天融信整合打造运营商终端准入建设方案

对运营商的业务系统进行访问的主机包括内部终端，以及外部第三方终端，这些终端在缺乏有效保护时，其自身的安全问题对网络的安全性带来极大挑战，终端上感染的病毒会通过网络大面积传播，并严重影响业务的连续性；此外网络管理人员也明确提出，不能在终端设备上安装代理软件，因此传统的终端安全管理解决方案无法适应该运营商的需求。

天融信针对此问题，提出了边界防护、认证、准入控制一体化的解决方案，通过整合多种技术，整合集中的管理工具，形成面向全业务访问过程的解决方案。

方案背景

作为承载网，各种不同应用的终端具有种类多、数量大、分散广等特点，在计算机终端广泛应用的同时，也产生了一些问题和困难。在运营上采用了域管理技术，实现对内、外部终端的认证与访问控制，但是技术作用在应用层，对网络层的攻击行为（比如蠕虫病毒、拒绝服务等）缺乏控制手段。

目前某运营商某业务网络的总体结构简化示意如下：

安全需求

目前，对用户终端没有完善的用户管理体系、计算机管理体系、接入控制体系和接入状态检测（补丁、病毒库版本），系统很容易被攻击，也存在潜在的病毒泛滥威胁。对外部第三方接入的终端缺乏有效的控制措施，导致不能从根本上解决终端的安全问题。

设计思路

针对某网络终端控制的需求，天融信提出了从终端到网络，到应用支撑的一系列安全技术，针对内部终端和外部第三方终端，采用多种技术的整合来保障安全；天融信将基于以策略为核心，形成一套覆盖全面，可靠稳定的安全准入系统，全面提升用户的安全接入能力，更好地支撑业务的开展；通过边界安全和安全准入技术的整合，形成纵深的防护能力，有效地规避用户边界安全和终端接入过程中面临的各类安全问题；通过安全准入网关管理中心，做到策略的集中下发与日志管理，以及对终端安全准入监控。

方案设计

实现全局安全防护策略。解决单独安全措施仅能解决单一问题的现状。通过将各类安全效措施整合起来，实现边界的安全过滤与终端准入控制结合来更有效的解决安全问题。

由于在网络平台终端上安装软件不符合运营商制度，因此传统的终端安全管理则无法适用，对此天融信特开发了通过ACTIVE控件来提升终端安全的办法。

本方案设计如下的技术整合方法：

从边界安全：通过安全准入网关在边界实现基本安全规则的过滤，病毒过滤，以及流量的监测，利用动态策略的技术优势，提升边界安安全，以及利用ByPass技术实现业务保障需要。

从终端状态可控：通过终端管理技术全面监管终端的安全状态，对于终端外设、接口、双网卡等进行策略监管。

从接入这身份可控：内部终端及外部第三方终端需要访问DCN内的业务资源时，同时结合AD域与边界准入网关，在身份认证后从网络层进行访问控制，即做到了身份可信，同时也做到了行为可信，同时也做到一次登录，全过程控制的效果； "业务优先"准则：通过边界准入网关设备的带宽管理策略，对关键业务分配更多的网络带宽资源，保障了重要业务的连续性；

策略集中管理：所有的安全准入网关均在同一的管理中心协调下，实现策略、事件的集中管理，提升总体安全管理的强度。

具体的安全系统配置示意如下：

方案效果

本方案针对运营商的业务网络平台的内、外部终端安全准入问题，在不安装终端程序的前提下，综合采用访问控制技术、IPS技术、防毒墙技术、终端管理技术，初步建立了多层次、立体式的安全准入防护体系。

解决单一安全措施无法对抵御安全风险。

解决现有信息化成果与安全措施整合问题。

解决终端非法接入网络问题。

解决非法终端穿越网络边界窃取资源问题。

解决终端风险影响业务服务问题。