H3C EAD与华为TSM的技术分析
超级计算可以作为云计算的一种业务对internet用户提供便捷的服务。从这个角度来看,超算中心可以作为云计算数据中心的一个部分。但是超级计算与云计算还是很大区别的,因此需要看作是一个特殊的云计算服务。这种特殊性对于网络和安全方面的需求表现在: 超级计算是一种“聚合”业务,是一种特殊的服务器集应用。这种应用要求服务器自成系统,具体表现在:
· 集系统不能出现异构现象。
·集内部的通信服务质量要求非常高,因此不能与其他业务共享业务通道。
·集系统的安全级别很高,从接入区开始一直到超算区,要求与其他系统保持物理或是逻辑隔离。 ·集节点的计算性能要求较高,一般不会出现虚拟机。因此,集内部的通信流量并不是很大。
综合各种需求,H3C提出融合超级计算中心和云计算数据中心的网络解决方案。将超级计算服务作为云计算的一个独立的区;保证超级计算端到端的安全隔离;在超级计算区内实现统一交换架构。
华为赛门铁克Secospace TSM(Terminal Security Management,终端安全管理)系统是面向具有安全内控需求的企业终端安全管理产品,将终端安全状况和接入控制结合在一起,通过安全检查、隔离修复、行为审计等手段,加强终端的主动防御能力,保证企业网络的整体安全性,提高企业对终端的管理水平。 多种接入控制方案,满足各种网络接入场景下的准入控制需求:
安全接入控制网关SACG,电信级硬件网关设备,提供对终端的安全接入控制,部署和维护简单,安全可靠、性能卓越;
802.1x控制方式,基于端点的安全接入控制,支持国内外主流厂商交换机,有效保证网络的接入安全;
基于主机防火墙的纯软方案,不依赖于任何网络设备,实现基于端点的安全接入控制,
可主动阻止或隔离未安装代理的不安全终端对邻居终端的访问,减少威胁。
全面的身份认证方式,不同场景下灵活选择:
提供基于用户名密码的认证授权,同时也广泛支持主流的外部认证平台,如:AD、LDAP、USBKEY+数字证书等,节省用户投资的同时极大的方便了管理员对访问用户进行统一的管理和配置,很大程度上降低了支持和维护的成本; 提供基于Agent客户端和基于IE浏览器的的无Agent认证方式,灵活满足内部员工、移动办公用户和临时访客的安全接入认证需求。
持续的员工行为管理,保障更高的IT资源的可用性和使用效率:
提供上网行为审计、软件使用审计、计算机外设使用审计、USB接口使用监控、非法外联监控、网络异常流量监控等安全策略;
对员工违规行为进行审计和控制,保证企业IT资源的合理使用。
强大的终端互访控制功能,满足企业对终端隔离的需求:
离子风机aryang
提供终端互访控制功能,支持终端层的安全域划分,不同安全域之间的互访需可信授权,有效保证终端之间的互访隔离。
系统架构分析
TSM系统架构分析
TSM终端安全管理系统是一个包括软件和硬件整体系统。主要由TSM管理器(SM)、控
制器(SC)、代理(SA)和修复服务器(SRS)四个软件部件,以及接入控制网关(SACG)一个硬件部件,共五个部件组成。
TSM代理(TSM Agent,简称SA)
安装在用户终端上,负责用户的身份输入和安全策略检查。在用户使用网络前,必须启动SA,然后输入身份信息进行登录,在登录过程中,防爆钟SA同时收集客户端的安全信息,把相关信息发送到SC进行检查。
TSM修复服务器(TSM Repair Server,简称SRS)
对操作系统补丁,杀毒软件,防火墙等安全资源进行集中统一的管理,对不符合企业安全策略的终端进行安全修复,同时为用户提供安全策略查询和安全问题反馈。SRS接受TSM管理器的信息,根据用户的安全状况给用户相应的提示信息,并协助用户对终端进行安全修复,比如补丁安装等。
TSM接入控制网关(TSM Access Control Gateway,简称SACG)
控制终端的网络访问权限,对不同的用户,不同安全状况的用户开放不同的权限。当TSM控制器认证和安全检查终端之后,把结果通知SACG,SACG根据控制器的信息,决定终端的访问权限。SACG采用华为公司的Eudemon系列产品。
TSM终端安全管理各模块功能
TSM管理器(TSM Manager,简称SM)
是TSM 安全管理系统的业务核心,提供各种业务功能组件,包括资产管理、软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等组件,并提供WEB界面与用户交互。
TSM控制器(TSM Controller,简称SC)
rtyrty负责管理SA和SACG,SC接收SM的指令并发给SA执行,当用户通过SA认证通过后,SC控制SACG开放用户访问相应企业资源的权限,即当认证通过后,由SACG(Eudemon防火墙)下发ACL进行动态的网络访问控制。
为什么SACG(Eudemon防火墙)下发ACL对接入用户进行网络访问动态控制?因为所有的接入流量必须引入到SACG(Eudemon防火墙),由SACG(Eudemon防火墙)根据IP地址下发ACL进行访问控制。
SACG(Eudemon燃煤烤箱防火墙)的部署方式主要有两种:
1. SACG(Eudemon防火墙)旁挂在接入、汇聚或者核心交换机。见下图说明:
步骤说明:
1 接入网络的用户需要进行认证(包括802.1X或者Portal认证)
2 认证通过,接入流量被通过某种方式(例如策略路由)导入到SACG(Eudemon防火墙)
3 SACG(Eudemon防火墙)根据接入IP(即接入用户身份)下发ACL
4 访问相应的网络资源
缺点:所有流量都被导入SACG(Eudemon防火墙),然后下发ACL进行网络访问控制,意味着上行的网络流量都被导入SACG(Eudemon防火墙),产生网络迂回,降低了网络性能,增加了网络故障点
2. SACG(Eudemon防火墙)串接入网络。见下图说明:
步骤说明:
1 接入网络的用户需要进行认证(包括802.1X或者Portal认证)
2 认证通过,接入流量进入到SACG(Eudemon防火墙),SACG(Eudemon防火墙)根据接入IP(即接入用户身份)下发ACL,如果认证和安全检查不同,下发隔离ACL。认证通过,下发访问网络ACL.
3 访问相应的网络资源
缺点:SACG(Eudemon防火墙)串接在网络中,所有流量都被导入SACG(Eudemon防火墙),然后下发ACL进行网络访问控制,增加了单点故障,使网络结构复杂。
H3C EAD系统架构分析
EAD解决方案组网包括安全客户端、安全联动设备、IMC EAD安全策略服务器和第三方服务器。
安全客户端:是指安装了H3CiNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
安全联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。
iMC EAD安全策略服务器:它要求和安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。
第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
EAD在用户接入网络前,通过统一管理的安全策略强制检查终端用户的安全状态,并根据对终端用户安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证终端用户具备自防御能力并
安全接入的前提下,可以通过动态分配ACL、VLAN苯妥英钠的制备等合理控制用户的网络权限,从而提升网络的整体安全防御能力。具体部署方案如图:
步骤说明:
1 接入网络的用户需要进行认证(包括802.1X或者Portal认证)
2 认证通过,接入交换机根据用户身份下发ACL或者VLAN
3 访问相应的网络资源
特点: 接入交换机可以执行802.1X认证,认证通过后根据用户身份下发ACL进行动态访问控制。首先这种部署方式不改变网络结构,不存在网络迂回和单点故障问题。接入交换机即可实现认证、访问控制一体化控制。结构简单,部署方便。
安全准入流程分析
TSM流程分析
终端安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端健康检查(即企业定义的安全策略标准),在确认身份合法并通过健康检查后,终端可以访问各种企业资源,认证不通过则不能访问网络,健康检查不通过则放在一个隔离区进行检查修复,直到终端通过健康检查后才允许正常访问企业内部网络资源,终端接入控制采用的是认证前域和认证后域的概念。终端接入控制主要是防止不安全的终端接入网络给企业安全带来隐患和防止非法终端和用户访问企业网络。
网络级访问控制和终端安全接入控制的差异在于认证通过后,访问控制网关会根据用户的身份,确定用户可以访问企业的哪些业务系统,网络级访问控制的重点是保护企业资源。TSM 安全管理系统提供的网络级访问控制采用基于角的访问控制,可以有效的制止用户的非法访问和越权访问。
EAD 流程分析
EAD在用户接入网络前,通过统一管理的安全策略强制检查终端用户的安全状态,并根据对终端用户安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证终端用户具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
功能模块分析
水过滤板
H3C公司EAD产品可以提供网络准入、终端安全、访问控制、用户行为审计、桌面资产管理;在以上几个功能模块中,其中用户行为审计、桌面资产管理华为产品无法提供,导致方案的较大缺陷,有些客户需要部署终端安全和桌面资产两套产品,维护困难,还存在兼容性差的问题。
同时EAD还可以实现基于用户账号的网络行为审计,可根据用户需要,通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计,并对审计结果提供灵活的排序、分组、保存等功能。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议