Controller_V100R001C00SPC100_终端安全管理培训

©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.华为AgileController终端安全管理部署Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2前言企业网络中存在大量的PC终端，企业虽然部署了杀毒软件和安全设备，但是依然可能存在很多安全问题，例如终端操作系统的漏洞、随意使用软件导致恶意软件入侵、终端管控不严导致的信息资产泄漏等。为了解决这些问题，华为AgileController产品推出了终端安全管理相关的特性。本课程介绍AgileController产品终端安全特性的部署和配置。Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3目标学完本课程后，您将能够:了解AgileController终端安全特性的应用场景了解AgileController终端安全特性的功能实现掌握AgileController终端安全特性配置部署方法掌握AgileController终端安全特性故障处理方法Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4目录AgileController终端安全特性应用场景AgileController终端安全特性功能实现AgileController终端安全特性配置部署AgileController终端安全特性故障处理Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5终端安全管理业界现状和发展趋势I：2001年以前，终端安全主要依赖于防病毒、反间谍软件技术，随着技术变化和安全威胁的花样翻新，终端安全事件屡屡发生，导致了用户对防病毒软件的不信任，以至于引发了防病毒软件是否卖“过期药”的激烈讨论。II：2001年到2009年，终端安全由简单的病毒防护，发展到以准入控制、终端安全、行为管控的一体化解决方案III.2009年以后，随着移动办公用户的快速增长，终端安全管理的范畴由传统PC机的管理扩展到智能终端以及各种IP设备的泛终端统一管理，终端安全的管理方针由以前的事件驱动发展为主动防御、综合防范、强化体验。泛终端安全&终端体验管理终端病毒防护一体化终端安全全球企业终端安全发展成熟度III.2009-II.2001-2009I：2001年前泛终端各种类型终端统一管理物理+虚拟统一管理终端安全管理4大发展趋势全功能准入控制+安全管理被动防御+主动控制平台化全网联动协同开放集成能力个性化桌面管家应用桌面用户服务Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6特点-通过终端安全检查确保终端安全合规安检不通过禁止接入网络安检通过授权接入网络产生违规接入记录严格宽松安全检查策略模板检查防病毒软件检查补丁/ServicePack检查可疑注册项/进程检查软件黑白名单检查非法端口使用检查开启不安全服务检查非法共享检查账号安全性强制DHCP检查同时使用多网卡用户接入IP/MAC绑定财务部总裁办安全检查策略模板检查防病毒软件检查补丁认证后域认证后域ControllerController保护AV等安全产品的投资价值减少恶意代码传播，提升资源可用性，减少服务中断风险减少信息泄密风险降低终端威胁网络的风险提供准确实时的企业遵从信息丰富的安全检查策略针对不同的用户角色或部门定义不同安全规则支持企业安全管理制度的演进基于角色的动态策略控制Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7特点-一键修复，降低终端管理维护成本用户安全检查修复完毕，授权接入网络认证后域一键式自动修复•自动部署指定版本的防病毒软件•防病毒软件强联动，自动更新病毒库•自动修复补丁•根据链接指导安装指定软件•注册表键值自动修复•屏保设置自动修复•共享目录自动删除安检不通过禁止接入网络检查防病毒软件检查补丁/ServicePack检查可疑注册项/进程检查软件黑白名单检查非法端口使用检查开启不安全服务检查非法共享检查账号安全性……一键式智能自动修复，实现终端自我管理,降低管理成本Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8特点-桌面安全标准化、降低病毒感染风险丰富的行为管理手段，促进企业桌面标准化控制非办公软件使用控制各类IM、炒股、网游、媒体下载要求：MSOffice2003(SP3orlater),2007要求AdobeReader6.0，7.0，8.0控制非法的web访问要求：特定时间段，不允许访问xx站点如新闻网站要求：禁止通过Proxy进行上网要求：上班时间禁止访问互联网只允许安装标准软件，实现桌面办公标准化控制非法的web访问，提高工作效率禁止非标软件的安装，降低病毒感染风险Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9特点-终端外设管理和行为监控设置禁用和启用外设接口，如果禁用场景下，使用这些受控设备，Controller代理将会记录终端用户使用这些受控设备的行为并上报设置是否禁用USB移动存储设备，对移动存储设备中的文件可进行加密或只读控制功能监视终端用户在终端主机的本地硬盘进行的文件操作（需要指定文件类型）。监视的文件操作包括：创建文件复制文件编辑文件重命名文件删除文件外设接口管理文件操作审计控制各种非法外联行为Printer串口/并口蓝牙红外MMC卡SD卡各类FlashDisk数码相机USB管理员配置策略并下发终端按照策略监控指定操作Modem拨号ADSL拨号VPN拨号非法Proxy服务器ISDN拨号同时使用内外网监控终端主机是否非法连入互联网。可提供阻断与违规代理服务器或网络的连接，并上报可监控Windows自带网络连接拨号程序建立的拨号连接状态Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10目录AgileController终端安全特性应用场景AgileController终端安全特性功能实现AgileController终端安全特性配置部署AgileController终端安全特性故障处理Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11终端安全技术架构WANMCMC管理员认证前域认证后域A分行准入控制网关安全管理器SC1SM1认证前域认证后域B分行准入控制网关SC2SM2防病毒修复补丁修复安全管理器防病毒修复补丁修复1.通过MC管理中心可以集中配置和分发策略到下级终端安全管理服务器2.终端安全客户端按照分配的安全策略对终端进行检查，检查通过后服务器可以通知准入控制设备给终端开放网络权限，如果检查不通过，可以对终端进行隔离修复多级管理模型Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12安全策略与准入控制联动流程主要内容：▬与硬件SACG联动流程▬与802.1X联动流程▬与PORTAL交换机联动流程Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13联动流程-硬件SACG1.上线流程示意图认证客户端准入控制设备控制服务器1.建立SSL连接2.执行身份认证过程：AD认证、用户名+口令认证等身份认证成功3.请求该认证账号对应的安全策略参数返回与该账号关联的安全策略参数4.终端执行安全策略检查5.上报终端安全检查结果根据安全检查的结果控制准入控制设备切换认证域返回安全认证的结果Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14联动流程-硬件SACG上线流程说明1）第一步：建立SSL通道，保护通信2）第二步：身份认证，验证用户合法性3）第三步：更新安全策略参数终端使用新的策略参数进行安全检查4）第四步：终端上报安全检查结果根据结果配置结果以及安全检查结果，判断进入认证后域或者隔离域，给FW下发上线消息，消息携带认证后域/隔离域参数当从FW接收到上线成功的消息，则通知终端认证通过或者被隔离。Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15联动流程-硬件SACG1.切换域流程示意图（以隔离域后域举例）终端位于隔离域终端用户点击修复(假设违规可以自动修复)修复后自动进入后域Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16联动流程-硬件SACGSACG准入控制切换流程说明如下几种情况会触发切换操作：1）处于隔离状态，终端用户点击修复操作（完成严重违规的修复）2）处理隔离状态，终端用户手工进行修复，然后点击重新检查操作3）处于隔离状态，终端用户手工进行修复，然后点击注销，再点击认证操作4）处于隔离状态，AgileControllerAGENT从服务器下载了新的策略参数，重新执行安全检查后严重违规消除5）处于认证后域状态，AgileControllerAGENT周期检查终端的安全状态需要被隔离Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17联动流程-802.1X交换机802.1X准入控制流程比较复杂，涉及如下几个问题：1.802.1X认证通过前，可能无法连接网络（1X端口被关闭）这会导致：终端代理在认证通过前，无法与AgileController服务器通信，更新安全策略终端802.1X认证通过前进行安全检查的参数是本地参数，可能与服务器不一致，在认证通过后重新连接服务器后，需要更新参数当更新参数后，使用新的参数进行安全检查时，安全检查的结果可能会发生变化，需要调整终端的隔离域/认证后域状态2.如果采用动态VLAN模式，隔离域/认证后域将划分在不同的VLAN上由于不同的VLAN使用不同的IP地址，这要求：网络中需要使用DHCP获取IP地址每次认证通过后，都需要重新获取IP地址，以便在正确的VLAN中正常使用网络3.如果终端加入了AD域在终端没有通过802.1X认证前，无法与AD服务器通信，终端只能离线认证Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page18联动流程-802.1X交换机802.1X准入控制流程包括两个阶段的认证：1.802.1X认证2.AgileControllerAgentT与服务器认证为什么要俩阶段认证：1.802.1X是一个相对独立的认证流程，在没有认证前AgileControllerAGNET与服务器无法通信2.802.1X认证后，AgileControllerAGNET需要与服务器通信，更新策略，开展其他业务3.从灵活的角度看，甚至还有可能在802.1X下，某些重要的资源前部署SACG总结：考虑到后续业务流程的，把802.1X做成一个相对独立的业务，1X认证后再做一个通用的认证流程Copyright©2014HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page19联动流程-802.1X交换机基本业务流程Copyr