HCNA-Security-CBSN 第十一章 终端安全技术V1.0.ppt

Copyright ? 2010 Huawei Technologies Co., Ltd. All rights reserved. Page * Thank you Copyright ? 2010 Huawei Technologies Co., Ltd. All rights reserved. 修订记录 课程编码 适用产品 产品版本 课程版本ISSUE HC1103 华为TSM系统 V100R002 V1.0 开发/优化者 时间 审核人 开发类型（新开发/优化） 陈灵光 2011.7 余雷 第一版 本页不打印 第十一章 终端安全技术 目标 学完本课程后，您将能够: 了解什么是终端安全 掌握TSM系统的组成部分及如何部署 理解TSM系统组织管理和准入控制方式 掌握TSM系统的安全策略配置 目录 终端安全概述 终端安全系统部署 终端安全策略部署 绝大部分威胁源于内网 Mail Sever File Sever Web Sever 形同虚设？ 根据加利福尼亚州旧金山的计算机安全协会(CSI)的观点， 大约60%到80%的网络滥用事件起源于内部网络。 列出了14种不容忽视的企业内部安全威胁 什么是终端安全? 防病毒软件 立体防御 软件终端安全 个人防火墙 补丁管理软件 准入控制+桌面管理+安全管理 目录 终端安全概述 终端安全系统部署 终端安全策略部署 TSM体系架构简述 企业用户 补丁 服务器 邮件服务器 防病毒服务器 访客用户 OA服务器 文件服务器 W SACG 企业管理员 802.1x交换机 普通交换机 隔离域 认证后域 认证前域 SM SC SC 修复 　服务器 Web WebAgent Agent TSM系统组成 终端接入方式 TSM系统区域 VPN 网关 分支机构 TSM Server SACG SA 防病毒服务器 AD域服务器 补丁服务器 认证前域 Internet 认证后域 1 认证后域 2 认证后域 3 SA SA SA SA 集中式部署 办事处A 办事处B 核心资源服务器 … SACG Border router Intranet SM 认证后域 防病毒服务器 SACG Internet SACG AD域服务器 分支机构 … SACG SACG SA SA SA SA SA SA SA SC SC SC 认证前域 分布式部署 SACG准入控制方式 TSM 服务器 认证前域 隔离域 市场部：已安装代理 敏感资源 公共资源 认证后域 财务部：新员工，未安装代理 硬件安全接入控制网关 防病毒软件运行？ 病毒库更新？ OS/Office/IE/数据 库补丁？ 安装违规软件？ …… 用户名+PW LDAP MAC 身份认证 安全检查 TSM通知SACG下发ACL规则，切换认证后域 切换认证后域 自动安全修复 防病毒软件升级 病毒库更新 自动下载补丁 …… SACG Web推送 下载代理进行安装 URL重定向 AV服务器等 TSM服务器 认证前域 互信域一-财务部 网络资源 认证后域 主机防火墙准入控制 外部非可信终端不能访问可信终端 不同互信域间不能互访 安全检查不通过，仅提供受限的网络资源，隔离威胁 防病毒软件运行？ 病毒库更新？ OS/Office/IE/数据 库补丁？ 安装违规软件？ …… 用户名+密码 LDAP MAC 用户身份验证 安全策略检查 TSM指派访问策略，控制终端可访问的互信域和认证后域 切换认证后域 自动安全修复 互信域二-市场部 隔离域 AV, Patch Server 主机防火墙准入控制方式 敏感资源 802.1X接入控制 不安全终端端口关闭，不能访问邻居终端 终端2 终端1 防病毒软件运行？ 病毒库更新？ OS/Office/IE/数据 库补丁？ 安装违规软件？ …… 用户名+PW LDAP MAC 802.1x认证 安全策略检查 交换机动态切换VLAN，控制终端可访问认证后域 动态切换VLAN 自动安全修复 TSM服务器 防病毒服务器 补丁服务器 802.1x准入控制方式 认证前域 认证后域 隔离域 目录 终端安全概述 终端安全系统部署 终端安全策略部署 TSM 产品主要功能 网络身份识别 可扩展、可升级的策略和报表服务 准入控制 安全管理 桌面管理 … 访客管理 例外设备管理 强制遵从性评估 授权用户访问范围 身份认证 匿名/本地账号 AD/第三方LDAP PKI/CA 合规性检查 安全评估 系统配置检查 用户接入绑定 一键式自动修复 基于时段的NAC … 信息泄密防护 外设管理 移动存储管理