端點準入防御系統的設計與實施效果

　　1前言

　　隨著計算機網絡的快速發(fā)展，網絡已成為企業(yè)生產經營不可缺少的工具。網絡發(fā)展的初期注重設備的互通性、鏈路的可靠性，從而達到信息共享的通暢。經過多年的應用與發(fā)展，伴隨著我們對網絡軟硬件技術認識的深入，網絡安全已經超過對網絡可靠性、交換能力和服務質量的需求，成為企業(yè)網最關心的問題，網絡安全基礎設施也日漸成為企業(yè)網建設的重中之重。在企業(yè)網中，新的安全威脅不斷涌現，病毒和蠕蟲日益肆虐。他們自我繁殖的本性使其對網絡的破壞程度和范圍持續(xù)擴大，經常引起系統崩潰，兩絡癱瘓，使企業(yè)生產經驗蒙受嚴重損失。在企業(yè)網中，任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力，補丁級別和系統安全設置)，都將直接影響到整個網絡的安全。不符合安全策略的終端(如防病毒庫版本低，補丁未升級)容易遭受攻擊、感染病毒，如果某臺終端感染了病毒，它將不斷在網絡中試圖尋找下一個受害者，并使其感染;在一個沒有安全防護的網絡中，最終的結果可能是全網癱瘓，所有終端都無法正常工作。因此，研究設計一個能夠解決這一危害的防御系統尤為必要。

　　有鑒于此，通過對目前唐鋼企業(yè)網狀況的調研及其需求分析，研究設計了端點準入防御系統。端點準入防御系統在實際應用中切實可行。以下從其架構和組網方法做出分析。

　　2端點準入防御系統架構

　　端點準入防御系統是整合了孤立的單點防御系統，加強對用戶的集中管理，統一實施企業(yè)網安全策略。提高網絡終端的主動抵抗能力。該系統可以將不符合安全要求的終端限制在“隔離區(qū)” 內，防止“危險”終端對網絡安全的損害，避免“易感”終端受病毒，蠕蟲的攻擊。其基本功能是通過安全客戶端、安全策略服務器、安全聯動設備(如交換機、路由器)以及第三方服務器(如防病毒服務器、補丁服務器)的聯動實現的。

　　2.1安全客戶端

　　安全客戶端是安裝在用戶終端系統上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體。其主要功能包括：

　　(1)利用802.1X認證協議通過接入層交換機實現對終端進行身份驗證(用戶名、密碼、IP、MAC、VLAN)，從而實現了端點準入控制。

　　(2)檢查用戶終端的安全狀態(tài)，包括操作系統版本、系統補丁等信息，同時提供與防病毒客戶端聯動的接口，實現與第三方防病毒客戶端的聯動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。

　　(3)安全策略實施，接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設置安全策略(是否監(jiān)控郵件、注冊表、禁止代理、禁止多網卡)、系統修復補丁升級，病毒庫升級等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。

　　(4)實時監(jiān)控系統安全狀態(tài)，包括是否更改安全設置、是否發(fā)現新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。

　　2.2安全策略服務器

　　安全策略服務器是端點準入系統的管理與控制中心。集中、統一的安全策略管理和安全事件監(jiān)控。具有用戶管理、安全策略管理、安全狀態(tài)評估、安全聯動控制以及安全事件審計等功能。

　　(1)用戶管理。對用戶身份信息、權限、分組策略等管理。網絡中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略。

　　(2)安全策略管理。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。

　　(3)安全聯動控制。安全策略服務器負責評估安全客戶端上報的安全狀態(tài)，控制安全聯動設備對用戶的隔離與開放，下發(fā)用戶終端的修復方式與安全策略。通過安全策略服務器的控制，安全客戶端、安全聯動設備與防病毒服務器才可以協同工作，配合完成端到端的安全準入控制。

　　(4)日志審計。安全策略服務器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網絡的整個網絡的安全狀態(tài)提供依據。

　　2.3安全聯動設備

　　安全聯動設備是網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全聯動設備采用H3C 3600交換機，利用802.1X協議認證實現端點準入控制。安全聯動設備主要實現以下功能：

　　(1)強制網絡接入終端進行身份認證和安全狀態(tài)評估。

　　(2)隔離不符合安全策略的用戶終端。聯動設備接收到安全策略服務器下發(fā)的隔離指令后，可以通過ACL方式限制用戶的訪問權限I同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。

　　(3)提供基于身份的網絡服務。安全聯動設備可以根據安全策略服務器下發(fā)的策略，為用戶提供個性化的網絡服務，如利用H3C 3600交換機的ACL、VLAN功能可以實現按不同用戶需求訪問不同的信息資源。

　　2.4第三方服務器

　　系統中隔離區(qū)的資源稱為第三方服務器。用于終端進行自我修復的防病毒服務器或補丁服務器。網絡版的防病毒服務器提供病毒庫升級服務，允許防病毒客戶端進行在線升級，補丁服務器則提供系統補丁升級服務，當用戶終端的系統補丁不能滿足安全要求時，可以通過補丁服務器進行補丁下載和升級。

　　3端點準入防御系統組網方法

　　該系統組網。不需要對原有主要網絡結構進行改動。需要更改的設備只有接人層交換機。接入層交換機只要能支持802.1X協議、ACL、VLAN等功能即可。利用這種組網方法對不符合安全策略的用戶隔離嚴格，可以有效防止來自企業(yè)網絡內部的安全威脅。

　　4端點準入防御系統實施的效果

　　該系統整合防病毒與網絡接入控制，大幅提高安全性。確保所有正常接入網絡的用戶終端符合企業(yè)的防病毒標準和系統補丁安裝策略。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”。只能訪問網絡管理員指定的資源。直到按要求完成相應的升級操作。通過端點準入防御系統的強制措施，可以保證用戶終端與企業(yè)安全策略的一致，防止其成為網絡攻擊的對象或“幫兇”。

　　提高了網絡安全性的同時，對網絡有效利用率也有很大的提高。減少了用戶終端故障頻率，提高了工作效率。

　　5結語

　　端點準入防御系統提供了一個全新的安全防御體系。將防病毒功能與網絡接人控制相融合，加強了對用戶終端的集中管理，有效的控制了非法用戶接入唐鋼企業(yè)網，提高了網絡終端的主動抵抗能力。該系統通過安全客戶端、安全策略服務器，接入設備以及防病毒軟件的聯動，可以將不符合安全要求的終端限制在“隔離區(qū)” 內，防止“危險”終端對網絡安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊，從而大幅度提升了網絡抵御新興安全威脅的能力。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]