目前,在企業網路中,使用者的終端電腦不及時升級系統補丁和病毒庫、私設代理伺服器、私自訪問外部網路、濫用企業禁用軟體的行為比比皆是,脆弱的使用者終端一旦接入網路,就等於給潛在的安全威脅敞開了大門,使安全威脅在更大範圍內快速擴散,進而導致網路使用行為的“失控”。保證使用者終端的安全、阻止威脅入侵網路,對使用者的網路訪問行為進行有效的控制,是保證企業網路安全運行的前提,也是目前企業急需解決的問題。
網路安全從本質上講是管理問題。終端准入控制(EAD,End user Admission Domination)解決方案從控制使用者終端安全接入網路的角度入手,整合網路接入控制與終端安全產品,通過智慧用戶端、安全性原則伺服器、網路設備以及協力廠商軟體的聯動,對接入網路的使用者終端強制實施企業安全性原則,嚴格控制終端使用者的網路使用行為,有效地加強了使用者終端的主動防禦能力,為企業網路管理人員提供了有效、易用的管理工具和手段。
1. 方案概述
對於要接入安全網路的使用者,EAD解決方案首先要對其進行身份認證,通過身份認證的使用者進行終端的安全認證,根據網路系統管理員定制的安全性原則進行包括病毒庫更新情況、系統補丁安裝情況、軟體的黑白名單、U盤外設使用情況、軟硬體資產資訊等內容的安全檢查,根據檢查的結果,EAD對使用者網路准入進行授權和控制。通過安全認證後,使用者可以正常使用網路,與此同時,EAD可以對使用者終端運行情況和網路使用情況進行審計和監控。EAD解決方案對使用者網路准入的整體認證過程如下圖所示:
2. 組網模型
如下圖所示,EAD組網模型圖中包括智慧用戶端、聯動設備、EAD安全性原則伺服器和協力廠商伺服器。
智能用戶端:是指安裝了智慧用戶端的使用者接入終端,負責身份認證的發起和安全性原則的檢查。
聯動設備:是指使用者網路中的交換機、路由器、VPN閘道等設備。EAD提供了靈活多樣的組網方案,聯動設備可以根據需要靈活部署在各層比如網路接入層和彙聚層。
EAD安全性原則伺服器:它要求和聯動設備路由可達。負責給用戶端下發安全性原則、接收用戶端安全性原則檢查結果並進行審核,向聯動設備發送網路訪問的授權指令。
協力廠商伺服器:是指補丁伺服器、病毒伺服器和安全代理伺服器等,被部署在隔離區中。當用戶通過身份認證但安全認證失敗時,將被隔離到隔離區,此時用戶能且僅能訪問隔離區中的伺服器,通過協力廠商伺服器進行自身安全修復,直到滿足安全性原則要求。
