基于EAD实现终端双网准入方案

方案相关内容

1 金融网络终端接入现状

目前,在金融网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。

保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证金融网络安全运行的前提,也是目前金融行业用户急需解决的问题。

另外,在部分金融行业的实际使用网络环境中,各个业务网络相互之间逻辑隔离,一台PC终端可能在不同的时段有分别访问生产网、办公网资源的需求,为了保证安全隔离、接入权限,接入某逻辑网络的用户不能同时访问其他网络的资源。典型的例子可以参考生产网、办公网的隔离(或者办公网、Internet网络),接入两个网络的用户权限也不同。

2 终端双网准入方案

方案一:Guest VLAN+EAD

1) 在设备上配置好,保证不同的VLAN有不同的网络访问权限;

2) 用户接入网络时,用户相连的端口,默认属于某一个Guest VLAN,不需要认证就可以访问相关Guest VLAN中的资源;

3) 而当用户需要进行高权限的访问时,可以启动EAD认证。这样,如果用户认证通过,用户相连的端口就可以自动地被切换到其他的VLAN中,并获取相应权限。

通过这种配置EAD进行认证/不认证的方式,用户就可以在生产网和办公网中进行切换。

方案二:动态VLAN+EAD

1) 用户在进行EAD认证之前,只能访问一个有限的区域,用户如果需要得到更多的权限,则需要通过EAD认证;

2) 当用户通过EAD认证后,EAD服务器会将相应的VLAN/ACL动态与用户身份进行关联,最后达到用户动态获取到不同权限的效果。

同样,通过这种配置EAD进行认证/不认证的方式,用户就可以在生产网和办公网中进行切换。

方案三:多服务EAD认证

除了上述两种方案以外,还有一种方案是进行EAD的多服务认证。这里所谓的“服务”指的是一组用户接入环境的组合,包括用户接入的网段、分配的DHCP服务器、对应的设备VLAN等信息。

1)管理员可以在EAD服务器上申请多种不同的服务;

2)不同的服务对应不同的域名,但用户可以使用同一套用户名和密码,加不同的服务域名作为后缀进行登录;

3)当用户使用@work后缀进行认证时,用户的认证报文会被转到work服务配置中进行认证,当认证通过后,服务器会给这个用户下发办公系统访问对应的权限;同理当用户使用@office后缀进行认证时,用户会得到办公访问对应的权限。

从以上我们可以看到,对网络进行不同的配置方式,并充分结合EAD解决方案,H3C可以为金融单位用户提供丰富的双网(生产&办公)准入方案。IT管理员可以依据网络的不同情况选择不同的方案。

方案说明

设备要求

适用场景

方案一

Guest VLAN+EAD

设备支持Guest VLAN

l 只需要对管理系统进行简单配置,在设备上配置Guest VLAN的场景

l 接入设备下单端口连接单用户

方案二

动态VLAN+EAD

设备支持接受动态下发的VLAN/ACL

l 接入设备为华三接入设备

l 可以解决接入设备下单端口连接多用户(如交换机端口与PC之间级连HUB)

方案三

多服务EAD认证

设备无特别要求。

l 将配置全部在管理系统上进行控制

3 终端准入控制解决方案

H3C终端准入控制解决方案(EAD)从终端用户准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品的联动,对接入网络的终端用户强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强终端用户的主动防御能力,大幅度提高网络安全。

1、 安全接入:EAD在用户接入网络前,通过统一管理的安全策略强制检查终端用户的安全状态,并根据对终端用户安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;

2、 权限管理:在保证终端用户具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力;

3、 日志管理:在用户接入网络进行正常的使用之后,EAD解决方案又可以为用户进行桌面管理等相关内容,并且支持与用户行业审计解决方案(UBAS)联动,高效地管理网络用户的同时建立详细的用户访问互联网的日志,帮助管理分析用户的上网行为,为管理员提供行之有效的网络管理和用户行为跟踪审计策略。

http://www.h3c.com.cn/res/200811/03/20081103_681267_image005_618017_30004_0.gifhttp://www.h3c.com.cn/res/200811/03/20081103_681268_image006_618017_30004_0.png

1、 最广泛的接入方式支持:802.1x、Portal、VPN、无线等多种认证接入方式;

2、 支持用户名/密码、MAC地址、智能卡、数字证书等多种认证方式,提升认证安全性,支持IP、MAC、VLAN、接入端口等多元素绑定认证,支持防双网卡、私设代理、IE设置代理等,禁止内网外联行为;

3、 防病毒软件管理:支持业内主流防病毒软件杀毒引擎检测、病毒库版本检测,支持病毒库检测版本日期自适应更新,减少管理员维护工作量;

4、 操作系统软件补丁管理;

5、 可控软件管理:终端用户应用软件控制管理,可以自主定义黑、白软件类型!

6、 防ARP攻击:下发网关IP、MAC地址到客户端,实现静态绑定;支持IP流量和ARP报文异常管理

7、 灵活的安全级别自定义:默认有四种安全级别:下线模式、隔离模式、VIP模式、GUEST模式;明确各个检查项要求的安全级别,可以设置客户化的安全基本要求;

8、 基于用户(组)的动态权限管理

9、 用户行为审计(配合UBAS组件);

10、 在线用户安全检查;

11、 PC终端资产管理、软件分发、USB存储监控;

4 典型应用

为银行打造安全门禁--EAD应用于民生银行全国网

用户评价:

“H3C EAD终端准入解决方案从终端准入控制入手,整合了防病毒软件等单点安全产品,可以大幅度帮助民生银行提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力,给民生银行打造了终端安全‘门禁’系统,为企业运营与未来发展打下了坚固的基础。”

项目背景:

经过产品选型和测试,民生银行选定对现有网络设备和组网方式影响较小的H3C EAD终端准入控制解决方案,与Cisco和H3C设备配合,对网络设备和防病毒软件进行简单升级,即可实现接入控制和防病毒的联动,有效保护投资。而其防病毒功能的实现由第三方厂商完成,通过EAD的联动,民生银行以往部署的防病毒软件价值得到提升,帮助他们从单点防御迅速转化为整体防御。

方案部署:

民生银行同样采用了安全性较高的接入层802.1x部署方案,与Cisco3750、H3C S3600等系列交换机配合,并且采用LDAP用户统一认证,用户名与MAC地址、接入端口的绑定策略,有效杜绝了未授权用户非法使用网络。

同时,利用EAD提供的用户自助服务功能,外来用户必须自行输入姓名、密码等信息自行申请帐号,管理员审核通过后才能开通帐号,没有经过审批无法接入网络。

另外,各区域各自部署一套EAD双机热备系统,保证EAD的无故障运行。

目前民生银行总行和十多个省行均已部署EAD,其余省行的部署也在紧锣密鼓地进行中。

民生银行共采购30多套EAD,总用户数达68000点,目前在民生总行和山东、陕西、成都、福建、浙江等省分行均已部署。

方案特点:

n 支持与思科S3750系列交换机配合

n 支持EAD双机热备

n SUN LDAP统一认证

n EAD支持与Norton防病毒、WSUS补丁管理系统联动

n Guest Vlan与ACL的隔离方式:民生银行部署EAD时,在Cisco环境下采用guest LAN隔离方式,在H3C环境下采用更加安全的ACL隔离方式。

n 用户自助服务

n 无线EAD