《HCNA-Security-CBSN第十章终端安全技术V10课件.pptx》由会员分享,可在线阅读,更多相关《HCNA-Security-CBSN第十章终端安全技术V10课件.pptx(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.第十一章 终端安全技术Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 2目标l学完本课程后,您将能够:p了解什么是终端安全p掌握TSM系统的组成部分及如何部署p理解TSM系统组织管理和准入控制方式p掌握TSM系统的安全策略配置Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 3目录1.1.终端安全概
2、述终端安全概述2.终端安全系统部署3.终端安全策略部署Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 4绝大部分威胁源于内网Mail SeverWeb Sever形同虚设形同虚设?根据加利福尼亚州旧金山的计算根据加利福尼亚州旧金山的计算机安全协会机安全协会(CSI)(CSI)的观点,的观点,大约大约60%60%到到80%80%的网络滥用事件起的网络滥用事件起源于内部网络。源于内部网络。列出了14种不容忽视的企业内部安全威胁Copyright 2010 Huawei Technologies Co.,Ltd.
3、All rights reserved.Page 5什么是终端安全?防病毒软件防病毒软件立体防御立体防御软件终端安全软件终端安全个人防火墙个人防火墙补丁管理软件补丁管理软件准入控制准入控制+桌面管理桌面管理+安全管理安全管理Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 6目录1.终端安全概述2.2.终端安全系统部署终端安全系统部署3.终端安全策略部署Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 7TSM体系架构简述企
4、业用户企业用户补丁 服务器邮件服务器防病毒服务器访客用户访客用户OA服务器文件服务器WSACGSACG企业管理员企业管理员802.1x802.1x交换机交换机普通交换机普通交换机隔离域隔离域认证后域认证后域认证前域认证前域SMSCSC修复 服务器WebWebAgentAgentlTSM系统组成l终端接入方式lTSM系统区域Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 8VPN 网关分支机构TSM ServerSACGSA防病毒服务器AD域服务器补丁服务器认证前域认证前域Internet认证后域认证后域 1
5、认证后域认证后域 2认证后域认证后域 3SASASASA集中式部署Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 9办事处办事处A A办事处办事处B B核心资源服务器 SACGBorder routerIntranetSM认证后域认证后域防病毒服务器SACGInternetSACGAD域服务器分支机构分支机构 SACGSACGSASASASASASASASCSCSC认证前域认证前域分布式部署Copyright 2010 Huawei Technologies Co.,Ltd.All rights reser
6、ved.Page 10SACG准入控制方式TSM 服务器认证前域认证前域隔离域隔离域市场部:已安装代理敏感资源敏感资源公共资源公共资源认证后域认证后域财务部:新员工,未安装代理硬件安全接入控制网关 防病毒防病毒软件运行?件运行?病毒病毒库更新?更新?OS/Office/IE/OS/Office/IE/数据数据库补丁?丁?安装安装违规软件?件?用用户名名+PW+PW LDAP LDAP MACMAC身份身份认证安全安全检查 TSMTSM通知通知SACGSACG下下发ACLACL规则,切,切换认证后域后域切切换认证后域后域自自动安全修复安全修复 防病毒防病毒软件升件升级 病毒病毒库更新更新 自自动
7、下下载补丁丁 SACG WebSACG Web推送推送 下下载代理代理进行安装行安装URLURL重定向重定向 AV服务器等Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 11TSM服务器认证前域认证前域互信域一-财务部网络资源网络资源认证后域认证后域主机防火墙准入控制外部非可信终端不能访问可信终端不同互信域间不能互访安全检查不通过,仅提供受限的网络资源,隔离威胁 防病毒防病毒软件运行?件运行?病毒病毒库更新?更新?OS/Office/IE/OS/Office/IE/数据数据库补丁?丁?安装安装违规软件?件?
8、用用户名名+密密码 LDAP LDAP MACMAC 用用户身份身份验证 安全策略安全策略检查 TSMTSM指派指派访问策略,控策略,控制制终端可端可访问的互信域的互信域和和认证后域后域 切换认证后域切换认证后域自自动安全修复安全修复 互信域二-市场部隔离域隔离域AV,Patch Server主机防火墙准入控制方式Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 12 敏感资源802.1X接入控制不安全终端端口关闭,不能访问邻居终端终端2终端1 防病毒防病毒软件运行?件运行?病毒病毒库更新?更新?OS/Off
9、ice/IE/OS/Office/IE/数据数据库补丁?丁?安装安装违规软件?件?用用户名名+PW+PW LDAP LDAP MACMAC 802.1x802.1x认证安全策略安全策略检查 交交换机机动态切切换VLANVLAN,控制,控制终端可端可访问认证后域后域动态切切换VLANVLAN自自动安全修复安全修复 TSM服务器防病毒服务器补丁服务器802.1x准入控制方式认证前域认证前域认证后域认证后域隔离域隔离域Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 13目录1.终端安全概述2.终端安全系统部署3.
10、3.终端安全策略部署终端安全策略部署Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 14TSM 产品主要功能网络身份识别可扩展、可升级的策略和报表服务准入控制安全管理桌面管理分权分域管理流程化策略模型n 访客管理n 例外设备管理n 强制遵从性评估n 授权用户访问范围n 身份认证匿名/本地账号AD/第三方LDAPPKI/CAn 合规性检查安全评估系统配置检查用户接入绑定n 一键式自动修复n 基于时段的NACn信息泄密防护外设管理移动存储管理网络访问监控非法外联监控文件操作审计n网络防护ARP防护IP/MAC绑
11、定流量审计IP访问规则恶意网络程序控制连通内外网监控IP设备接入审查n安全加固防病毒补丁/Service Pack可疑进程/注册项危险端口/服务软件黑白名单非法共享/账号安全非法网络配置n办公行为管理上网审计媒体下载非办公软件终端上线记录n自定义各种安全策略TSMn补丁管理一站式下载和安装WSUS强联动子网快速分发n资产管理生命周期管理资产变更告警管理IP设备自动识别n软件分发n远程协助n消息公告可运营报表准入控制安全管理桌面管理分权分域管理流程化策略模型可运营报表Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Pa
12、ge 15组织管理功能管理维度之一Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 16网络区域管理管理维度之二Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 17身份认证功能l普通用户名+口令认证lMAC账号认证lAD账号认证lLDAP认证l支持USBKEY认证Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 18安全策略-共享目录检查
13、Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 19安全策略-检查打印机共享Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 20安全策略-监控USB存储设备Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 21安全策略-计算机外设监控Copyright 2010 Huawei Technologies Co.,Ltd.All right
14、s reserved.Page 22安全策略-检查端口Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 23安全策略-监控DHCP设置Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 24安全策略-非法外联Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 25安全策略-检查防病毒软件Copyright 2010 Huawei Technol
15、ogies Co.,Ltd.All rights reserved.Page 26安全策略-补丁检查Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 27总结l什么是终端安全lTSM系统的组成部分及如何部署lTSM系统组织管理和准入控制方式lTSM系统的安全策略配置Copyright 2010 Huawei Technologies Co.,Ltd.All rights reserved.Page 28思考题lTSM是什么?它能解决哪些终端安全问题?lTSM系统主要由哪些组件组成?lSM、SC组件在TSM系统
16、中各承担什么角色,那个组件与SACG有业务交互?lTSM系统有哪2种管理维度?它们之间有何区别?lTSM系统可支持哪些身份认证方式?它们之间有何区别?lTSM系统主要有哪些安全策略?这些安全策略各解决什么问题?Thank 1、有时候读书是一种巧妙地避开思考的方法。4月-234月-23Tuesday,April 25,20232、阅读一切好书如同和过去最杰出的人谈话。12:31:3112:31:3112:314/25/2023 12:31:31 PM3、越是没有本领的就越加自命不凡。4月-2312:31:3112:31Apr-2325-Apr-234、越是无能的人,越喜欢挑剔别人的错儿。12:3
17、1:3112:31:3112:31Tuesday,April 25,20235、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2312:31:3112:31:31April 25,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。25四月202312:31:31下午12:31:314月-237、最具挑战性的挑战莫过于提升自我。四月2312:31下午4月-2312:31April 25,20238、业余生活要有意义,不要越轨。2023/4/2512:31:3112:31:3125 April 20239、一个人即使已登上顶峰,也仍要自强不息。12:31:31下午12:31下
18、午12:31:314月-2310、你要做多大的事情,就该承受多大的压力。4/25/2023 12:31:31 PM12:31:3125-4月-2311、自己要先看得起自己,别人才会看得起你。4/25/2023 12:31 PM4/25/2023 12:31 PM4月-234月-2312、这一秒不放弃,下一秒就会有希望。25-Apr-2325 April 20234月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Tuesday,April 25,202325-Apr-234月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。4月-2312:31:3125 April 202312:31谢谢大家谢谢大家