唐钢端点准入防御系统的设计与应用

　1前言

    随着计算机网络的快速发展，网络已成为企业生产经营不可缺少的工具。网络发展的初期注重设备的互通性、链路的可靠性，从而达到信息共享的通畅。经过多年的应用与发展，伴随着我们对网络软硬件技术认识的深入，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业网最关心的问题，网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大，经常引起系统崩溃，两络瘫痪，使企业生产经验蒙受严重损失。在企业网中，任何一台终端的安全状态(主要是指终端的防病毒能力，补丁级别和系统安全设置)，都将直接影响到整个网络的安全。不符合安全策略的终端(如防病毒库版本低，补丁未升级)容易遭受攻击、感染病毒，如果某台终端感染了病毒，它将不断在网络中试图寻找下一个受害者，并使其感染；在一个没有安全防护的网络中，最终的结果可能是全网瘫痪，所有终端都无法正常工作。因此，研究设计一个能够解决这一危害的防御系统尤为必要。

    有鉴于此，通过对目前唐钢企业网状况的调研及其需求分析，研究设计了端点准入防御系统。端点准入防御系统在实际应用中切实可行。以下从其架构和组网方法做出分析。

　2端点准入防御系统架构

    端点准入防御系统是整合了孤立的单点防御系统，加强对用户的集中管理，统一实施企业网安全策略。提高网络终端的主动抵抗能力。该系统可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒，蠕虫的攻击。其基本功能是通过安全客户端、安全策略服务器、安全联动设备(如交换机、路由器)以及第三方服务器(如防病毒服务器、补丁服务器)的联动实现的。

    2．1安全客户端

    安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。其主要功能包括：

    (1)利用802．1X认证协议通过接入层交换机实现对终端进行身份验证(用户名、密码、IP、MAC、VLAN)，从而实现了端点准入控制。

    (2)检查用户终端的安全状态，包括操作系统版本、系统补丁等信息，同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。

    (3)安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略(是否监控邮件、注册表、禁止代理、禁止多网卡)、系统修复补丁升级，病毒库升级等功能。不按要求实施安全策略的用户终端将被限制在隔离区。

    (4)实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。

    2．2安全策略服务器

    安全策略服务器是端点准入系统的管理与控制中心。集中、统一的安全策略管理和安全事件监控。具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

    (1)用户管理。对用户身份信息、权限、分组策略等管理。网络中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。

    (2)安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。

    (3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。

    (4)日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态提供依据。

    2．3安全联动设备

    安全联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全联动设备采用H3C 3600交换机，利用802．1X协议认证实现端点准入控制。安全联动设备主要实现以下功能：

    (1)强制网络接入终端进行身份认证和安全状态评估。

    (2)隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，可以通过ACL方式限制用户的访问权限I同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。

    (3)提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如利用H3C 3600交换机的ACL、VLAN功能可以实现按不同用户需求访问不同的信息资源。

    2．4第三方服务器

    系统中隔离区的资源称为第三方服务器。用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级，补丁服务器则提供系统补丁升级服务，当用户终端的系统补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。

　3端点准入防御系统组网方法

    该系统组网。不需要对原有主要网络结构进行改动。需要更改的设备只有接人层交换机。接入层交换机只要能支持802．1X协议、ACL、VLAN等功能即可。利用这种组网方法对不符合安全策略的用户隔离严格，可以有效防止来自企业网络内部的安全威胁。

　4端点准入防御系统实施的效果

    该系统整合防病毒与网络接入控制，大幅提高安全性。确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”。只能访问网络管理员指定的资源。直到按要求完成相应的升级操作。通过端点准入防御系统的强制措施，可以保证用户终端与企业安全策略的一致，防止其成为网络攻击的对象或“帮凶”。

    提高了网络安全性的同时，对网络有效利用率也有很大的提高。减少了用户终端故障频率，提高了工作效率。

　5结语

    端点准入防御系统提供了一个全新的安全防御体系。将防病毒功能与网络接人控制相融合，加强了对用户终端的集中管理，有效的控制了非法用户接入唐钢企业网，提高了网络终端的主动抵抗能力。该系统通过安全客户端、安全策略服务器，接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击，从而大幅度提升了网络抵御新兴安全威胁的能力。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。