3.終端準入控制功能及方案解析

1、EAD解決方案概述維護網絡正常秩序，助力企業(yè)核心價值H3C終端準入控制解決方案(EAD，End user Admissio n Domi nation )是全 球首個推向市場的終端管理解決方案，也是國內應用最廣、用戶數最多的終端管 理系列產品。EAD方案為網絡管理者、網絡運營者和企業(yè) IT人員提供了一套系 統(tǒng)、有效、易用的管理工具，幫助保護、管理和監(jiān)控網絡終端，使網絡能夠為企 業(yè)的核心目標和核心業(yè)務服務，減少了日益復雜的網絡問題和非法使用對網絡用 戶的牽絆。5 EAD終端準入控制解決方案EAD解決方案通過多種身份認證方式確認終端用戶的合法性；通過與微軟和 眾多防病毒廠商的配合聯動，檢查終端的安

2、全漏洞、終端殺毒軟件的安裝和病毒 庫更新情況；通過黑白軟件管理，約束終端安裝和運行的軟件；通過統(tǒng)一接入策 略和安全策略管理，控制終端用戶的網絡訪問權限；通過桌面資產管理，進行桌 面資產注冊和監(jiān)控、外設管理和軟件分發(fā)；通過iMC UBA用戶行為審計組件，審計終端用戶的網絡行為；通過iMC智能管理框架基于資源、用戶和業(yè)務的一體化 管理，實現對整個網絡的監(jiān)控和智能聯動。從而形成對終端的事前規(guī)劃、事中監(jiān) 控和事后審計的立體化管理。EAD解決方案對終端用戶的整體控制過程如下圖所示：EAD解決方案組件：EAD解決方案組件包括智能客戶端、聯動設備、安全策略服務器和第三方服務 器。?智能客戶端：是指安裝了 H

3、3C iNode智能客戶端的用戶接入終端，負責身份認證 的發(fā)起、安全策略的檢查以及和安全策略服務器配合進行終端控制。?聯動設備：聯動設備是網絡中安全策略的實施點，起到強制用戶準入認證、隔離 不合格終端、為合法用戶提供網絡服務的作用。根據應用場合的不同，聯動設備可 以是交換機、路由器、準入網關、VPN或無線設備，分別實現不同認證方式（如802.1X、VPN和Portal等）的終端準入控制。針對多樣化的網絡，EAD提供了靈活多樣的組網方案，聯動設備可以根據需要進行靈活部署。?安全策略服務器：EAD方案的核心是整合與聯動，而安全策略服務器是EAD方案中的管理與控制中心，兼具終端用戶管理、安全策略管理

4、、安全狀態(tài)評估、安全聯動控制以及 安全事件審計等功能。?第三方服務器：是指補丁服務器、病毒服務器等，被部署在隔離區(qū)中。當用戶通過身份 認證但安全認證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服務器，通過 第三方服務器進行自身安全修復，直到滿足安全策略要求。功能特點：支持多種接入方式支持：802.1X接入、Portal接入、L2TP/IPsec VPN 接入方式;適用于：局域網、廣域網、無線網絡接入、L2TP/IPsec VPN 組網；支持：接入時段限制、接入區(qū)域限制；?可以部署于由不同廠家設備構成的異構網絡環(huán)境。?豐富的身份認證?支持：用戶名/密碼認證、智能卡認證、數字證書認證、

5、MAC 地址認證；?支持綁定：MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口、無線SSID ；?支持從LDAP服務器獲取用戶信息，可以只同步有認證行為的用戶信息，從而節(jié)省用戶的License費用。?精確的終端設備識別功能?支持識別用戶設備的類型。該設備是傳統(tǒng)的PC、筆記本還是智能手機、平板電腦等移動智能設備。設備的操作系統(tǒng)、生產廠商、IMEI碼等信息，也是識別設備類型時必須要確認的設備屬性信息。?支持識別用戶設備的歸屬。該設備是屬于公司所有還是屬于員工個人，直接影響企業(yè) 對設備的管理。對于個人設備，企業(yè)必須遵守相關法律法規(guī)，不去觸碰設備上的員工私人 信息。?廣泛的防病毒廠商配合

6、能力?可配合病毒廠商：瑞星、江民、金山、卡巴斯基、Symantec、Nod32、McAfee、Trend Micro、安博士、 KILL、趨勢、趨勢企業(yè)無憂安全版 css5.0、Vrv、Forfront、Sophos、Avast、Antivirus Professional 、 Avira AntiVir Personal-Free Antivirus 、 ClamWin Free Antivirus 、Comodo AntiVirus Beta 、CA Anti-Virus 、 F-Secure Internet Security 、 FortiClient 、 F- PROT Antivi

7、rus for Windows 、Virus Chaser、Norman Virus Control、SystemSuite 9 Professional 、Vba32 Personal。?豐富的系統(tǒng)安全狀態(tài)評估能力?支持與微軟SMS/WSUS配合進行補丁檢查和安裝；?支持黑白軟件檢查；?支持終端代理檢查及非法外聯控制；?支持多網卡檢查；?支持注冊表監(jiān)控；?支持操作系統(tǒng)弱密碼檢查；?支持客戶端流量檢查。?豐富的準入控制?支持基于用戶角色、用戶接入位置、接入終端類型的接入控制策略下發(fā)；?控制手段：向接入設備下發(fā) VLAN、ACL、QoS、限定用戶的上下行速率、使用客戶端 ACL限制用戶的訪問權限

8、（控制不受組網限制、并可以禁止內網用戶非法連接外網。?靈活方便的執(zhí)行模式?對待不同身份的用戶，定制不同的安全檢查和處理模式；?執(zhí)行模式包括：監(jiān)控模式、VIP模式、隔離模式、下線模式和訪客模式；?用戶可以根據自己的實際需要，為VIP客戶、內部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。?全面攻擊防御? EAD解決方案通過 ARP網關地址自動下發(fā)、自動綁定的功能，使終端用戶免受ARP欺騙攻擊的影響；?提供ARP攻擊報文過濾、ARP異常流量檢測等控制措施，杜絕惡意用戶的ARP攻擊行為；?支持對非法DHCP請求報文的過濾，從而有效防止DHCP攻擊。?桌面資產管理?實現：終端資產注冊、終端軟硬

9、件使用情況、變更情況進行監(jiān)控；?支持軟件的統(tǒng)一分發(fā)；?支持綠色節(jié)能策略；?支持遠程協(xié)助、遠程桌面；?可禁止內網外聯或對內網外聯行為進行審計。?U盤審計及外設管理?支持：USB存儲設備監(jiān)控、外設違規(guī)使用審計、打印機操作監(jiān)控；?支持禁用：USB存儲設備、USB非存儲設備、光驅、軟驅、PCMCIA接口、串口、并口、紅外、藍牙、 1394、Modem、3G上網卡；?通過融合TRM可信移動介質管理組件對USB移動存儲介質（包括 U盤、移動硬盤等）注冊、授權、使用控制和監(jiān)控功能，對USB存儲介質實現 拿不走、進不來”的數據泄露防護。?靈活的客戶端部署? EAD解決方案提供了免安裝的易用部署方式，用戶事先不

10、需要安裝客戶端，上網時 EAD系統(tǒng)會自動載入客戶端，對用戶身份和終端安全狀態(tài)進行檢查，用戶不需要改變上網習 慣的同時，可以享受 EAD帶來的安全保障；?與H3C設備配合可以支持客戶端快速部署功能。用戶在認證前也可以訪問 指定的網絡資源，用戶的 Web訪問會被重定向到指定服務器，供終端用戶下載客 戶端軟件，用戶安裝好客戶端并通過認證后可以訪問全部網絡資源。?多種層次的高可用性和擴展性?支持：雙機冷備、雙機熱備、單機故障的逃生方案；? Portal網關支持網關雙機備份，單臺 Portal網關失效后可以切換到備份 Portal網關上，不影響用戶上網；?支持分級、分布式部署。?融合、擴展與開放的解決方

11、案?基于H3C iMC （開放智能管理中樞）SOA架構，EAD解決方案為客戶提供了一個擴展、 開放的結構框架；?融合設備管理、用戶管理和業(yè)務管理三大緯度；?廣泛、深入的和國內外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長；?基于標準、開放的協(xié)議架構和規(guī)范，易于互聯互通；? EAD服務器支持 Windows與Linux操作系統(tǒng)，iNode客戶端支持 Windows、Mac OS、 Li nux、Apple iOS、An droid 等操作系統(tǒng)。在無線局域網中的部署方案無線局域網（WLAN ）以其安裝便捷、使用靈活、經濟節(jié)約、易于擴展等有線網絡無法 比擬的優(yōu)點，得到越來越廣泛的應用，但靈

12、活方便的網絡接入方式同時也為局域網帶來了巨大 的安全威脅。無線局域網的安全問題主要體現在訪問控制層面，非授權或者非安全的客戶一旦接入網 絡后，將會直接面對核心服務器，威脅核心業(yè)務，因此能對無線接入用戶進行身份識別、安全 檢查和網絡授權的訪問控制系統(tǒng)必不可少。在無線網絡中，結合使用EAD解決方案，可以有效的滿足園區(qū)網的無線安全準入的需求。H3C EAD解決方案可以在無線局域網環(huán)境下，有效的滿足客戶無線安全準入的需求，其 組網圖如下：殳Q Q 4如圖所示，EAD可以配合無線 AP和無線控制器，通過認證實現對無線接入用戶的終端準入控制。這種組網方案可以防止采用無線接入的人員訪問內網時帶來的安全隱患，同時也有 效的解決了用戶有線、無線接入方式的統(tǒng)一安全控制問題。同時，無線網絡存在信號覆蓋不穩(wěn)定、無線網卡類型眾多、驅動廠商對802.11 a/b/g/n等無線技術標準支持不一致、丟包率較高等問題，而H3C基于Portal技術的無線用戶準入控制方案則全面解決了這一問題。其基本流程如下：用戶連接到無線網絡后，在訪問網絡的過程中會被強制要求進行身份認證和安全檢查。 在整個過程中，擁有合法身份的用戶除了被驗證用戶名、密碼等信息外，還被檢查是否滿足安 全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系