关键词：网络安全，防火墙，SecPath，EAD，RADIUS，PPP，L2TP，VPN

摘    要：本文介绍了H3C EAD解决方案的技术应用背景，描述了EAD解决方案的一些特色功能，并对H3C SecPath系列防火墙支持EAD解决方案在实际组网环境的应用作了简要的介绍。

缩略语清单：

 1  概述

伴随着网络应用技术的快速发展，网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响到企业的正常运营。如何应对网络安全威胁，确保企业网络安全，为企业运营提供可靠的网络保障，已经是每一个企业决策者不得不关注的问题，也是每一个网络管理员不得不面对的挑战。

目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业网络安全管理急需解决的问题。

传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。H3C端点准入防御（EAD）解决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以在终端接入层面帮助管理员统一实施企业安全策略，大幅度提高网络的整体安全。

2  技术应用背景

2.1  现有安全防御体系的缺陷

目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足。

(1)        被动防御：缺乏主动抵抗能力

在多数情况下，当一个终端受到感染时，病毒将被扩散到整个网络，如图2-1所示。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。

图2-1 被动防御情况下病毒在企业网内的快速扩散

(2)        单点防御：对病毒的重复、交叉感染缺乏控制

目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。

(3)        分散管理：安全策略不统一，缺乏全局防御能力

只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。

2.2  技术特点

为了解决现有安全防御体系中存在的不足，H3C推出了端点准入防御（EAD）解决方案，旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击。

作为一种新兴的安全防御体系，EAD从端点准入控制入手，整合防病毒软件等单点安全产品，可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力。EAD端点准入防御方案具有以下特点：

(1)        整合防病毒与网络接入控制，大幅提高安全性

EAD可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”，只能访问网络管理员指定的资源，直到按要求完成相应的升级操作。通过EAD的强制措施，可以保证用户终端与企业安全策略的一致，防止其成为网络攻击的对象或“帮凶”。

(2)        支持多种认证方式，适用范围广

EAD支持802.1X、Portal、VPN等多种认证方式，具有广泛的适应性，可以根据应用场景的区别，选择合适的方式实施准入防御策略，分别从局域网接入、VPN接入、汇聚设备等不同层面确保网络的整体安全。

(3)        全面隔离“危险”终端

在EAD方案中，对不符合企业安全策略的用户终端进行隔离时，可以配合设备采用VLAN或ACL隔离的方式，以到达物理或网络隔离的效果，实现对“危险”终端的全面隔离。

(4)        灵活、方便的部署与维护

EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。

(5)        详细的安全事件日志与审计

EAD对网络中的用户上网过程、安全状态、病毒查杀事件等信息提供详细的日志记录，方便管理员全面掌握全网用户终端的安全防御能力和病毒入侵情况。

(6)        具有策略实施功能，方便企业实施组织级安全策略

在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配置的安全策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理，并实时应用实施，以达到企业级安全策略统一实施的目的。

(7)        可扩展的、开放的安全解决方案

EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和防病毒软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的。EAD也是一个开放的安全解决方案。EAD系统中，安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前支持EAD方案的厂商包括市场份额最大的三大病毒厂商。通过EAD的联动，防病毒软件的价值得到提升，从单点防御转化为整体防御。

2.3  应用场合

EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，可以配合交换机、路由器、VPN网关等网络设备，实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的端点防御。

EAD可以为以下应用场景提供安全防护解决方案：

(1)        局域网接入安全防护

在企业网内部，接入终端一般是通过交换机接入企业网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网络，EAD可以通过交换机的配合，强制用户在接入网络前通过802.1X接入方式进行身份认证和安全状态评估，帮助管理员实施企业安全策略，确保终端病毒库和系统补丁得到及时更新，降低病毒和蠕虫蔓延的风险，阻止来自企业内部的安全威胁。

图2-2 局域网接入安全防护应用场景

(2)        关键数据保护

EAD的安全防护层次不仅仅限于用户接入控制，某些企业可能更关心对于核心数据区域（比如数据中心、ERP服务器区等）的安全保护。通过在关键数据区的入口添加安全联动路由器，EAD可以强制所有访问关键数据区的用户进行Portal认证和安全状态检查，确保用户访问关键数据时不会无意中因病毒和蠕虫对其产生破坏。这种保护方式也可以阻止外部用户对企业敏感数据的非法访问和攻击。

(3)        无线接入安全防护

WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的监控，容易感染病毒和木马或出现长期不更新系统补丁的现象。与局域网接入安全防护类似，对于这种无线接入的用户，EAD也可以在交换机配合下，通过标准的802.1X接入方式，对用户的身份和安全状态进行认证与评估，防止外来病毒和蠕虫对网络的攻击。

(4)        VPN接入安全防护

一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。远程接入的用户由于其来源的复杂性，往往会给企业网络带来严重的安全隐患。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，安装最新的病毒库和系统补丁。对于没有安装EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。

(5)        企业总部入口安全防护

大型企业往往拥有分支或下属机构，分支机构可以通过专线或WAN连接企业总部。某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器或BAS中实施EAD准入认证，强制接入用户进行Portal认证和安全状态检查。

(6)        企业分支出口安全防护

在某些管理和监控较为严格的企业，用户终端在企业网内部访问时，受到的安全威胁相对较小。但当用户试图访问外部网络时，其受到非法攻击和病毒感染的几率则要成倍增加，如果用户在访问外网时没有及时安装补丁或升级病毒库，则其系统中存在的漏洞将很可能成为外部攻击的目标，甚至成为攻击企内部网络的“帮凶”。EAD可以在企业出口路由器或BAS设备中强制用户进行Portal认证和安全状态检查，确保用户访问外网时具有符合企业标准的攻击防御能力。

3  特性介绍

3.1  相关术语

(1)        安全策略服务器

是EAD方案中的管理与控制中心，是EAD解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。H3C的CAMS产品实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。

(2)        安全客户端平台

是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略。

(3)        安全联动设备

是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器、安全网关等各类网络设备的安全联动。

(4)        第三方服务器

为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能集成至EAD解决方案中，实现安全产品功能的整合。

3.2  设备处理流程

EAD的基本功能是通过安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如下图所示：

图3-1 EAD基本原理

(1)        用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络

(2)        合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户账号预定义的安全策略，包括补丁版本、病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被安全联动设备隔离到隔离区

(3)        进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格

(4)        安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务

4  典型组网案例

4.1  Portal接入组网方案

EAD可以配合SecPath防火墙、高端交换机等设备，结合Portal认证方式在汇聚层实现对网络用户的端点准入控制。这种组网方案具有适应性广的特点，可以应用于企业网络出口、分支机构入口、关键区域保护等多种应用场景。

图4-1 Portal接入组网方案

组网说明：

由MA5200宽带接入服务器或S3528完成基于Portal的接入控制，进行用户网络访问的通断与开放，由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。在这种组网方式下，MA5200/S3528一般位于汇聚层或网络出口，对用户的隔离采用MA5200/S3528的开放地址进行控制，管理和组网相对简单。

4.2  VPN接入组网方案

采用VPN认证和EAD控制相结合，通过L2TP IPSec VPN实现数据封装，进行跨网络连接，实现对远程接入用户的端点准入控制。这种组网方案可以防止移动办公员工或外部合作人员访问企业内网时的带来的安全隐患。

图4-2 VPN接入组网方案

5  SecPath防火墙支持EAD的优势

(1)        为了解决现有网络安全管理中存在的不足，EAD解决方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全，同时结合SecPath防火墙，将高性能的包过滤功能、透明的代理服务、丰富的统计分析功能、多种安全保障措施集于一身，并且支持和交换机、路由器进行统一网管，轻松渗透到网络，和其他网络设备共同构成立体的企业防御系统。

(2)        网络从局部安全过渡到整体安全是一种认识的进步，也是应用日趋复杂带来的必然结果。SecPath防火墙支持EAD的解决方案正是从网络整体建设的角度出发，提供给用户网络整体安全方案。通过EAD实现单点网络用户终端的安全，通过SecPath防火墙强大的数据处理能力、丰富的安全特性和DoS/DDoS防护等功能，可以为大型企业及运营商提供高性能、扩展性好的安全服务。SecPath防火墙支持EAD的解决方案可以大幅度提高网络的整体防御能力。

6  结论

EAD解决方案提供了一个全新的安全防御体系，该系统作为网络安全管理的平台，将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力。通过对网络接入终端的检查、隔离、修复、管理和监控，有效管理网络安全，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，让网络拥有“自动免疫”的安全机能。结合H3C的SecPath系列防火墙、VPN网关、IDS、IPS、交换机、路由器以及主机服务器，为企业网提供端到端的安全解决方案。