天珣产品培训——准入控制功能原理介绍 V1.0
天珣各项功能模块
模块
需求
功能需求
基本配置
支持按需支援管理员
支持策略服务器
支持按管理网段划分
支持按IP组进行划分
支持部门与注册
支持本地用户功能
支持用户组功能
支持可信MAC管理
支持可信GUID策略
支持用户、IP、MAC组合管理
支持网络设备配置列表功能
支持分组信息功能
支持查看客户端全局参数功能
安全基线
支持补丁强制策略
支持进程运行策略包含红名单、黑名单、白名单
支持软件安装策略包含红名单、黑名单、白名单、文件规范
支持防病毒软件策略
支持Windows服务策略包含Windows服务、SNMP服务
支持Windows账户策略包含账户策略、密码策略
支持Windows本地策略包含审核策略、用户权限分配策略、安全选项、IP协议安全、数据执行保护
支持注册表策略
支持共享资源策略
支持Windows事件日志管理
支持用户环境策略
支持终端强制注册功能
准入控制
支持网络准入功能
支持应用准入功能
支持客户端准入功能
支持ARP准入功能
安全防护
支持协议端口设定
支持防护策略
支持访客策略
补丁管理
支持在线补丁源
支持手工补丁源
支持补丁分发卸载
支持WSUS集成管理
支持补丁查询
桌面运维
支持软件分发功能
支持短消息发送功能
支持计算机命名规范功能
支持远程文件删除功能
支持终端实时操控功能
支持终端资源状况监控功能
认证管理
支持第三方CA机构认证
信息中心
支持接入信息统计
支持资产信息统计
网御星云培训教材
Leadsec Confidential
22
SSH远程登录管理防火墙
SSH登录管理必须首先在菜单“防火墙>>本地服务”中 添加ssh-server服务,才可以通过SSH协议远程登录安全 网关。以SecureCRT 5.0版本客户端为例,客户端设置 选择协议为ssh2,端口为8283,用户为root,默认密码 leadsecntr。此时客户端的IP必须是管理主机IP之一。 root@SuperV-5800 ~$ cli_sh SuperV-5800#config SuperV-5800(config)#
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
17
图形界面 - WebUI
可以通过图形化用户界面进行网络管理 –需要极少配置(默认管理地址:10.1.5.254) –https://10.1.5.254:8888 –PC需要本地子网上的一个地址 –密码保护 -https
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
2
第一章
云计算安全架构综述
© 2011 Leadsec Security, Inc. All rights reserved.
Leadsec Confidential
1
课程目标
完成本课程,你将能够:
Leadsec 多核防火墙管理 Leadsec 多核防火墙策略配置
Leadsec Guard日常管理及维护
Leadsec IPS日常管理及维护 Leadsec SAG日常管理及维护 Leadsec 安全审计日常管理及维护 日常网络故障排错
准入控制系统安全检查入网检测管理员未配置对应策略
准入控制系统安全检查入网检测管理员未配置对应策略1.为什么需要准入控制系统?目前,企业和组织均建立了较完善的信息化设施和网络,也可能已经上了防火墙和上网行为管理系统等管理手段,但新形势下普遍存在一个问题,就是每时每刻都有新的终端加入您的网络,终端已不再是传统意义上我们所理解的“终端”,它不仅是网线所连接的PC,还包括未授权的笔记本、BYOD、PAD、网络设备及各种各样的IOT设备。
这些未经合规性检测的终端可能会因未安装杀毒软件、漏洞补丁未更新等,存在病毒流入和内部信息外泄等安全隐患。
2.什么是准入控制系统?准入控制系统通过积极主动诊断多种网络访问设备的健康性,并采用隔离管控和有效引导的方法,做到可信计算机有条件的访问网络,阻止非授权计算机私自访问网络带来的安全隐患。
在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。
准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。
3.常用的准入控制的技术有什么?802.1X技术和ARP技术是目前使用较多的准入控制技术。
4.哪些行业需要准入控制系统?医疗卫生对所有进入医院内网的终端进行准入控制,保证入网终端合法合规。
自动发现网络环路并快速定位环路端口,保障业务系统网络正常运行。
确保终端用户接入的可控性,保证接入人员和终端的合规性。
2.企业集中的策略制定让用户得以轻松进行终端安全管理,大幅降低时间成本,从而将更多精力专注在自己的核心业务上。
外来“访客”,划入访客专网,同企业内网逻辑隔离。
同时可设置临时准入,并控制访客网络访问权限。
自动发现网络资产,帮助管理员了解网络的真实情况。
3. 政府①电子政务内网:建立需授权接入的可信网络体系。
建智能化管理体系,掌握全网安全趋势。
建立人性化的运维体系,操作简单易用性。
启明星辰全产品线介绍
29
天清IPS:一个“热”产
CERT CNCERT/CC
CVE CNCVE
披研露信究息安安全事全件 的不确披露定漏洞性
Microsoft 相关软件厂家
开 放 源 代 码
找出环境信息的变化的要素和规律 信息安全
博士后工作站
研究攻击躲避机理 设计抗躲避机制/算法
自我认知阶段→ 了解面临的风险(威胁、弱点、价值)
看问题
18
• 各产品应用定位 • 专业化安全产品发展之路
安全产品总体趋势与发展方向
• 安全目标更具体、产品定位更清晰、防御更有效
– 在不可信的网络世界中,建立纵深防御体系的需要
• 产品融入专业服务,逐渐由“冷”变“热”
– 安全变得简单,安全成为服务,服务成就安全
10
IDS与IPS的区别
11
IPS是深层防御、IDS是全面检测
检测与监控设施 可以有可疑行为
需要人工分析 入侵检测IDS
监
控 平
漏洞扫描
台
审计系统
要求精确
防护与控制设施
对人工分析无要求
入侵防御IPS
防火墙
接入控制
部署目标
• 强化风险管理能力 • 及时了解安全状况 • 为改善风险控制环境提
供决策依据
研究漏洞机理 研究新攻击特征
ADLABTM
攻击特征 无法精确定义
产品研发
发现新漏洞
基于攻击躲实避机时理的更新安全产攻击品特征的环境信息 图例
精确识别程序包
可被精确定义
资源 人/组织
实现精确打击 在线升级引擎,加载新算法
列入产品可升级事件库
办公网络
USG
天珣
核心计算域-止损
20110926_企业版客户端维护手册FAQV1.0_天珣内网安全风险管理与审计系统V6.6.9.3
天珣内网安全风险管理与审计系统客户端维护手册之FAQ(V6.6.9.3)启明星辰Beijing Venustech Cybervision Co., Ltd.2011 年9月1.客户端安装类Q:天珣客户端正常运行,但是右键菜单中的“防火墙设置”选项显示为灰色。
这表明防火墙模块未安装成功。
A:可能是Windows相关组件有问题或者杀毒软件拦截了组件的安装,导致无法正常安装防火墙模块的相关驱动。
方法一.可尝试手工添加防火墙模块相关驱动。
在本地连接属性中,点击“安装”按钮:选择要安装的网络组件类型“服务”,点击添加:点击从磁盘安装:在天珣客户端安装目录选择驱动安装文件netsf.inf。
点击确定,安装即可:安装完成后,再重新运行一次ClientSetup.exe安装天珣客户端。
一般即可成功安装防火墙模块,如果仍然不成功,则需要重新安装操作系统。
Q:windows2000系统安装客户端失败?提示“安装前设置过程失败,安装无法继续。
不能进行客户端安装”。
A:(1)检查Win2000 系统是否为SP4;如果不是,需要安装SP4补丁;(2)下载安装Windows installer 3.1,下载地址为:中文版/downloads/details.aspx?FamilyID=889482fc‐5f56‐4a38‐b838‐de7 76fd4138c&displaylang=zh‐cn英文版/downloads/details.aspx?FamilyID=889482fc‐5f56‐4a38‐b838‐de7 76fd4138c&DisplayLang=enQ:安装天珣客户端时,提示天珣防火墙报错?A:用户非常规卸载了天珣的可户端导致了防火墙驱动没正常卸载掉。
而重新安装天珣客户端的时候,因驱动已经存在而安装失败。
建议不要用户非常规卸载天珣客户端。
Q:是否可以保证天珣在用户无干预、无感知的情况下安装完毕?A:不能,安装过程会提示重启。
天珣非法外联控制四步曲
天珣非法外联控制四步曲北京启明星辰信息安全技术有限公司天珣产品部刘希诚计算机和网络技术的发展,为终端电脑提供了丰富的网络和设备互联的手段,借助这些手段,用户不仅可以直接通过有限的网络实现与其他电脑或Internet实现互联,也可以通过多种无线连接方式,例如无线局域网、红外线、蓝牙等实现网络和设备和互联,还可以通过终端提供的丰富的外设接口,例如USB接口、COM口、LPT口、Modem等多种接口,实现终端与外设、终端与终端或终端与网络的互联。
除此之外,在以上物理连接通的基础上,还有PPOE虚拟拨号、各类VPN供选择,作为安全的互连互通的可选方式。
然而,正是电脑具备的多种多样互联互通的方式,却成为内网合规管理实践中,所要面对的最大的挑战之一。
合规管理要求,内网终端电脑对Internet、内部网络和内部的其他终端或服务器的访问,要根据其使用者所在的部门和安全分级管理中的角色,根据管理的需求,只有其中一种或多种的网络互联使用权限;但现实是,即使内网终端有严格的互联规定,但因缺少有效的技术手段,仍有大量终端用户,违规进行“一机多用”和“非法外联”。
借助终端提供的多种外联通道,越权进行非法网络和设备外联,随意外发内部涉密资料,同时也为病毒、木马攻击内网提供了理想的通道,病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中,乘虚而入,攻入内网,严重威胁到内网的稳定运行和内网中内部数据的安全。
天珣内网风险管理与审计系统(以下简称天珣),作为启明星辰“五维内网合规管理模型”的最佳实践,同样在防止内网终端非法外联有着非凡的表现,部署天珣之后,简单四步即可彻底解决内网终端非法外联的“顽疾”。
第一步:启用用终端多网卡限制,保证只能通过指定网卡联网;第二步:启用终端外设接口限制,防止通过Modem、红外、蓝牙等非法外联;第三步:启用在移动存储认证,确保授权用户使用授权U盘进行数据安全共享;第四步:启用终端异常路由审计,侦测终端可能存在的其他网络非法外联蛛丝马迹。
923063-Ctirx思杰-介绍-海口市信息中心云桌面系统安全设计方案v1.0-20121127
海口市信息中心云桌面系统安全设计方案目录一、概述 (2)二、云桌面系统安全建设原则 (3)1.1、安全建设原则 (3)三、云桌面系统安全架构设计 (4)2.1、系统安全防护能力设计 (4)2.2、系统安全访问能力设计 (5)2.3、系统服务安全设计 (6)2.4、系统接入设备安全能力设计 (7)四、云桌面整体安全设计与各功能设计 (9)3.1、云桌面系统整体安全设计 (9)3.2、云桌面安全设计与等保要求 (10)3.3 结合第三方身份认证功能设计 (11)3.4、网络加密传输与安全网关接入设计 (13)3.5、用户帐户的集中管理与授权 (15)3.6、数据保密安全功能设计 (16)3.7、虚拟桌面镜像安全和存储安全功能 (17)3.8、操作日志智能审计安全功能 (17)一、概述基于云桌面系统的政府移动办公解决方案,完全不同于传统模式的桌面终端管理软件,集中化和虚拟化的特点不仅仅会大大增强内部系统及网络的安全性,同时也因此减少了网络运维的复杂程度和运维成本。
针对政府移动办公云桌面系统安全设计,立足可靠的安全保障体系,把安全放在首位,确保移动应用具有稳定性、高效性、可扩展性和安全性。
系统的安全体系要独立于公网运营商,系统的安全保障不依赖公网运营商的安全保障,但鼓励将公网运营商的安全保障作为系统安全措施的辅助或补充。
由传统的桌面终端迁移至云桌面系统,用户的接入方式、应用访问模型都会发生较大的改变。
具体表现为:•传统桌面终端与桌面云;•同样面临用户身份、终端管理和访问控制的问题;•同样面临桌面安全的问题;•同样面临数据保护和防泄漏的问题;•传统的终端安全控制手段在桌面云中同样适用,例如:利用802.1x或接入网关实现的桌面终端接入认证和控制,微软RMS桌面权限管理服务系统等;•传统桌面终端与桌面云的相异点:•用户的访问模型由二层(终端→应用)变为三层(客户端→桌面云→应用),这意味着,身份管理和访问控制由终端延伸至客户端、桌面云;•用户数据由分散(终端)到集中(桌面云),既带来集中数据的安全保护问题,但桌面云的集中可控,又使得对客户端的外设管理、恶意代码防护、补丁管理和桌面行为审计等得到大大的简化;•桌面云在传统的操作系统之下引入了新的虚拟化层,带来新的安全风险。
终端防护产品——天珣系
√
读
√
写
√
加密
多种文件授权共享管理机制
目录加密 插入/ 插入/拔出
加密
全盘加密 分区表加扰
审计
新建/ 新建/删除 读/写/复制
27
终端审计
文件操作审计 文件打印审计 上网行为审计 移动存储审计 异常路由审计 Windows登录审计 Windows登录审计
10
终端准入控制 – 客户端准入
基于安全策略、 基于安全策略、访问控制策略的客户端准入
内网
天珣管理服务器
11
层层设防的终端准入控制
多因素组合认证
User-IP-MAC+有效期 User-IP-MAC+有效期 应用层 User- +有效期 User-IP +有效期 IP-MAC +有效期 IP+有效期 网络层 MAC- +有效期 MAC-IP +有效期 User-Vlan-IPUser-Vlan-IP-MAC +有 +有 效期 终端层 安全状态
22
桌面合规管理 – 补丁与软件分发管理
Windows操作系统补丁分发管理 Windows操作系统补丁分发管理
支持多语言版本 多种补丁源,在线/WSUS/ /WSUS/手工 多种补丁源,在线/WSUS/手工 多种下发选项,自动/手工/ 多种下发选项,自动/手工/强制 支持离线补丁升级 关键补丁强制安装
修复区
9
终端准入控制 – 应用准入
基于策略网关的应用层准入
内网
DNS服务器 DNS服务器(支持 服务器( 旁路式策略网关) 旁路式策略网关)
Web/Mail服务器 Web/Mail服务器
天清汉马USG 天清汉马USG
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 11
天珣支持的认证条件类型
• • • • • • • • •
Page 12
Username/Password 可信MAC IP-MAC组合 User-IP-MAC组合 认证有效期 GUID(电脑的物理信息) 数字证书(文件类型或UKEY) 交换机端口 天珣服务器设置的安全状态
天珣支持的局域网和用户类型
DNS指向互联网 上的DNS服务器
天珣DNS准入数据交互
1 2 3
终端向DNS服务器发送解析请求,请求包中包含了终端的状态标识 安装了客户端并且安全状态符合要求则得到正确的响应 未安装客户端的终端得到的响应为修复服务器地址 不合规终端访问修复服务器
4
ISA准入控制
ISA准入数据交互
1
终端通过ISA代理进行HTTP访问 天珣ISA过滤器插件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC,并等待终端响应
终端响应代理的检查请求或未响应,后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则访问进行 终端未安装客户端或安全状态不要求,则重定向访问 被重定向的客户端访问修复服务器
IIS准入数据交互
WEB准入控制流程
通过IE访问第 三方登录页面
嵌入式代码检查IE是 否安装了天珣IE控件
否
是
提示用户安 装IE控件
否
IE控件从服务器端查 询本机是否被准入
能够正常 登录访问
是 否
IE控件检查标准客户 端是否正在运行
是
重定向到标准客 户端安装页面
能够正常 登录访问
终端准入
1、客户端准入
2、ARP准入
Page 10
802.1x端口受控模式
• Port-Based
– 一个交换机端口只要有一台终端认证通过了,所有 终端都能获得访问授权 – Cisco交换机 – 支持MAC-Based的交换机
• MAC-Based
– 一个交换机端口下接的每台终端都需要分别认证通 过,才能获得访问授权 – H3C – 华为 – 锐捷 – 其他国内交换机
EOU
Si Si
Inernet
网关联动
802.1x
网络层
•
终端层准入控制
– – 客户端准入 ARP 准入
客户端准入 ARP准入 终端层
……
Page 2
1、网络准入
目录
2、应用准入 3、终端准入
Page 3
1、接入层准入——802.1X准入(有线或无线)
网络准入
2、汇聚层准入——EOU准入(思科设备) 3、网关型准入——天珣与天清汉马网关联动
1
终端访问以任意端口提供服务的IIS应用 天珣IIS API插件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC,并等待终端响应
终端响应代理的检查请求或未响应,后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则访问进行 终端未安装客户端或安全状态不要求,则重定向访问 被重定向的客户端访问修复服务器
Page 4
系统角色
系统角色 定义
验证者(Authenticator) 对接入的网络实体进行验证的实体
请求者(Supplicant) 验证服务器
被所接入的验证者验证的网络实体
对验证者提供验证服务的实体,这种服务决定请 (Authentication Server) 求者是否被允许接入验证者所提供的服务
• 局域网类型
– 有线局域网 – 无线局域网
• 用户认证类型
– AD域 – OpenLDAP – 天珣本地用户
Page 13
EOU准入控制数据交互
企业网络 天珣客户端
1 2 3 8
Cisco汇聚层 网络设备 9
认证服务器
4 5
目录服务器
7
6
1 2 3
客户端发送IP数据包至Cisco汇聚层设备 Cisco汇聚层设备通过EAPoUDP要求客户端发送认证信息 客户端通过EOU将认证信息发送给Cisco汇聚层设备 Cisco设备将客户端认证信息通过Radius协议转发给认证服务器 认证服务器收到信息开始验证工作,与目录服务器交互,确认用户权限 目录服务器将用户身份认证的结果反馈给认证服务器 认证服务器根据认证结果发送允许或拒绝接入的ACLs/URL redirect Cisco设备反馈认证结果给客户端
天珣内网安全风险管理与审计系统 准入控制原理
启明星辰 2013.9
天珣—准入控制最佳实践
• 网络层准入控制
– – – 接入层—802.1x 汇聚层— EOU 网络边界—网关联动
Web准入 IIS准入 ISA准入 DNS准入 通用准入
应用层
•
应用层准入控制
– – – – – 通用准入 DNS准入 ISA准入 IIS准入 Web准入
Page 26
客户端准入
终端被访问
1
终端访问网络
1
接收到访问包
应用程序访问网络
2
自身安全状态检查 Pass or Deny 补丁? 病毒码? 运行软件? ……
2
Pass or Deny 自身安全状态检查
补丁? 病毒码? 运行软件? ……
3
检查对方是否运 行了客户端软件
4
Pass or Deny 并给出修复指引
代理向终端发送SecureCheckCC,并等待终端响应
终端响应代理的检查请求或未响应,后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则放行该访问 终端未安装客户端或安全状态不要求,则重定向访问 被重定向的客户端访问修复服务器
开启UTM联动的准备工作
• • • • • 1、统计ip电话的ip地址 2、统计网络视频终端的IP地址 3、统计POSS机的IP地址 4、UTM上联设备和下联设备的互联地址 5、统计其他非正常windows操作系统设 备的IP地址 • 6 、IDS/UTM管理地址。 • 7、天珣主/备服务器的IP地址。
谢 谢!
Page 29
Page 5
受控端口和非受控端口
验证者系统 受控端口 非受控端口 受控端口
验证者系统 非受控端口
未被授权 的端口
授权的端口
LAN
LAN
Page 6
端口控制模式
模式 强行未授权
行为 受控端口被无条件设置为未授权状态 受控端口被无条件设置为已授权状态 允许协议控制受控端口的授权状态
(ForceUnauthorized)
3
Pass or Deny 并给出修复指引
ARP准入
1
接收到ARP请求
•
2
是否有客户端标识
3
如果没有,发 ARP欺骗包
天珣ARP准入的特点 以应答方式进行ARP欺骗, 发包数量少,没有广播包, 对网络影小 安静地不回应。如果ARP包 被请求者有客户端而请求者 无客户端,则被请求者安静 地不回应,没有ARP欺骗包 发出,进一步降低对网络的 影响。
1、通用准入 2、DNS准入
应用准入
3、ISA准入 4、IIS准入 5、WEB准入
Page 18
天珣通用准入控制
1
终端访问受网关保护的应用服务器 天珣网关组件向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
代理向终端发送SecureCheckCC,并等待终端响应
终端响应代理的检查请求或未响应,后者代理等待超时 代理将检查结果告知策略网关 终端安装客户端且安全状态符合要求则访问进行 终端未安装客户端或安全状态不要求,则重定向访问 被重定向的客户端访问修复服务器
1 2 3
6
5
4
天珣客户端
支持802.1x的交 换机或无线AP
天珣Radius服 务器
目录服务器
1 2 3 4 5 6
天珣客户端发送身份认证信息给交换机(借助802.1x协议) 交换机将认证信息转发给Radius服务器 Radius服务器收到信息开始验证工作,与目录服务器交互,确认用户权限 目录服务器将用户身份认证的结果反馈给Radius服务器 Radius服务器根据验证的结果通知交换机是否打开端口 将认证结果告知EPOS客户端
4
5 6 7 8 9
客户端将被授权/拒绝/访问重定向或者隔离
EOU准入控制过程图示
•
天珣对EOU的支持 用户认证、可信MAC认证、有效期认证 无客户端时重定向到安装客户端的页面
网关联动数据交互
1
终端访问USG保护区域,流量经过USG USG向天珣策略网关代理请求终端状态
2 3
4 5 6 7 8
强行授权 (ForceAuthorized) 自动(Auto)
Page 7
工作原理
请求者系统
验证者系统
验证服务器系统
请求者PAE
验证者系统 提供的服务 未被授权 的端口
验证者PAE 承载在高层协议 中的EAP报文
验证服务器
LAN/WLAN
Page 8
802.1x的协议流程
Page 9
天珣802.1X 准入控制
DNS准入部署示意
旁路式DNS准入
互联网上的DNS服务器
在线式DNS准入
内网应用服务器 DNS服务器 DNS策略网关
互联网
企业内网
互联网
出口交换机 DNS策略网关
DNS指向内部 DNS服务器
企业内网
•
天珣DNS准入
同时支持旁路式和在线式两种模式 对于未安装客户端的终端,任何DNS请求都 解析为下载服务器的IP地址 对于已安装客户端的终端,由客户端准入实 施进一步的控制