

EAD安全接入解决方案在多业务园区中的部署_第1页
EAD安全接入解决方案在多业务园区中的部署_第2页
EAD安全接入解决方案在多业务园区中的部署_第3页
EAD安全接入解决方案在多业务园区中的部署_第4页
资源描述:

《EAD安全接入解决方案在多业务园区中的部署》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、EAD解决方案在多业务园区中的部署  1.EAD解决方案概述网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,大多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网内部也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。为了解决现有网络安全管理中存在的不足,应对网络安全威胁,H3C推出了端点准入防御(EAD,EndpointAdmissionCont

2、rol)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及和第三方软件比如防病毒软件产品、软件补丁、桌面管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高企业网的安全性。图表2EAD解决方案接入流程如图2所示,终端用户接入网络前,通过预先设置好的策略进行严格的身份认证,安全认证,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行策略处理比如“隔离”,

3、使该终端在隔离区中进行策略修补比如病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等方式合理控制用户的网络权限,达到动态授权的目的,从而提升网络的整安全防御能力,同时配合XLog流量审计系统,还可以对用户的行为进行跟踪审计。2.EAD解决方案在多业务园区网中的应用随着企业网络不断发展,各种业务都离不开基础网络的承载。企业园区网的规模在不断扩大,部署的应用也越来越复杂。从安全的角度考虑,网络中的不同应用需要物理或是逻辑的隔离起来,同时还要保证一些员工能够访问这些隔离的资源,并在访问这些资源的时

4、候拥有不同的安全策略。对于这种应用需求,利用EAD解决方案的动态策略部署便可以轻松实现。对于一个需要跨应用访问企业网的员工,网络管理者需要为他们在不同的业务网络中制定相应的安全策略,这通常是在CAMS策略服务器上通过配置多个服务来实现的。每个服务都设置不同的安全检查项和下发的ACL或VLAN来对应一个业务网络。当用户需要访问某一个业务网络的应用时,在客户端软件的登录用户名后加上预先指定的域名进行接入认证。策略服务器会根据域名对应的服务下发不同的安全检查策略和ACL或VLAN,从而限制用户只能访问相应的业务网络,这样就保证了企业内部用户接入不同业务网的安全

5、性。这种模式也可以应用在基于MPLS/VPN组网的虚拟化园区网中。2.1方案说明用户终端必须安装H3C客户端,在上网前首先要进行802.1X和安全认证,否则将不能接入网络或者只能访问隔离区的资源。其中,隔离区是通过在交换机中配置的一组ACL或VLAN来控制终端的访问范围。在接入交换机中要部署802.1X认证和安全认证,强制进行基于用户的802.1X认证和动态ACL、VLAN控制。?CAMS中配置用户使用不同域名时的服务策略、接入策略、安全策略。用户进行802.1X认证时,CAMS验证用户身份的合法性,并基于用户的域名(服务)向安全客户端下发相应的安全评估

6、策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由CAMS确定用户的ACL、VLAN以及病毒监控策略等。CAMS自助服务器(可选)可以为用户提供基于WEB的自助服务,如修改密码、查看上网明细等,建议部署于隔离区。CAMS安全代理服务器必须部署于隔离区,可以与CAMS自助服务器共用一台主机。补丁服务器须部署于隔离区,EAD支持与微软WSUS(SMS)无缝集成。如果采用其它补丁升级系统,要与iNode客户端联动需双方协商进行二次开发。防病毒服务器须部署于隔离区。EAD可以与多家防病毒厂家联动,检查防病毒客户端的版本和病毒库更新日期。若要实现隔

7、离已中病毒终端用户,需第三方厂家提供接口,由iNode客户端进行二次开发实现。每个需要在多业务网络分段中来回切换的用户都为其配置多个服务,CAMS根据用户登录时的域名所对应的服务下发相应的安全检查策略和ACL、VLAN策略。2.2流程说明EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下:1.用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报CAMS。2.CAMS检测补丁安装、病毒库版本等是否合格,如果合格进入步骤7,如果不合格,进入步骤3。3.CAMS通知

8、接入设备,将该用户的访问权限限制到隔离区内。此时,用户只能访问补丁服务器、防病毒

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。