华为TSM技术和H3C EAD技术深层次分析.docx

《华为TSM技术和H3C EAD技术深层次分析.docx》由会员分享，可在线阅读，更多相关《华为TSM技术和H3C EAD技术深层次分析.docx（12页珍藏版）》请在三一办公上搜索。

1、H3C EAD和华为TSM的技术分析超级计算可以作为云计算的一种业务对internet用户提供便捷的服务。从这 个角度来看，超算中心可以作为云计算数据中心的一个部分。但是超级计算和云 计算还是很大区别的，因此需要看作是一个特殊的云计算服务。这种特殊性对于 网络和安全方面的需求表现在：超级计算是一种“聚合”业务，是一种特殊的服务器集群使用。这种使用要 求服务器自成系统，具体表现在：-集群系统不能出现异构现象。集群内部的通信服务质量要求非常高，因此不能和其他业务共享业务通道。集群系统的安全级别很高，从接入区开始一直到超算区，要求和其他系统 保持物理或是逻辑隔离。集群节点的计算性能要求较高，一般不会

2、出现虚拟机。因此，集群内部的 通信流量并不是很大。综合各种需求，H3C提出融合超级计算中心和云计算数据中心的网络解决方 案。将超级计算服务作为云计算的一个独立的区；保证超级计算端到端的安全隔 离；在超级计算区内实现统一交换架构。华为赛门铁克Secospace TSM （Terminal Security Management，终端安全 管理）系统是面向具有安全内控需求的企业终端安全管理产品，将终端安全状况 和接入控制结合在一起，通过安全检查、隔离修复、行为审计等手段，加强终端 的主动防御能力，保证企业网络的整体安全性，提高企业对终端的管理水平。多种接入控制方案，满足各种网络接入场景下的准入控制

3、需求：安全接入控制网关SACG，电信级硬件网关设备，提供对终端的安全接入控 制，部署和维护简单，安全可靠、性能卓越；802.1x控制方式，基于端点的安全接入控制，支持国内外主流厂商交换机， 有效保证网络的接入安全；基于主机防火墙的纯软方案，不依赖于任何网络设备，实现基于端点的安全 接入控制，可主动阻止或隔离未安装代理的不安全终端对邻居终端的访问，减少 威胁。全面的身份认证方式，不同场景下灵活选择：提供基于用户名密码的认证授权，同时也广泛支持主流的外部认证平台，如: AD、LDAP、USBKEY+数字证书等，节省用户投资的同时极大的方便了管理员对访 问用户进行统一的管理和配置，很大程度上降低了支

4、持和维护的成本；提供基于Agent客户端和基于IE浏览器的的无Agent认证方式，灵活满足 内部员工、移动办公用户和临时访客的安全接入认证需求。持续的员工行为管理，保障更高的IT资源的可用性和使用效率：提供上网行为审计、软件使用审计、计算机外设使用审计、USB接口使用监 控、非法外联监控、网络异常流量监控等安全策略；对员工违规行为进行审计和控制，保证企业IT资源的合理使用。强大的终端互访控制功能，满足企业对终端隔离的需求：提供终端互访控制功能，支持终端层的安全域划分，不同安全域之间的互访 需可信授权，有效保证终端之间的互访隔离。1系统架构分析1.1 TSM系统架构分析TSM终端安全管理系统是一

5、个包括软件和硬件整体系统。主要由TSM管理器 （SM）、控制器（SC）、代理（SA）和修复服务器（SRS）四个软件部件，以及 接入控制网关（SACG）一个硬件部件，共五个部件组成。TSM 代理（TSM Agent，简称 SA）安装在用户终端上，负责用户的身份输入和安全策略检查。在用户使用网络 前，必须启动SA，然后输入身份信息进行登录，在登录过程中，SA同时收集客 户端的安全信息，把相关信息发送到SC进行检查。TSM修复服务器（TSM Repair Server，简称SRS）对操作系统补丁，杀毒软件，防火墙等安全资源进行集中统一的管理，对不 符合企业安全策略的终端进行安全修复，同时为用户提供安

6、全策略查询和安全问 题反馈。SRS接受TSM管理器的信息，根据用户的安全状况给用户相应的提示信 息，并协助用户对终端进行安全修复，比如补丁安装等。TSM 接入控制网关（TSM Access Control Gateway，简称 SACG）控制终端的网络访问权限，对不同的用户，不同安全状况的用户开放不同的 权限。当TSM控制器认证和安全检查终端之后，把结果通知SACG，SACG根据控制器的信息，决定终端的访问权限。SACG采用华为公司的Eudemon系列产 口口口。TSM终端安全管理各模块功能TSM 管理器（TSM Manager，简称 SM）是TSM安全管理系统的业务核心，提供各种业务功能组件

7、，包括资产管理、 软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等组件， 并提供WEB界面和用户交互。TSM控制器（TSM Controller,简称SC）负责管理SA和SACG, SC接收SM的指令并发给SA执行，当用户通过SA认 证通过后，SC控制SACG开放用户访问相应企业资源的权限，即当认证通过后， 由SACG （Eudemon防火墙）下发ACL进行动态的网络访问控制。为什么SACG （Eudemon防火墙）下发ACL对接入用户进行网络访问动态 控制？因为所有的接入流量必须引入到SACG （Eudemon防火墙），由SACG（Eudemon防火墙）根据IP地址下发ACL

8、进行访问控制。SACG （Eudemon防火墙）的部署方式主要有两种：1. SACG （Eudemon防火墙）旁挂在接入、汇聚或者核心交换机。见下图说明:SACG （Eudemon防火墙）旁观方案步骤说明： 接入网络的用户需要进行认证（包括802.1X或者Portal认证） 认证通过，接入流量被通过某种方式（例如策略路由）导入到SACG（Eudemon防火墙） SACG（Eudemon防火墙）根据接入旧（即接入用户身份）下发ACL 访问相应的网络资源缺点：所有流量都被导入SACG（Eudemon防火墙），然后下发ACL进行 网络访问控制，意味着上行的网络流量都被导入SACG（Eudemon防火

9、墙），产 生网络迂回，降低了网络性能，增加了网络故障点2. SACG（Eudemon防火墙）串接入网络。见下图说明:SACG （Eudemon防火墙）串接方案L醛搜:步骤说明： 接入网络的用户需要进行认证（包括802.1X或者Portal认证） 认证通过，接入流量进入到SACG（Eudemon防火墙），SACG（Eudemon 防火墙）根据接入旧（即接入用户身份）下发ACL，如果认证和安全检查不 同，下发隔离ACL。认证通过，下发访问网络ACL. 访问相应的网络资源缺点：SACG（Eudemon防火墙）串接在网络中，所有流量都被导入SACG （Eudemon防火墙），然后下发ACL进行网络访问

10、控制，增加了单点故障，使网络结构复杂。1.2 H3C EAD系统架构分析iNode客户端EAD终端管理解决方案架构图EAD终端管理解决方案由iNode客户端、EAD网关、第三方服务器、EAD服务器配 合，完成用户管理、准入管理、安全管理、维护管理和平台管理五大功能。EAD解决方案组网包括安全客户端、安全联动设备、IMC EAD安全策略服务器和第三方服务器。安全客户端：是指安装了H3CiNode智能客户端的用户接入终端，负责身份 认证的发起和安全策略的检查。安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD 提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如

11、网 络接入层和汇聚层。iMC EAD安全策略服务器：它要求和安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发 送网络访问的授权指令。第三方月艮务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署 在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时 用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直 到满足安全策略要求。EAD在用户接入网络前，通过统一管理的安全策略强制检查终端用户的安 全状态，并根据对终端用户安全状态的检查结果实施接入控制策略，对不符合企 业安全标准的用户进行“隔离”并强制用户进

12、行病毒库升级、系统补丁升级等操 作；在保证终端用户具备自防御能力并安全接入的前提下，可以通过动态分配 ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。 具体部署方案如图：H3C EAD部署方案防届奏服务器 补丁服务器EAD安全策略服务器无法通12身侨 验证，拒绝接 入网络802 .lxAD控制安全状态不合格, 被强制进入隔高区进行安全修复认证通过后 下发ACL安全检查合格，获 得符合用户身份的 网络访问权限802.1 xAD控制8Q2.1 x AD校非法用户不符台安全 策BS的用户合法用户，控制严格安全性高步骤说明： 接入网络的用户需要进行认证（包括802.1X或者P

13、ortal认证） 认证通过，接入交换机根据用户身份下发ACL或者VLAN 访问相应的网络资源特点：接入交换机可以执行802.1X认证，认证通过后根据用户身份下发ACL进行动态访问控制。首先这种部署方式不改变网络结构，不存在网络迂回和单点故障问题。接入交换机即可实现认证、访问控制一体化控制。结构简单，部 署方便。2安全准入流程分析2.1 TSM流程分析:i I安全梭查1 授饮访问j :监控| 审计旧止FS离修房授枳用户监控行为非按柱用户不安全用户访问范国审计取证Secospace安全接入控制流程示意图*终端安全接入控制是指企业员工在使用终端访问企业资源前，先要经过身份 认证和终端健康检查（即企业

14、定义的安全策略标准），在确认身份合法并通过健 康检查后，终端可以访问各种企业资源，认证不通过则不能访问网络，健康检查 不通过则放在一个隔离区进行检查修复，直到终端通过健康检查后才允许正常访 问企业内部网络资源，终端接入控制采用的是认证前域和认证后域的概念。终端 接入控制主要是防止不安全的终端接入网络给企业安全带来隐患和防止非法终 端和用户访问企业网络。网络级访问控制和终端安全接入控制的差异在于认证通过后，访问控制网关 会根据用户的身份，确定用户可以访问企业的哪些业务系统，网络级访问控制的 重点是保护企业资源。TSM安全管理系统提供的网络级访问控制采用基于角色 的访问控制，可以有效的制止用户的非

15、法访问和越权访问。EAD网络准入控制流程你安全吗?接入请求身份认证安全认证合法用户合格用户动态授权不同用户享受不同的网络使用权限你是谁?:非法用户:拒绝入网:不合格:进入隔离区你可以做什么？行为审计你在做什么？入。在用户接入网络前,通过统一管理的安全策略强制检查终端用户的安全 状态，并根据对终端用户安全状态的检查结果实施接入控制策略，对不符合企业 安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操 作；在保证终端用户具备自防御能力并安全接入的前提下，可以通过动态分配 ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。3功能模块分析H3C公司EAD产品可

16、以提供网络准入、终端安全、访问控制、用户行为审计、 桌面资产管理；在以上几个功能模块中，其中用户行为审计、桌面资产管理华为 产品无法提供，导致方案的较大缺陷，有些客户需要部署终端安全和桌面资产两 套产品，维护困难，还存在兼容性差的问题。同时EAD还可以实现基于用户账号的网络行为审计，可根据用户需要，通过 接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计，并对审计结果提供灵活的排序、分组、 保存等功能。网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用 户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外

17、发送了哪些 文件等信息均可通过日志审计得出结果H3C桌面管理模块可以提供丰富的额桌面管理功能，包括：支持资产分组、资产编号自动生成、资产的增删改、支持手工扫描单个 资产、自动关联资产责任人、资产信息上报策略定义、在线用户列表中 查询资产信息支持硬件、软件的资产变更管理，实时监控终端用户软件安装卸载/硬件 变更状态支持按照CPU、操作系统、软件、资产类型、硬盘等信息提供资产统计 功能。支持丰富的软件分发，其中包括按照资产批量分发软件、按照资产分组 分发、立即分发软件和定时分发软件、按照分发任务查询每个资产的软 件分发状态、支持资产的软件分发历史等可对USB的使用进行监控，监控信息包括USB插拔记

18、录、写文件名及文件 大小等。对于USB的插拔记录可产生告警以提醒管理员注意。外置管理，实现对光驱、软驱、USB移动存储、USB全部接口（不包括 USB鼠标、键盘）、打印机、调制解调器、串行口、并行口、1394控制 器、红外设备、蓝牙设备等进行启用和禁用。4对比分析总结 从部署方案分析，EAD优势非常明显：H3C EAD可以和接入交换机、路由器、防火墙配合，不需要增加任何硬件 网络设备，既可完成网络认证、网络访问控制功能，不需要网络访问控制网关设 备，不改变网络结构，减少网络中故障点，减轻网络部署难度，不影响网络性能。 是网络准入控制和网络结构完美的结合。华为TSM必须和防火墙配合，才能实现网络

19、访问控制功能，从Eudemon防 火墙在网络位置来看，Eudemon防火墙仅仅起到网络访问控制功能，但是完全 改变了网络结构，可能产生网络迂回，所有接入流量都引入到防火墙，并且增加 网络故障点。后续网络扩容，还必须同时增加Eudemon防火墙。从网络结构来 说，为了增加网络准入功能，完全改变网络结构是不可取的。 EAD可以提供丰富的部署场景，包括802.以、Portal、VPN、无线下的的 身份认证。在802.1x和portal下动态下发acl。 H3C EAD功能更加丰富，可以提供网络准入、终端安全、访问控制、用 户行为审计、桌面资产管理，实现全面的桌面终端的安全管理，相比之 下TSM存在严重的功能缺失。 广泛的使用，H3C EAD产品广泛使用于金融、政府、电力、企业等，对 于企业网客户有着深刻的理解，相比之下华为公司产品主要面向运营商， 在行业使用比较少。 厂家的服务能力，H3C长期服务和企业网，在内蒙地区有常驻办事处机 构，提供全面的本次服务能力。相比华为在内蒙办事处主要是运营商的 服务人员，企业网只有一个人。本文档由整理发布。