中石油客戶終端安全與行為審計解決方案培訓(xùn)資料

1、 H3C技術(shù)有限公司 ttp:/www.H3C.com第 PAGE 53 頁拜中石油翱客戶終端安全與礙行為審計解決方案笆H把3C捌技術(shù)有限公司安全產(chǎn)品行銷部凹2006年07百月28日辦中石油胺安全解決方案TOC o 1-3 h z u HYPERLINK l _Toc152384913 癌一、 細(xì)致入微佰的個人終端防護(hù)爸 PAGEREF _Toc152384913 h 八4 HYPERLINK l _Toc152384914 搬1.1.版熬中石油進(jìn)行安全胺終端防護(hù)刻不容熬緩按 PAGEREF _Toc152384914 h 白4 HYPERLINK l _Toc152384915 骯1.1.1

2、.扒扒薩班斯法案與上鞍市企業(yè)需求概述拌 PAGEREF _Toc152384915 h 爸4 HYPERLINK l _Toc152384916 敗1.1.2.埃安中石油終端安全礙現(xiàn)狀邦 PAGEREF _Toc152384916 h 擺5 HYPERLINK l _Toc152384917 熬1.2.芭把“翱終端接入安全體奧系岸”安解決方案的組成哀部分八 PAGEREF _Toc152384917 h 矮6 HYPERLINK l _Toc152384918 按1.2.1.挨懊CAMS案安全策略服務(wù)器巴 PAGEREF _Toc152384918 h 笆7 HYPERLINK l _Toc1

3、52384919 拔1.2.2.扒扒修復(fù)服務(wù)器柏(按與防病毒系統(tǒng)聯(lián)啊動百)背 PAGEREF _Toc152384919 h 隘8 HYPERLINK l _Toc152384920 敖1.2.3.背安安全聯(lián)動設(shè)備藹 PAGEREF _Toc152384920 h 背8 HYPERLINK l _Toc152384921 靶1.2.4.伴吧安全客戶端擺 PAGEREF _Toc152384921 h 矮8 HYPERLINK l _Toc152384922 壩1.2.5.翱骯“敖終端接入安全體暗系邦”板與微軟癌SMS埃聯(lián)動方案靶 PAGEREF _Toc152384922 h 巴9 HYPER

4、LINK l _Toc152384923 斑1.3.扒暗應(yīng)用模型哎 PAGEREF _Toc152384923 h 鞍11 HYPERLINK l _Toc152384924 哎1.3.1.奧叭安全準(zhǔn)入應(yīng)用模阿型叭 PAGEREF _Toc152384924 h 礙11 HYPERLINK l _Toc152384925 耙1.3.2.愛案安全準(zhǔn)入工作流胺程霸 PAGEREF _Toc152384925 h 靶12 HYPERLINK l _Toc152384926 熬1.4.挨斑功能特點俺 PAGEREF _Toc152384926 h 皚14 HYPERLINK l _Toc1523849

5、27 扮1.4.1.礙壩安全狀態(tài)評估捌 PAGEREF _Toc152384927 h 扳14 HYPERLINK l _Toc152384928 隘1.4.2.凹背用戶權(quán)限管理埃 PAGEREF _Toc152384928 h 般15 HYPERLINK l _Toc152384929 辦1.4.3.唉班用戶行為監(jiān)控瓣 PAGEREF _Toc152384929 h 皚15 HYPERLINK l搬 _Toc1拔5238493搬0翱 啊1.5.吧愛“傲終端接入安全體叭系安”絆解決方案的部署拔 PAGEREF _Toc152384930 h 吧16 HYPERLINK l _Toc152384

6、931 靶1.5.1.靶唉接入層準(zhǔn)入控制暗 PAGEREF _Toc152384931 h 壩16 HYPERLINK l _Toc152384932 壩1.5.2.頒稗匯聚層準(zhǔn)入控制安 PAGEREF _Toc152384932 h 搬18 HYPERLINK l 氨_Toc152安384933扒 百1.5.3.叭板Portal哀（吧Web邦）認(rèn)證準(zhǔn)入控制罷 PAGEREF _Toc152384933 h 岸20 HYPERLINK l _Toc152384934 耙1.5.4.辦霸“辦終端接入安全體疤系巴”岸應(yīng)用模式笆 PAGEREF _Toc152384934 h 藹21 HYPERLI

7、NK l _Toc152384935 皚1.6.敖氨XLOG岸日常行為審計唉 PAGEREF _Toc152384935 h 稗22 HYPERLINK l _Toc152384936 隘1.6.1.頒邦XLOG盎技術(shù)特點叭 PAGEREF _Toc152384936 h 藹23 HYPERLINK l _Toc152384937 吧1.6.2.巴柏全面的日志收集瓣 PAGEREF _Toc152384937 h 罷23 HYPERLINK l _Toc152384938 盎1.6.3.罷吧強大的日志審計霸功能皚 PAGEREF _Toc152384938 h 拌23 HYPERLINK l

8、巴_Toc15板2384939挨埃 斑1.6.4.擺笆組網(wǎng)應(yīng)用把 PAGEREF _Toc152384939 h 凹24 HYPERLINK l _Toc152384940 拜1.7.翱鞍終端安全防護(hù)與頒行為監(jiān)控總結(jié)安 PAGEREF _Toc152384940 h 搬25 HYPERLINK l _Toc152384941 翱二、 全面的應(yīng)背用體系防護(hù)敗IPS邦 PAGEREF _Toc152384941 h 礙27 HYPERLINK l _Toc152挨384942背 拔2.1.跋澳中石油網(wǎng)絡(luò)應(yīng)用埃防護(hù)體系概述熬 PAGEREF _Toc152384942 h 叭27 HYPERLINK

9、 l _Toc152384943 擺2.2.藹藹IPS骯產(chǎn)品部署方案巴 PAGEREF _Toc152384943 h 哎27 HYPERLINK l _Toc152384944 芭2.3.昂敖IPS扳產(chǎn)品技術(shù)特色靶 PAGEREF _Toc152384944 h 伴28 HYPERLINK l _Toc152384945叭哀 懊2.3.1.敖胺虛擬軟件補丁藹 PAGEREF _Toc152384945 h 胺28 HYPERLINK l _Toc152384946 岸2.3.2.吧扮威脅抑制引擎（癌TSE佰）佰 PAGEREF _Toc152384946 h 愛29 HYPERLINK l

10、_Toc152384947 安2.3.3.艾唉無處不在的安全拔保護(hù)絆 PAGEREF _Toc152384947 h 般30 HYPERLINK l _Toc152384948 啊三、 防火墻部搬署需求分析啊 PAGEREF _Toc152384948 h 埃32 HYPERLINK l _Toc152384949 愛3.1.芭捌防火墻部署解決佰方案癌 PAGEREF _Toc152384949 h 吧32 HYPERLINK l _Toc152384950 翱3.1.1.皚笆數(shù)據(jù)中心防火墻奧部署耙 PAGEREF _Toc152384950 h 昂33 HYPERLINK l _Toc152

11、384951 案3.1.2.扳哀Inte吧rnet阿邊界安全防護(hù)爸 PAGEREF _Toc152384951 h 皚35 HYPERLINK l _Toc152384952 扮3.1.3.般靶大型網(wǎng)絡(luò)內(nèi)部隔傲離澳 PAGEREF _Toc152384952 h 骯38 HYPERLINK l _Toc152384953 懊3.2.癌安防火墻部署方案拜特點阿 PAGEREF _Toc152384953 h 辦41 骯細(xì)致入微的個人胺終端防護(hù)昂中石油進(jìn)行安全般終端防護(hù)刻不容岸緩邦基于薩班斯法案捌的嚴(yán)格限制，以扒及結(jié)合中石油的奧獨特特點，我們拔認(rèn)為在中石油內(nèi)柏部實施內(nèi)部控制阿體系，刻不容緩盎。鞍中

12、國石化從20懊02年下半年開懊始調(diào)研、準(zhǔn)備工搬作，編制內(nèi)控制敗度，建立統(tǒng)一的百內(nèi)控體系。20班04年10月，拔中國石化內(nèi)部安控制手冊由公絆司董事會正式審跋議通過，200擺5年1月開始在藹股份公司全面實唉施。該手冊依照懊薩班斯法案所推霸薦和要求對照的耙美國COSO（半反虛假財務(wù)報告辦委員會的贊助組扮織委員會）報告擺的理論體系建立藹內(nèi)部控制體系，哎內(nèi)容涉及共13愛大類業(yè)務(wù)、43柏個流程、862扳個控制點?？偛堪釋ｉT召開電視電哀話會議推行該手搬冊，要求各企業(yè)皚根據(jù)實際情況制骯定實施細(xì)則，在傲組織多層次培訓(xùn)巴的同時，派出檢艾查小組，對65吧家企業(yè)內(nèi)控制度跋的執(zhí)行情況進(jìn)行拌全面檢查。針對吧薩班斯法案不斷

13、皚細(xì)化的規(guī)則和新巴出臺的指引、準(zhǔn)叭則，中國石化對柏內(nèi)部控制手冊氨進(jìn)行更新，修矮訂了2006年耙版的內(nèi)部控制挨手冊，經(jīng)董事拌會審議通過，于版2006年1月澳1日起隘正式下發(fā)執(zhí)行。唉薩班斯法案與上板市企業(yè)需求懊概述版中石油礙跨全球企業(yè)唉薩班斯法案在美熬國的中國上市公敖司開始生效 絆各國相關(guān)法規(guī)都皚將越來越嚴(yán)格，哀加強公司治理尤澳其是IT治理將凹是企業(yè)的根本之哀道。 礙加強企業(yè)內(nèi)部控靶制和風(fēng)險管理將把是全球的趨勢 埃目前大量的網(wǎng)絡(luò)傲應(yīng)用已經(jīng)貫穿敗中石油案的日常業(yè)務(wù)模型隘，對于瓣網(wǎng)絡(luò)靶應(yīng)用癌我們把它理解為隘一個請求、連接靶到交互的過程，藹然后到完，這是扮會話的過程，這矮是雙向的。所謂熬會話行為就是做挨

14、的一種操作類型啊，比方說訪問網(wǎng)唉頁，首發(fā)郵件、案傳送郵件、即時佰通訊和稗文件傳輸?shù)劝?，這屬于網(wǎng)絡(luò)行阿為，會話內(nèi)容就案是網(wǎng)頁的內(nèi)容、瓣郵件的內(nèi)容、文耙件的內(nèi)容，即時佰通訊的內(nèi)容。對扮于安全審計類要哀求是會話行為審皚計，胺對于網(wǎng)絡(luò)行為的俺審計實際上也是版薩班斯法案的一凹部分，為了避免搬因為信息而造成般的經(jīng)濟(jì)損失，日阿常行為審計成為澳了企業(yè)尤其是上艾市公司信息化建按設(shè)的重要組成部版分背對法規(guī)不熟悉、皚時間短促、內(nèi)控耙基礎(chǔ)薄弱是中國敗上市公司面臨的芭最大問題。白中石油芭也不例外，邦直到200懊5哀年年初，辦中石油艾才開始著手布置熬薩班斯法案項目百。但是在實施過靶程中，大量的問爸題和矛盾暴露出愛來，涉及

15、制度完芭善、流程改造、百企業(yè)文化等各方澳面。短時間內(nèi)完啊全建立完善的內(nèi)絆控環(huán)境是不可能皚的。但從根本上矮來說，公司治理啊和IT治理的問搬題遲早需要去面按對和解決。絆中石油捌終端安全現(xiàn)狀稗俺終端安全是個入翱手簡單，想做好跋卻很難的瓣工程，這也是這辦么多年奧中石油奧沒有著手建設(shè)這伴方面的一個重要埃原因挨。本次安全體系絆建設(shè)礙中石油佰考慮的很周全，絆除了我們經(jīng)常能壩夠想到的安全管背理制度以外、終扮端的認(rèn)證問題、隘終端的安全監(jiān)控盎、日后審計等均疤在考慮范圍內(nèi)。辦襖中石油癌終端安全管理問斑題比較復(fù)雜，除傲了前面提到的地襖域分散意外，還哀有技術(shù)水平不高靶，難于監(jiān)管等問稗題，這些都構(gòu)成背了終端安全難以矮實現(xiàn)

16、的重要因素礙，基于上述原因扒，本次安全方案笆設(shè)計主要著中的絆是通過安全產(chǎn)品背的監(jiān)控實現(xiàn)對員叭工日常行為的監(jiān)按控敖，并通過技術(shù)手巴段實現(xiàn)對安全管巴理制度的補充，奧以及強化，通過骯技術(shù)手段保障安氨全管理制度的執(zhí)俺行。昂隘在終端防護(hù)方面按我司有專門的安靶全解決方案吧“柏端點準(zhǔn)入防御斑”埃能夠提供一個全暗程的安全解決方八案。埃“終端接入安全芭體系”伴端點準(zhǔn)入防御方皚案包括兩個重要懊功能：安全防護(hù)熬和安全監(jiān)控扳。骯安全防護(hù)主要是邦對終端接入網(wǎng)絡(luò)艾進(jìn)行認(rèn)證，保證絆只有安全的終端案才能接入網(wǎng)絡(luò)，岸對達(dá)不到安全要懊求的終端可以進(jìn)吧行修復(fù)，保障終唉端和網(wǎng)絡(luò)的安全邦；安全監(jiān)控是指霸在上網(wǎng)過程中，扒系統(tǒng)實時監(jiān)控用把

17、戶終端的安全狀唉態(tài)，并針對用戶奧終端的安全事件捌采取相應(yīng)的應(yīng)對板措施，實時保障藹網(wǎng)絡(luò)安全。熬“捌終端接入安全體班系澳”盎解決方案的組成骯部分胺“終端接入安全笆體系”疤解決方案的實現(xiàn)扳思路，是通過將擺網(wǎng)絡(luò)接入控制和背用戶終端安全策皚略控制相結(jié)合，懊以用戶終端對企盎業(yè)安全策略的符矮合度為條件，控艾制用戶訪問網(wǎng)絡(luò)伴的接入權(quán)限，從斑而降低病毒、非阿法訪問等安全威愛脅對企業(yè)網(wǎng)絡(luò)帶骯來的危害。為達(dá)藹到以上目的，提啊出了包括檢查扳隔離修復(fù)骯監(jiān)控的整體胺解決思路。檢查：班檢查網(wǎng)絡(luò)接入用奧戶的身份；阿檢查網(wǎng)絡(luò)接入用版戶的訪問權(quán)限；襖檢查網(wǎng)絡(luò)接入用啊戶終端的安全狀辦態(tài)；隔離：岸隔離非法用戶終拜端和越權(quán)訪問；叭隔離

18、存在重大安般全問題或安全隱?；嫉挠脩艚K端；修復(fù)：般幫助存在安全問胺題或安全隱患的懊用戶終端進(jìn)行安矮全修復(fù)，以便能俺夠正常使用網(wǎng)絡(luò)白；監(jiān)控：埃實時監(jiān)控在線用案戶的終端安全狀搬態(tài)，及時獲取終般端安全信息瓣對非法用戶、越埃權(quán)訪問和存在安跋全問題的網(wǎng)絡(luò)終絆端進(jìn)行定位統(tǒng)計案，為網(wǎng)絡(luò)安全管芭理提供依據(jù)；耙通過制定新的安靶全策略，持續(xù)保骯障網(wǎng)絡(luò)的安全。懊為了有效實現(xiàn)用疤戶終端安全準(zhǔn)入絆控制，需要實現(xiàn)氨終端安全信息采壩集點、終端安全耙信息決策點和終案端安全信息執(zhí)行扮點的分離，同時吧還需要提供有效按的技術(shù)手段，對稗用戶終端存在的案安全問題進(jìn)行修愛復(fù)，使之符合企邦業(yè)終端安全策略辦，順利接入網(wǎng)絡(luò)叭進(jìn)行工作。頒”終端

19、接入安全哀體系”半解決方案的組成暗部分見下圖：百CAMS安全策背略服務(wù)器熬“終端接入安全把體系”疤方案的核心是整跋合與聯(lián)動，而C傲AMS安全策略爸服務(wù)器是澳”終端接入安全芭體系”邦方案中的管理與熬控制中心，兼具哎用戶管理、安全跋策略管理、安全凹狀態(tài)評估、安全襖聯(lián)動控制以及安背全事件審計等功百能。搬安全策略管理。半安全策略服務(wù)器盎定義了對用戶終背端進(jìn)行準(zhǔn)入控制巴的一系列策略，吧包括用戶終端安挨全狀態(tài)評估配置埃、補丁檢查項配八置、安全策略配罷置、終端修復(fù)配案置以及對終端用扒戶的隔離方式配耙置等。班用戶管理。企業(yè)昂網(wǎng)中，不同的用昂戶、不同類型的班接入終端可能要瓣求不同級別的安敖全檢查和控制。艾安全策

20、略服務(wù)器芭可以為不同用戶皚提供基于身份的俺個性化安全配置疤和網(wǎng)絡(luò)服務(wù)等級耙，方便管理員對礙網(wǎng)絡(luò)用戶制定差敗異化的安全策略絆。愛安全聯(lián)動控制。奧安全策略服務(wù)器擺負(fù)責(zé)評估安全客靶戶端上報的安全斑狀態(tài)，控制安全版聯(lián)動設(shè)備對用戶辦的隔離與開放，爸下發(fā)用戶終端的隘修復(fù)方式與安全盎策略。通過安全矮策略服務(wù)器的控唉制，安全客戶端盎、安全聯(lián)動設(shè)備般與埃修復(fù)哀服務(wù)器才可以協(xié)百同工作，配合完扒成端到端的安全般準(zhǔn)入控制。矮日志審計。安全扒策略服務(wù)器收集拌由安全客戶端上吧報的安全事件，昂并形成安全日志埃，可以為管理員稗追蹤和監(jiān)控網(wǎng)絡(luò)吧的整個網(wǎng)絡(luò)的安白全狀態(tài)提供依據(jù)扒。氨修復(fù)服務(wù)器板(與防病毒系統(tǒng)熬聯(lián)動)瓣在吧”終端接

21、入安全敗體系”爸方案中，修復(fù)服柏務(wù)器可以是第三盎方廠商提供的藹防扳病毒服務(wù)器、補礙丁服務(wù)器或用戶熬自行架設(shè)的文件氨服務(wù)器。此類服拜務(wù)器通常放置于敖網(wǎng)絡(luò)隔離區(qū)中，拔用于終端進(jìn)行自艾我修復(fù)操作。網(wǎng)疤絡(luò)版的防病毒服熬務(wù)器提供病毒庫案升級服務(wù)，允許埃防病毒客戶端進(jìn)白行在線升級；補耙丁服務(wù)器則提供絆系統(tǒng)補丁升級服伴務(wù)，在用戶終端暗的系統(tǒng)補丁不能胺滿足安全要求時哀，用戶終端可連罷接至補丁服務(wù)器俺進(jìn)行補丁下載和百升級。熬目前的拜”罷終端接入安全體扒系扒”背解決方案中，我板們的認(rèn)證體系可鞍以和瑞星、金山吧、江民、Sym芭antec等國昂內(nèi)外大型防病毒柏廠商產(chǎn)品實現(xiàn)聯(lián)安動，百同時由于開發(fā)式絆的系統(tǒng)設(shè)計，我絆們可

22、以很方便的芭整合其他的防病拜毒產(chǎn)品實現(xiàn)全網(wǎng)半認(rèn)證與防病毒體頒系的完美結(jié)合。安全聯(lián)動設(shè)備敖安全聯(lián)動設(shè)備是奧企業(yè)網(wǎng)絡(luò)中安全拔策略的實施點，襖起到強制用戶準(zhǔn)扳入認(rèn)證、隔離不岸合格終端、為合佰法用戶提供網(wǎng)絡(luò)拜服務(wù)的作用。根挨據(jù)應(yīng)用場合的不襖同，安全聯(lián)動設(shè)叭備可以是交換機靶或BAS設(shè)備，翱分別實現(xiàn)不同認(rèn)盎證方式（如80藹2.1x或Po版rtal）的端哎點準(zhǔn)入控制。不扒論是哪種接入設(shè)愛備或采用哪種認(rèn)敖證方式，安全聯(lián)藹動設(shè)備均具有以昂下功能：板強制網(wǎng)絡(luò)接入終佰端進(jìn)行身份認(rèn)證澳和安全狀態(tài)評估罷。伴隔離不符合安全邦策略的用戶終端跋。聯(lián)動設(shè)備接收拔到安全策略服務(wù)佰器下發(fā)的隔離指把令后，目前可以矮通過動態(tài)ACL背方

23、式限制用戶的阿訪問權(quán)限；同樣氨，收到解除用戶頒隔離的指令后也藹可以在線解除對絆用戶終端的隔離絆。暗提供基于身份的皚網(wǎng)絡(luò)服務(wù)。安全礙聯(lián)動設(shè)備可以根癌據(jù)安全策略服務(wù)絆器下發(fā)的策略，百為用戶提供個性昂化的網(wǎng)絡(luò)服務(wù)，版如提供不同的Q跋oS、ACL、皚VLAN等。安全客戶端伴H哀3C耙 懊客戶端是安裝在伴用戶終端系統(tǒng)上芭的軟件，是對用絆戶終端進(jìn)行身份半認(rèn)證、安全狀態(tài)鞍評估以及安全策暗略實施的主體，罷其主要功能包括安：耙提供802.1板X板、搬P拜ortal等多拜種認(rèn)證方式，可擺以與盎 捌S3000、S般35扒00扒、S5000、頒S39爸00礙、S56埃00奧等系列交換機、岸華為MA吧5200F跋等設(shè)備

24、配合實現(xiàn)愛接入層、匯聚層扒的端點準(zhǔn)入控制啊。柏檢查用戶終端的拜安全狀態(tài)，包括班操作系統(tǒng)版本、八系統(tǒng)補丁、共享皚目錄、已安裝的哎軟件、已啟動的擺服務(wù)等用戶終端扳信息；同時提供芭與防病毒客戶端矮聯(lián)動的接口，實艾現(xiàn)與第三方防病襖毒跋軟件產(chǎn)品隘客戶端的聯(lián)動，扳檢查用戶終端的敖防病毒軟件版本艾、病毒庫版本、罷以及病毒查殺信岸息。這些信息將壩被傳遞到CAM鞍S安全策略服務(wù)斑器，執(zhí)行端點準(zhǔn)敗入的判斷與控制疤。敗安全策略實施，斑接收安全策略服哀務(wù)器下發(fā)的安全百策略并強制用戶扳終端執(zhí)行，包括耙設(shè)置安全策略（頒是否監(jiān)控郵件、艾注冊表）、系統(tǒng)挨修復(fù)通知與實施岸（自動或手工升頒級補丁和病毒庫爸）等功能。不按鞍要求實施

25、安全策藹略的用戶終端將扒被限制在隔離區(qū)癌。跋實時監(jiān)控系統(tǒng)安隘全狀態(tài)，包括是唉否更改安全設(shè)置按、是否發(fā)現(xiàn)新病骯毒等，并將安全罷事件定時上報到叭安全策略服務(wù)器笆，用于事后進(jìn)行叭安全審計。皚“拜終端接入安全體搬系哀”瓣與微軟SMS聯(lián)骯動方案特性簡介襖端點準(zhǔn)入防御（癌”骯終端接入安全體啊系跋”案）解決方案從網(wǎng)半絡(luò)用戶終端準(zhǔn)入敗控制入手，整合佰網(wǎng)絡(luò)接入控制與案終端安全產(chǎn)品，笆通過安全客戶端疤、安全策略服務(wù)澳器、網(wǎng)絡(luò)設(shè)備以矮及第三方軟件的疤聯(lián)動，可以對接叭入網(wǎng)絡(luò)的用戶終捌端強制實施企業(yè)芭安全策略，嚴(yán)格礙控制終端用戶的礙網(wǎng)絡(luò)使用行為，哀加強網(wǎng)絡(luò)用戶終哀端的主動防御能邦力，保護(hù)網(wǎng)絡(luò)安佰全。懊企業(yè)網(wǎng)中，對系哀統(tǒng)

26、補丁的管理問隘題一直難以解決吧。我們經(jīng)常見到艾的情況是，新的隘補丁發(fā)布，卻無巴人理會，任由系案統(tǒng)漏洞的存在。罷即使采用了微軟笆的WSUS、S班MS等補丁管理愛工具，此類工具癌也無法強制用戶背進(jìn)行系統(tǒng)補丁升挨級，給企業(yè)網(wǎng)絡(luò)挨安全帶來諸多隱靶患；更嚴(yán)重的情耙況是，用戶剛裝背好操作系統(tǒng)，還耙沒來得及打補丁頒就被病毒感染或版受到攻擊。如果拜能將微軟的補丁熬管理系統(tǒng)與的俺”隘終端接入安全體伴系敖”靶端點準(zhǔn)入防御方瓣案集成，就可以傲徹底解決系統(tǒng)補頒丁管理的問題。懊這個集成方案就白被稱為補丁聯(lián)動隘方案，該方案需擺要?！卑劢K端接入安全體斑系骯”岸與軟件補丁更新版服務(wù)器協(xié)同工作挨：軟件補丁更新俺服務(wù)器負(fù)責(zé)對端啊

27、點用戶的計算機骯進(jìn)行補丁狀態(tài)檢絆查、判斷是否合疤格以及不合格時柏自動更新所缺少骯的補丁，拜”藹終端接入安全體澳系霸”稗則負(fù)責(zé)決定何時哀發(fā)起補丁狀態(tài)檢拌查操作，并負(fù)責(zé)熬控制補丁狀態(tài)檢拔查不合格的端點藹用戶只能訪問隔板離區(qū)內(nèi)的資源，安待端點用戶的計佰算機的補丁狀態(tài)俺檢查合格后才解白除對該用戶計算板機的隔離。板注1：藹隔離區(qū)藹是指端點用戶在壩通過安全認(rèn)證之班前允許訪問的一般組主機的集合。傲一般地，隔離區(qū)澳可能包含防病毒般軟件安裝升級服啊務(wù)器（防病毒管敗理中心）、軟件擺補丁更新服務(wù)器暗和擺”奧終端接入安全體瓣系愛”翱管理代理服務(wù)器扮。隔離區(qū)具體包拜含哪些主機一般半在接入設(shè)備上配邦置。扮注2：隘補丁狀態(tài)

28、檢查盎是指對接入用戶扳/端點用戶的計昂算機進(jìn)行軟件補巴丁是否符合安全半要求的檢查，檢頒查不合格時列舉隘出所有缺少的軟澳件補丁。昂注3：奧補丁更新背是指從補丁服務(wù)愛器下載軟件補丁芭到客戶機，并進(jìn)氨行安裝與生效處皚理的全過程。埃系統(tǒng)架構(gòu)與基本熬交互流程系統(tǒng)架構(gòu)把“懊終端接入安全體埃系跋”叭是一個融合網(wǎng)絡(luò)藹設(shè)備、用戶終端昂和第三方安全產(chǎn)拔品的客戶端準(zhǔn)入疤安全框架，與補伴丁管理服務(wù)器的鞍聯(lián)動主要通過昂”凹終端接入安全體芭系暗”矮客戶端與補丁升昂級客戶端之間的邦A(yù)PI接口實現(xiàn)岸，其部署圖如下扮：系統(tǒng)結(jié)構(gòu)圖奧在接入用戶的終敗端需要同時安裝版”襖終端接入安全體傲系爸”凹客戶端和補丁客扮戶端。笆”凹終端接入安

29、全體岸系艾”叭客戶端負(fù)責(zé)完成邦與皚”爸終端接入安全體擺系頒”芭策略服務(wù)器的交跋互；補丁客戶端俺是微軟發(fā)布的與哀相應(yīng)的補丁服務(wù)岸器配合的SUS扒（WSUS）或奧SMS客戶端。奧”胺終端接入安全體翱系班”霸客戶端與補丁客扳戶端通過微軟提唉供的API接口襖完成補丁檢查與跋安全準(zhǔn)入的融合把。埃這種方式下，八”哀終端接入安全體扒系岸”奧系統(tǒng)與微軟補丁稗系統(tǒng)是相互獨立拌的，可以不依賴唉于對方而完成自哀有功能。但可以芭通過API來實扒現(xiàn)兩個系統(tǒng)之間扒的聯(lián)動，彌補各拌自的不足，完善版補丁管理和安全案準(zhǔn)入方案。特性的優(yōu)點靶聯(lián)動的松散耦合埃性：充分利用微拌軟成熟的補丁管矮理工具，扒”班終端接入安全體按系哀”壩不需

30、要管理各種笆Windows敗環(huán)境的用戶機器案缺少哪些補丁等擺繁瑣事務(wù)；巴補丁更新的安全柏性：用戶機器的半補丁狀態(tài)不符合霸安全要求時，其吧訪問范圍控制在把隔離區(qū)，即補丁阿更新是在隔離區(qū)啊進(jìn)行的；頒補丁更新的自動熬性：補丁更新過靶程是自動完成的拌（機器需要重啟阿時會提示用戶確安認(rèn)），無需用戶按手工下載和安裝熬補丁程序；白補丁更新的即時壩性：用戶機器的班補丁狀態(tài)檢查不搬合格后馬上轉(zhuǎn)入埃補丁自動更新過唉程；啊補丁更新的強制癌性：不完成補丁耙更新的用戶機器氨只能訪問隔離區(qū)斑內(nèi)的網(wǎng)絡(luò)資源，俺要訪問更多資源矮，只有完成補丁皚更新。應(yīng)用模型巴安全準(zhǔn)入應(yīng)用模凹型扒“終端接入安全擺體系”叭解決方案安全準(zhǔn)八入主要是

31、通過身哎份認(rèn)證和安全策敖略檢查的方式，捌對未通過身份認(rèn)扳證或不符合安全矮策略的用戶終端扳進(jìn)行網(wǎng)絡(luò)隔離，敗并幫助終端進(jìn)行搬安全修復(fù)，以達(dá)敗到防范不安全網(wǎng)扮絡(luò)用戶終端給安芭全網(wǎng)絡(luò)帶來安全挨威脅的目的。辦安全準(zhǔn)入工作流版程芭身份驗證：哀用戶終端接入網(wǎng)擺絡(luò)時，首先進(jìn)行板用戶身份認(rèn)證，胺非法用戶將被拒捌絕接入網(wǎng)絡(luò)。目瓣前昂”終端接入安全絆體系”俺解決方案支持8皚02.1x和P皚ortal認(rèn)證傲。爸安全檢查：鞍身份認(rèn)證通過后骯進(jìn)行終端安全檢埃查，由CAMS把安全策略服務(wù)器柏驗證用戶終端的澳安全狀態(tài)（包括絆補丁版本、病毒霸庫版本、軟件安扮裝等）是否合格熬。擺安全隔離：跋不合格的終端將埃被安全聯(lián)動設(shè)備盎通過A

32、CL策略愛限制在隔離區(qū)進(jìn)邦行安全修復(fù)。搬安全修復(fù)：捌進(jìn)入隔離區(qū)的用暗戶可以進(jìn)行補丁跋、病毒庫的升級艾、卸載非法軟件佰和停止非法服務(wù)擺等操作，直到安哎全狀態(tài)合格。癌動態(tài)授權(quán)：伴如果用戶身份驗岸證、安全檢查都稗通過，則CAM岸S安全策略服務(wù)八器將預(yù)先配置的版該用戶的權(quán)限信愛息（包括網(wǎng)絡(luò)訪背問權(quán)限、用戶帶啊寬限制參數(shù)、用敗戶優(yōu)先級等QO傲S參數(shù)、用戶組絆播權(quán)限等等）下捌發(fā)給安全聯(lián)動設(shè)盎備，由安全聯(lián)動搬設(shè)備實現(xiàn)按用戶巴身份的權(quán)限控制叭。岸實時監(jiān)控：俺在用戶網(wǎng)絡(luò)使用般過程柏中斑，安全客戶端根矮據(jù)安全策略服務(wù)辦器下發(fā)的監(jiān)控策礙略，實時監(jiān)控用隘戶終端的安全狀耙態(tài)，一旦發(fā)現(xiàn)用稗戶終端安全狀態(tài)骯不符合企業(yè)安全盎

33、策略，則向CA啊MS安全策略服班務(wù)器上報安全事巴件，由CAMS版安全策略服務(wù)器扮按照預(yù)定義的安背全策略，采取相斑應(yīng)的控制措施，按比如通知安全聯(lián)傲動設(shè)備隔離用戶扮。礙具體部署方式如俺下：扒在區(qū)域二中部署俺中心認(rèn)證服務(wù)器捌一臺，推薦中石半油使用基于CA斑證書的認(rèn)證系統(tǒng)鞍，這樣在安全性百會板比簡單的用戶名盎密碼要高；八在服務(wù)器與客戶氨端上均部署終端柏安全認(rèn)證體系客奧戶端，保證服務(wù)傲器系統(tǒng)能夠強制礙進(jìn)行系統(tǒng)補丁和拌病毒庫的升級；澳終端客戶端進(jìn)行瓣強制病毒庫、系拔統(tǒng)補丁的升級，柏在用戶接入網(wǎng)絡(luò)巴的同時對其日常哎網(wǎng)絡(luò)使用行為進(jìn)敖行監(jiān)控；捌在終端部署支持壩802.1x認(rèn)昂證的交換設(shè)備與熬終端用戶認(rèn)證體柏系進(jìn)

34、行聯(lián)動；阿在區(qū)域二部署日艾志服務(wù)器XLO霸G一臺，進(jìn)行日暗常用戶行為訪問氨的記錄；哎通過用戶終端行阿為記錄以及網(wǎng)絡(luò)熬行為監(jiān)控，記錄愛用戶日常網(wǎng)絡(luò)使阿用行為，并作為霸日后審計的依據(jù)耙。半在中心認(rèn)證服務(wù)暗器上部署安全策板略，對違規(guī)行為巴進(jìn)行定義，下發(fā)按到客戶端，提高跋客戶端對于重要藹安全策略的響應(yīng)暗，最大限度的減案少誤操作給中石哀油帶來的經(jīng)濟(jì)、頒信息損失。功能特點阿“終端接入安全啊體系”案解決方案已實現(xiàn)捌以下功能規(guī)格，搬在具體應(yīng)用部署啊時，可根據(jù)用戶盎網(wǎng)絡(luò)的實際使用矮需求，確定芭”終端接入安全搬體系”頒的應(yīng)用模式和部哀署方案。安全狀態(tài)評估耙終端補丁檢測：巴評估客戶端的補敖丁安裝是否合格矮，可以檢測

35、的補笆丁包括：操作系岸統(tǒng)(Windo拌ws 2000伴/XP等，不包哀括Window疤s 98)等符拌合微軟補丁規(guī)范百的熱補丁安。愛安全客戶端版本氨檢測：胺可以檢測安全客拔戶端昂H辦3C靶 Client哀的版本，防止使唉用不具備安全檢稗測能力的客戶端拔接入網(wǎng)絡(luò)。同時岸支持客戶端自動拌升級。疤安全狀態(tài)定時評哀估：哎安全客戶端可以般定時檢測用戶安敗全狀態(tài),防止用疤戶上網(wǎng)過程中因巴安全狀態(tài)發(fā)生變愛化而造成的與安白全策略的不一致笆。安自動補丁管理：襖提供與微軟WS埃US/SMS（懊全稱：Wind唉ows Ser安ver Upd扳ate Ser按vices/S叭ystem M半anageme傲nt Se

36、rv邦er）協(xié)同的自絆動補丁管理，當(dāng)霸用戶補丁不合格愛時，自動安裝補挨丁氨。靶終端運行狀態(tài)實跋時檢測：絆可以對上線用戶癌終端的系統(tǒng)信息安進(jìn)行實時檢測，襖包括已安裝程序伴列表、已安裝補盎丁列表、已運行耙進(jìn)程列表、共享矮目錄信息、分區(qū)扮表、屏保設(shè)置和哎已啟動服務(wù)列表傲等。百防病毒聯(lián)動：跋主要包含兩個方傲面，一是端點用隘戶接入網(wǎng)絡(luò)時，啊檢查其計算機上懊防病毒軟件的安笆裝運行情況以及礙病毒庫和掃描引笆擎版本是否符合擺安全要求等，不把符合安全要求可案以根據(jù)策略阻止盎用戶接入網(wǎng)絡(luò)或絆將其訪問限制在稗隔離區(qū)；二是端耙點用戶接入網(wǎng)絡(luò)拌后，邦”終端接入安全耙體系”奧定期檢查防病毒拌軟件的運行狀態(tài)擺，如果發(fā)現(xiàn)不符

37、敖合安全要求可以百根據(jù)策略強制讓扳用戶下線或?qū)⑵浒驮L問限制在隔離百區(qū)。阿聯(lián)動方式目前包拜括強AV聯(lián)動和案弱AV聯(lián)動，強壩AV聯(lián)動需要防巴病毒軟件廠商提胺供聯(lián)動插件，哀”終端接入安全懊體系”澳客戶端通過該聯(lián)熬動插件完成對防靶病毒軟件的運行皚狀態(tài)檢查以及行拔為控制。弱AV熬聯(lián)動不需要防病般毒廠商提供聯(lián)動吧插件，背”終端接入安全哀體系”稗客戶端通過其他斑方式實現(xiàn)對防病扒毒軟件的運行狀骯態(tài)檢查以及行為唉控制。當(dāng)前支持凹的強AV聯(lián)動支襖持的防病毒軟件岸有：瑞星、金山笆和江民。當(dāng)前支拌持的弱AV聯(lián)動敖支持的防病毒軟澳件有：諾頓、趨版勢、McAfe佰e 暗和安暗博士。用戶權(quán)限管理安強身份認(rèn)證：罷在用戶身份認(rèn)

38、證暗時，可綁定用戶扮接入IP、MA唉C、接入設(shè)備I懊P、端口和VL版AN等信息，進(jìn)岸行強身份認(rèn)證，芭防止帳號盜用、皚限定帳號所使用扮的終端，確保接愛入用戶的身份安霸全。背“危險”用戶隔叭離：矮對于安全狀態(tài)評礙估不合格的用戶爸，可以限制其訪盎問權(quán)限（通過A敗CL隔離），使拌其只能訪問鞍防伴病毒服務(wù)器、補霸丁服務(wù)器等用于擺系統(tǒng)修復(fù)的網(wǎng)絡(luò)罷資源。耙“危險”用戶在扳線隔離：胺用戶上網(wǎng)過程中案安全狀態(tài)發(fā)生變哎化造成與安全策拜略不一致時(如百感染不能殺除的俺病毒)，CAM搬S可以在線隔離瓣并通知用戶。凹軟件安裝和運行拜檢測：俺檢測終端軟件的百安裝和運行狀態(tài)凹?？梢韵拗平尤氚本W(wǎng)絡(luò)的用戶必須吧安裝、運行或禁瓣

39、止安裝、運行其辦中某些軟件。對按于不符合安全策笆略的用戶可以記邦錄日志、提醒或扮隔離。阿支持匿名認(rèn)證：邦安全客戶端和C白AMS提供匿名阿認(rèn)證用戶，用戶襖不需要輸入用戶懊名、密碼即可完壩成身份認(rèn)證和安壩全認(rèn)證。凹接入時間、區(qū)域氨控制：唉可以限制用戶只盎能在允許的時間芭和地點（接入設(shè)靶備和端口）上網(wǎng)敗。班限制終端用戶使罷用多網(wǎng)卡和撥號爸網(wǎng)絡(luò)：半防止用戶終端成敗為內(nèi)外網(wǎng)互訪的癌橋梁扳，瓣避免因此可能造敖成的信息安全問氨題矮。斑代理限制：斑可以限制用戶使辦用和設(shè)置代理服礙務(wù)器襖。用戶行為監(jiān)控艾終端強制或提醒把修復(fù)：頒強制或提醒不符靶合安全策略的終胺端用戶主機進(jìn)行罷防病毒軟件升級昂，病毒庫升級，唉補丁安

40、裝；目前靶只支持手工方式芭（金山的客戶端愛可以與系統(tǒng)中心拜做自動升級）。唉安全狀態(tài)監(jiān)控：礙定時監(jiān)控終端用擺戶的安全狀態(tài)，扮發(fā)現(xiàn)感染病毒后拌根據(jù)安全策略可哎將其限制到隔離翱區(qū)。擺安全日志審計：拜定時收集客戶端白的實時安全狀態(tài)版并記錄日志；查按詢用戶的安全狀瓣態(tài)日志、安全事案件日志以及在線凹用戶的安全狀態(tài)艾。辦強制用戶下線：哎管理員可以強制搬行為“可疑”的胺用戶下線安。靶“靶終端接入安全體愛系柏”班解決方案的部署接入層準(zhǔn)入控制芭將懊接入層霸設(shè)備作為安全準(zhǔn)版入控制點，對試背圖接入網(wǎng)絡(luò)的用罷戶終端進(jìn)行安全拌檢查，強制用戶敗終端進(jìn)行防病毒把、操作系統(tǒng)補丁巴等企業(yè)定義的安把全策略檢查，防扒止非法用戶和不邦

41、符合企業(yè)安全策盎略的終端接入網(wǎng)哀絡(luò)，降低病毒、八蠕蟲等安全威脅班在企業(yè)擴(kuò)散的風(fēng)胺險。組網(wǎng)圖示瓣圖表 SEQ 圖表 * ARABIC 疤5熬 接入層百”終端接入安全安體系”俺應(yīng)用組網(wǎng)組網(wǎng)設(shè)備擺目前S3000敖以上系列接入層拔交換機多款交換隘機支持疤”終端接入安全埃體系”骯解決方案，主要哎包括：S3050C矮S3026E/胺C/G/T岸S5012/2版4S3900系列方案說明埃用戶終端必須安阿裝H把3C按客戶端，在上網(wǎng)拌前首先要進(jìn)行扮802.1X熬和安全認(rèn)證，否瓣則將不能接入網(wǎng)俺絡(luò)或者只能訪問熬隔離區(qū)的資源。案其中，隔離區(qū)是隘指在S30/5搬0系列交換機中把配置的一組AC骯L，一般包括邦CAMS礙

42、安全代理矮服務(wù)器暗、補丁服務(wù)器、敗防辦病毒服務(wù)器、D辦NS、DHCP岸等服務(wù)器的IP靶地址。芭在胺接入叭交換機（愛S哎30/39/5把0系列交換機）藹中要部署八802.1X把認(rèn)證和安全認(rèn)證阿，強制進(jìn)行基于按用戶的背802.1X奧認(rèn)證半和動態(tài)ACL、半VLAN控制。搬CAMS中配置啊用戶的服務(wù)策略瓣、接入策略、安按全策略，用戶進(jìn)邦行阿802.1X邦認(rèn)證時，CAM按S驗證用戶身份伴的合法性，并基斑于用戶角色（服矮務(wù)）向安全客戶氨端下發(fā)安全評估版策略（如檢查病敖毒庫版本、補丁氨安裝情況等），白完成身份和安全佰評估后，由CA辦MS確定用戶的襖ACL、VLA按N以及病毒監(jiān)控澳策略等。拔CAMS自助服柏務(wù)

43、器（可選）可哀以為用戶提供基白于WEB的自助辦服務(wù)，如修改密拌碼、查看上網(wǎng)明艾細(xì)等，建議部署般于隔離區(qū)。懊CAMS安全代伴理服務(wù)器必須部霸署于隔離區(qū)，可擺以與CAMS自鞍助服務(wù)器共用一按臺主機。擺補丁服務(wù)器（可盎選）必須部署于胺隔離區(qū)，可以與霸CAMS安全代頒理共用一臺主機霸。胺防病毒服務(wù)器（拔可選）必須部署伴于隔離區(qū)，可以唉與補丁服務(wù)器、跋CAMS安全代矮理共用一臺主機案，可以選擇瑞星柏殺毒軟件200安5網(wǎng)絡(luò)版、金山藹毒霸2005企斑業(yè)版以及江民K八V 2005網(wǎng)拔絡(luò)版。流程說明斑“終端接入安全吧體系”靶方案可以依據(jù)角哎色對網(wǎng)絡(luò)接入用啊戶實施不同的安叭全檢查策略并授癌予不同的網(wǎng)絡(luò)訪把問權(quán)限。

44、其原理壩性的流程如下：愛用戶上網(wǎng)前必須昂首先進(jìn)行身份認(rèn)班證，確認(rèn)是合法背用戶后，安全客艾戶端還要檢測病襖毒軟件和補丁安啊裝情況，上報C壩AMS。敖CAMS檢測補案丁安裝、病毒庫按版本等是否合格岸，如果合格進(jìn)入跋步驟7，如果不絆合格昂，進(jìn)入步驟3。斑CAMS通知接安入設(shè)備（S30佰/39/50系俺列或其他霸支持凹”終端接入安全疤體系”搬解決方案胺的交換機），將熬該用戶的訪問權(quán)礙限限制到隔離區(qū)岸內(nèi)。此時，用戶愛只能訪問補丁服邦務(wù)器、巴防稗病毒服務(wù)器等安背全資源，因此不擺會受到外部病毒稗和攻擊的威脅。哀安全客戶端通知百用戶進(jìn)行補丁和稗病毒庫的升級操拌作。佰用戶升級完成后奧，可重新進(jìn)行安搬全認(rèn)證。如果

45、合扒格則解除隔離，百進(jìn)入步驟7。昂如果用戶補丁升襖級不成功，用戶啊仍然無法訪問其邦他網(wǎng)絡(luò)資源，回辦到步驟4哎用戶可以正常訪胺問其他授權(quán)（A百CL、VLAN佰）的網(wǎng)絡(luò)資源。實施效果爸由于搬S拜30/39/5背0系列接入層交百換機對端口部署稗了802.1x按認(rèn)證，所有非法擺用戶將不能訪問芭企業(yè)內(nèi)部網(wǎng)絡(luò)。班并且認(rèn)證通過前半，用戶終端之間搬無法實現(xiàn)互訪。案合法用戶接入網(wǎng)岸絡(luò)后，其訪問權(quán)壩限受哎S拔30/39/5襖0系列交換機中芭的ACL控制。哎特定的服務(wù)器只頒能由被授權(quán)的用佰戶訪問。伴合法用戶接入網(wǎng)愛絡(luò)后，其互訪權(quán)熬限受耙S搬30/39/5叭0系列交換機中版的VLAN控制敖。不同角色的用愛戶分屬不同的

46、V昂LAN，跨VL奧AN的用戶不能疤互訪（受組網(wǎng)方敗式限制）。唉用戶正常接入網(wǎng)把絡(luò)前，必須通過挨安全客戶端的安叭全檢查，確保沒啊有感染病毒且病骯毒庫版本和補丁捌得到及時升級。哎降低了病毒和遠(yuǎn)懊程攻擊對企業(yè)網(wǎng)邦帶來的安全風(fēng)險岸。斑通過使用H壩3C罷客戶端，可對用愛戶的終端使用行伴為進(jìn)行嚴(yán)格管理半，比如禁止設(shè)置半代理服務(wù)器、禁藹用雙網(wǎng)卡、禁止安撥號等。匯聚層準(zhǔn)入控制翱當(dāng)網(wǎng)絡(luò)中接入層熬設(shè)備不支持佰”絆終端接入安全體壩系拔”半特性時，可以傲將匯聚層設(shè)備作挨為安全準(zhǔn)入控制癌點，實施凹”終端接入安全半體系”百解決方案，斑這樣岸可簡化盎”終端接入安全跋體系”吧解決方案的應(yīng)用辦部署。尤其是在捌對用戶原有企業(yè)稗

47、網(wǎng)絡(luò)進(jìn)行改造，半實施拔”終端接入安全案體系”隘解決方案時，可辦以將原有匯聚層扒設(shè)備替換為支持扳”終端接入安全傲體系”哀解決方案的匯聚傲層設(shè)備，實現(xiàn)埃”終端接入安全暗體系”隘解決方案的應(yīng)用笆。組網(wǎng)圖示扮圖表 SEQ 圖表 * ARABIC 翱6霸 匯聚層襖”終端接入安全擺體系”哀應(yīng)用組網(wǎng)組網(wǎng)設(shè)備唉實際上沒有嚴(yán)格霸的接入層和匯聚絆層設(shè)備之分，通芭常用于匯聚的愛交換機均實現(xiàn)了隘對壩”終端接入安全稗體系”奧解決方案的支持哀，包括阿以下設(shè)備愛：吧S3526E/案C系列捌S3528/5佰2系列S5600系列S6500系列埃根據(jù)網(wǎng)絡(luò)規(guī)模不案同，這些設(shè)備通爸常也可以作為接骯入層設(shè)備使用。方案說明敗在白匯聚巴交

48、換機中要部署鞍802.疤1x認(rèn)證和安全安認(rèn)證，強制進(jìn)行昂基于用戶的拌802.1X扮和動態(tài)ACL控背制。板其余同接入層準(zhǔn)疤入控制流程說明皚同接入層準(zhǔn)入控澳制方案用戶認(rèn)證鞍流程。實施效果安實施效果鞍同接入層準(zhǔn)入控拜制癌相同胺，但是網(wǎng)絡(luò)改造扮費用降低、系統(tǒng)敖部署簡單。匯聚凹層百”終端接入安全傲體系”把應(yīng)用組網(wǎng)模式下霸，認(rèn)證設(shè)備下掛頒接入層設(shè)備，如懊果接入層拌設(shè)備背端口不作VLA把N劃分，用戶終扒端之間將可實現(xiàn)按互訪。建議在嚴(yán)板格控制用戶之間芭互訪的情況下，拔接入層設(shè)備在不吧同端口之間劃分壩不同的VLAN稗。捌Portal（耙Web）澳認(rèn)證準(zhǔn)入控制稗“終端接入安全稗體系”按 解決方案也支啊持Web認(rèn)證

49、方凹式下的端點準(zhǔn)入昂控制。Web認(rèn)版證同802.1罷x認(rèn)證相比，具搬有應(yīng)用簡單的優(yōu)疤勢。許多企業(yè)對般于企業(yè)網(wǎng)絡(luò)用戶吧訪問外網(wǎng)的安全扳非常關(guān)注，要求凹在網(wǎng)絡(luò)用戶訪問哀外網(wǎng)時，進(jìn)行嚴(yán)伴格的身份認(rèn)證和盎終端安全檢查，藹保證只有授權(quán)的昂用戶才能訪問外昂網(wǎng)，并且用戶終胺端不存在系統(tǒng)漏襖洞，安裝并運行敗了企業(yè)要求的防愛病毒軟件，不致般成為網(wǎng)絡(luò)黑客、癌非法訪問者攻擊斑企業(yè)內(nèi)部網(wǎng)絡(luò)的般跳板。在企業(yè)網(wǎng)辦絡(luò)的核心層部署傲”終端接入安全頒體系”板應(yīng)用，并且使用斑Web認(rèn)證方式傲，能夠很好的滿柏足此類需求。組網(wǎng)圖示白圖表 SEQ 圖表 * ARABIC 澳7跋 核心層?！苯K端接入安全氨體系”氨應(yīng)用組網(wǎng)組網(wǎng)設(shè)備艾支持W

50、eb認(rèn)證鞍，并支持叭”終端接入安全把體系”把解決方案的設(shè)備稗包括以下系列：懊S3528/扳52G版/P系列癌MA癌5200F版/G系列方案說明靶使用S3528案/52系列設(shè)備埃配合組網(wǎng)，設(shè)備岸通常放置在網(wǎng)絡(luò)拔匯聚層，并在S敖3528/52翱設(shè)備上開啟Po柏rtal認(rèn)證。擺使用MA骯5200F安/G系列設(shè)備配扮合組網(wǎng)，設(shè)備通笆常放置在網(wǎng)絡(luò)出案口，并在設(shè)備上藹開啟Porta唉l認(rèn)證功能。在耙用戶希望對原有邦網(wǎng)絡(luò)改動最小的伴情況下，可以將扳MA5200旁敗掛在網(wǎng)絡(luò)出口核捌心設(shè)備上，提供絆用戶接入控制功案能。壩CAMS服務(wù)器奧需要安裝Por翱tal認(rèn)證組件八，拌P俺ortal認(rèn)證懊頁面上，提供安懊全客

51、戶端的下載般鏈接。用戶可下瓣載并安裝H傲3霸C啊客戶端后，發(fā)起安認(rèn)證請求。頒隔離區(qū)的設(shè)置、矮第三方服務(wù)器的搬設(shè)置、CAMS翱自助服務(wù)器和C般AMS安全代理胺服務(wù)器的設(shè)置等啊信息同接入層準(zhǔn)瓣入控制。流程說明跋在Web認(rèn)證方骯式下，用戶的身敗份認(rèn)證、訪問控暗制和安全認(rèn)證流愛程同接入層準(zhǔn)入岸控制基本相同。爸區(qū)別在于：耙用戶進(jìn)行網(wǎng)絡(luò)登哀錄認(rèn)證之前，可扒以訪問Port安al服務(wù)器等U拔RL。埃H笆3C澳安全認(rèn)證客戶端罷可以在認(rèn)證前從扮Portal認(rèn)熬證頁面下載并安暗裝。簡化了客戶凹端分發(fā)工作。實施效果懊由于在網(wǎng)絡(luò)出口鞍設(shè)備上部署了P跋ortal認(rèn)證翱，所有非授權(quán)用瓣戶將不能訪問外吧網(wǎng)。靶合法用戶通過身叭

52、份認(rèn)證、安全認(rèn)扳證后，其訪問權(quán)挨限受接入設(shè)備的按ACL控制。用胺戶的外部訪問權(quán)鞍限受控。盎其余同接入層準(zhǔn)敖入控制。罷“終端接入安全按體系”熬應(yīng)用模式襖“終端接入安全耙體系”罷解決方案按照應(yīng)案用模式可分為隔班離模式、警告模骯式、監(jiān)控模式，哎三種模式對于實爸現(xiàn)的終端安全狀罷態(tài)監(jiān)控功能各有頒不同，對安全設(shè)藹備的要求也不相皚同。隔離模式胺對于需要嚴(yán)格控盎制用戶終端安全按狀態(tài)的應(yīng)用環(huán)境頒，比如銀行系統(tǒng)隘的生產(chǎn)網(wǎng)，可以襖采用隔離模式來敖應(yīng)用背”終端接入安全壩體系”啊解決方案。具體瓣來說，就是一旦背用戶終端安全狀埃態(tài)不合格，就限跋制其網(wǎng)絡(luò)訪問區(qū)霸域為隔離區(qū)，在愛進(jìn)行修復(fù)操作，盎滿足企業(yè)終端安案全策略要求后，

53、藹才能重新發(fā)起認(rèn)昂證，正常接入網(wǎng)唉絡(luò)。隔離模式要拔求安全聯(lián)動設(shè)備扮必須支持動態(tài)A佰CL特性，能夠盎實時應(yīng)用CAM皚S安全策略服務(wù)胺器下發(fā)的ACL瓣規(guī)格，并應(yīng)用于隘用戶連接。警告模式案某些應(yīng)用環(huán)境下稗，不需要根據(jù)用百戶終端的安全狀傲態(tài)嚴(yán)格控制用戶叭終端的訪問權(quán)限昂，可以采用警告疤模式部署背”終端接入安全稗體系”靶解決方案的應(yīng)用爸。在警告模式下扒，安全客戶端檢靶查用戶終端的安阿全狀態(tài)信息，并叭將不合格項以彈氨出窗口的形式提扮供給終端用戶，板同時提供修復(fù)指頒導(dǎo)和相關(guān)鏈接。罷用戶的網(wǎng)絡(luò)訪問笆權(quán)限不因終端安艾全狀態(tài)不合格而翱被更改。監(jiān)控模式八監(jiān)控模式同警告耙模式的實現(xiàn)流程襖基本相同，區(qū)別跋在于監(jiān)控模式下

54、襖，安全客戶端不絆會吧彈出窗口，向用盎戶提示終端的不絆合格項。網(wǎng)絡(luò)管笆理員可在CAM翱S安全策略服務(wù)敗器的管理界面中骯實現(xiàn)對用戶終端扒安全狀態(tài)的監(jiān)控壩，了解用戶終端靶的安全信息。在愛某些對用戶終端爸進(jìn)行集中管理、案不允許終端用戶巴進(jìn)行軟件安裝等扒操作的應(yīng)用場景扒下，可使用監(jiān)控伴模式。同時，對版于重要的網(wǎng)絡(luò)用拔戶，比如公司老隘板，管理員對其敗網(wǎng)絡(luò)訪問的管理耙也可應(yīng)用監(jiān)控模佰式。伴XLOG日常行敗為審計伴XLog用戶行熬為審計系統(tǒng)是公瓣司推出的一種高癌性能、可擴(kuò)展的八網(wǎng)絡(luò)分析系統(tǒng)，拔通過與多種網(wǎng)絡(luò)昂設(shè)備共同組網(wǎng)，昂用來對終端用戶爸的上網(wǎng)行為進(jìn)行皚事后審計，追查埃用戶的非法網(wǎng)絡(luò)斑行為，滿足相關(guān)般部門

55、對用戶網(wǎng)絡(luò)把訪問日志進(jìn)行審巴計的硬性要求。邦XLog用戶行斑為審計系統(tǒng)提供稗NAT1.0日藹志，F(xiàn)LOW1襖.0日志，Ne盎tStream按V5日志，DI盎G流日志以及D霸IG摘要日志的鞍查詢審計功能，般網(wǎng)絡(luò)管理員可以伴根據(jù)網(wǎng)絡(luò)日志對襖上網(wǎng)用戶的網(wǎng)絡(luò)靶行為進(jìn)行審計。案XLOG技術(shù)特捌點全面的日志收集安用戶行為審計系懊統(tǒng)可支持多種網(wǎng)辦絡(luò)日志的采集（哎包括NAT1.奧0、FlOW1壩.0、NetS翱tream V靶5），對于不支班持上述日志的設(shè)盎備，可以通過設(shè)唉備的鏡像端口或擺TAP分流器采壩集網(wǎng)絡(luò)流量生成佰DIG1.0格辦式的日志。俺同時用戶行為審岸計系統(tǒng)采用分布巴式的體系結(jié)構(gòu)，白支持多點采集，

56、柏可以同時采集多啊個設(shè)備的日志信背息，為網(wǎng)絡(luò)管理捌員監(jiān)控網(wǎng)絡(luò)提供跋了靈活有效的支拔持。叭強大的日志審計敖功能案用戶行為審計系熬統(tǒng)可根據(jù)用戶需跋要，通過各種條胺件的組合對網(wǎng)絡(luò)般日志進(jìn)行快速分凹析。針對不同的扮日志類型，管理骯員可以獲得不同伴的用戶行為審計翱信息：隘NAT1.0日拌志：包括經(jīng)過N案AT轉(zhuǎn)換前的源胺IP地址、源端俺口，經(jīng)過NAT疤轉(zhuǎn)換后的源IP澳地址、源端口，昂所訪問的目的I跋P、目的端口、暗協(xié)議號、開始時頒間、結(jié)束時間等霸關(guān)鍵信息。暗FLOW1.0跋日志：包括源I捌P、目的IP、背源端口、目的端昂口、流起始時間鞍、結(jié)束時間等關(guān)八鍵信息。哀DIG1.0日佰志：探針型采集唉器直接從交換

57、機白的鏡像端口采集奧用戶的上網(wǎng)信息扳，對用戶訪問外柏部網(wǎng)絡(luò)的流進(jìn)行扒分類統(tǒng)計，并生敖成探針（DIG隘）日志記錄。壩DIG1.0日愛志包含兩種格式奧日志，DIGF礙LOW1.0和礙DIGEST1瓣.0。DIGF鞍LOW1.0日昂志內(nèi)容為IP層柏數(shù)據(jù)報文信息，熬其中包含數(shù)據(jù)報凹文的流量信息和拔協(xié)議類型信息，藹而DIGEST熬1.0日志內(nèi)容鞍為應(yīng)用層協(xié)議數(shù)靶據(jù)報文信息，包唉含數(shù)據(jù)報文的摘辦要信息。兩種格埃式的DIG1.啊0日志在采集器俺進(jìn)行日志采集時翱同時生成。利用傲DIG1.0日擺志的記錄信息，把可以實現(xiàn)對用戶半網(wǎng)絡(luò)行為的監(jiān)控岸，審查用戶的訪般問信息、使用的般應(yīng)用信息等，全罷面審查用戶的網(wǎng)氨絡(luò)使用

58、行為。盎DIGFLOW愛1.0日志記錄阿包含以下內(nèi)容：鞍開始時間、結(jié)束唉時間、源IP地暗址、目的IP地柏址、源端口號、暗目的端口號、協(xié)暗議類型（目前區(qū)盎分TCP、UD哎P和ICMP三耙種協(xié)議）、輸入唉包個數(shù)、輸出包礙個數(shù)、輸入字節(jié)搬數(shù)、輸出字節(jié)數(shù)熬；霸DIGEST1笆.0日志記錄包絆含以下內(nèi)容：開般始時間、結(jié)束時擺間、源IP地址愛、目的IP地址辦、目的端口號、骯摘要信息（目前安支持HTTP協(xié)俺議、FTP協(xié)議耙、SMTP協(xié)議八報文）。半NetStre鞍am V5日志笆：包括日志的開把始時間、結(jié)束時靶間、協(xié)議類型、阿源IP地址、目骯的IP地址、服叭務(wù)類型、入接口案、出接口、報文皚數(shù)、字節(jié)數(shù)、流板數(shù)

59、、總激活時間板、操作字、日志藹類型等信息。通頒過NetStr八eam日志的分澳析，可以使網(wǎng)絡(luò)版管理員深入地了版解當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)鞍中的報文所包含板的各種有價值的敗信息，可以實現(xiàn)俺網(wǎng)絡(luò)監(jiān)控、應(yīng)用案監(jiān)控、用戶監(jiān)控芭等功能，并為網(wǎng)稗絡(luò)規(guī)劃提供重要凹參考。澳通過用戶行為審扳計系統(tǒng)網(wǎng)絡(luò)管理絆員可以從海量的按網(wǎng)絡(luò)日志中精確捌審計終端用戶的伴上網(wǎng)行為。終端白用戶何時訪問了八某網(wǎng)站、何時訪霸問了某網(wǎng)頁、發(fā)安送了哪些Ema奧il、向外發(fā)送壩了哪些文件等信奧息均可通過日志昂審計得出結(jié)果。組網(wǎng)應(yīng)用罷NetStre澳am/NAT/邦FLOW日志審礙計組網(wǎng)方式跋該組網(wǎng)可以為叭中石油內(nèi)網(wǎng)用戶凹提供辦網(wǎng)絡(luò)日志審計功艾能，以便于

60、跟蹤挨訪問非法站點的艾用戶行為。該組哎網(wǎng)方式非常靈活芭，可以根據(jù)運營矮商或教育網(wǎng)等不耙同的運營特點，襖實現(xiàn)多種方式的鞍日志記錄與審計愛能力。例如，如背果在Inter斑net出口需要霸作NAT轉(zhuǎn)換，澳并且使用了設(shè)備疤的NAT功能，懊用戶行為審計系奧統(tǒng)就可以接收N胺AT日志進(jìn)行處癌理。如果在In瓣ternet出礙口不需要做NA佰T轉(zhuǎn)換，則可以耙通過FLOW格氨式或NetSt捌ream V5八格式的日志記錄壩用戶的上網(wǎng)行為案。該組網(wǎng)方式下皚，需要配套設(shè)備鞍支持NAT、F敖LOW或Net柏Stream日隘志輸出。盎DIG探針組網(wǎng)矮方式翱探針式采集器能啊夠與任何支持端啊口鏡象功能的交奧換機或集線器配百合