华为TSM技术和H3CEAD技术深层次分析..docVIP

H3C EAD与华为TSM的技术分析 超级计算可以作为云计算的一种业务对internet用户提供便捷的服务。从这个角度来看，超算中心可以作为云计算数据中心的一个部分。但是超级计算与云计算还是很大区别的，因此需要看作是一个特殊的云计算服务。这种特殊性对于网络和安全方面的需求表现在： 超级计算是一种“聚合”业务，是一种特殊的服务器集群应用。这种应用要求服务器自成系统，具体表现在： · 集群系统不能出现异构现象。 ·集群内部的通信服务质量要求非常高，因此不能与其他业务共享业务通道。 ·集群系统的安全级别很高，从接入区开始一直到超算区，要求与其他系统保持物理或是逻辑隔离。 ·集群节点的计算性能要求较高，一般不会出现虚拟机。因此，集群内部的通信流量并不是很大。 综合各种需求，H3C提出融合超级计算中心和云计算数据中心的网络解决方案。将超级计算服务作为云计算的一个独立的区；保证超级计算端到端的安全隔离；在超级计算区内实现统一交换架构。 华为赛门铁克Secospace TSM（Terminal Security Management，终端安全管理）系统是面向具有安全内控需求的企业终端安全管理产品，将终端安全状况和接入控制结合在一起，通过安全检查、隔离修复、行为审计等手段，加强终端的主动防御能力，保证企业网络的整体安全性，提高企业对终端的管理水平。 多种接入控制方案，满足各种网络接入场景下的准入控制需求: 安全接入控制网关SACG，电信级硬件网关设备，提供对终端的安全接入控制，部署和维护简单，安全可靠、性能卓越； 802.1x控制方式，基于端点的安全接入控制，支持国内外主流厂商交换机，有效保证网络的接入安全； 基于主机防火墙的纯软方案，不依赖于任何网络设备，实现基于端点的安全接入控制，可主动阻止或隔离未安装代理的不安全终端对邻居终端的访问，减少威胁。 全面的身份认证方式，不同场景下灵活选择: 提供基于用户名密码的认证授权，同时也广泛支持主流的外部认证平台，如：AD、LDAP、USBKEY＋数字证书等，节省用户投资的同时极大的方便了管理员对访问用户进行统一的管理和配置，很大程度上降低了支持和维护的成本； 提供基于Agent客户端和基于IE浏览器的的无Agent认证方式，灵活满足内部员工、移动办公用户和临时访客的安全接入认证需求。 持续的员工行为管理，保障更高的IT资源的可用性和使用效率： 提供上网行为审计、软件使用审计、计算机外设使用审计、USB接口使用监控、非法外联监控、网络异常流量监控等安全策略； 对员工违规行为进行审计和控制，保证企业IT资源的合理使用。 强大的终端互访控制功能，满足企业对终端隔离的需求： 提供终端互访控制功能，支持终端层的安全域划分，不同安全域之间的互访需可信授权，有效保证终端之间的互访隔离。 系统架构分析 TSM系统架构分析 TSM终端安全管理系统是一个包括软件和硬件整体系统。主要由TSM管理器（SM）、控制器（SC）、代理（SA）和修复服务器（SRS）四个软件部件，以及接入控制网关（SACG）一个硬件部件，共五个部件组成。 TSM代理（TSM Agent，简称SA） 安装在用户终端上，负责用户的身份输入和安全策略检查。在用户使用网络前，必须启动SA，然后输入身份信息进行登录，在登录过程中，SA同时收集客户端的安全信息，把相关信息发送到SC进行检查。 TSM修复服务器（TSM Repair Server，简称SRS） 对操作系统补丁，杀毒软件，防火墙等安全资源进行集中统一的管理，对不符合企业安全策略的终端进行安全修复，同时为用户提供安全策略查询和安全问题反馈。SRS接受TSM管理器的信息，根据用户的安全状况给用户相应的提示信息，并协助用户对终端进行安全修复，比如补丁安装等。 TSM接入控制网关（TSM Access Control Gateway，简称SACG） 控制终端的网络访问权限，对不同的用户，不同安全状况的用户开放不同的权限。当TSM控制器认证和安全检查终端之后，把结果通知SACG，SACG根据控制器的信息，决定终端的访问权限。SACG采用华为公司的Eudemon系列产品。 TSM终端安全管理各模块功能 TSM管理器（TSM Manager，简称SM） 是TSM 安全管理系统的业务核心，提供各种业务功能组件，包括资产管理、软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等组件，并提供WEB界面与用户交互。 TSM控制器（TSM Controller，简称SC） 负责管理SA和SACG，SC接收SM的指令并发给SA执行，当用户通过SA认证通过后，SC控制SACG开放用户访问相应企业资源的权限，