3.終端準入控制功能及方案解析

1、EAD解決方案概述維護網(wǎng)絡正常秩序，助力企業(yè)核心價值H3C終端準入控制解決方案(EAD，End user Admissio n Domi nation )是全 球首個推向市場的終端管理解決方案，也是國內(nèi)應用最廣、用戶數(shù)最多的終端管 理系列產(chǎn)品。EAD方案為網(wǎng)絡管理者、網(wǎng)絡運營者和企業(yè) IT人員提供了一套系 統(tǒng)、有效、易用的管理工具，幫助保護、管理和監(jiān)控網(wǎng)絡終端，使網(wǎng)絡能夠為企 業(yè)的核心目標和核心業(yè)務服務，減少了日益復雜的網(wǎng)絡問題和非法使用對網(wǎng)絡用 戶的牽絆。5 EAD終端準入控制解決方案EAD解決方案通過多種身份認證方式確認終端用戶的合法性；通過與微軟和 眾多防病毒廠商的配合聯(lián)動，檢查終端的安

2、全漏洞、終端殺毒軟件的安裝和病毒 庫更新情況；通過黑白軟件管理，約束終端安裝和運行的軟件；通過統(tǒng)一接入策 略和安全策略管理，控制終端用戶的網(wǎng)絡訪問權限；通過桌面資產(chǎn)管理，進行桌 面資產(chǎn)注冊和監(jiān)控、外設管理和軟件分發(fā)；通過iMC UBA用戶行為審計組件，審計終端用戶的網(wǎng)絡行為；通過iMC智能管理框架基于資源、用戶和業(yè)務的一體化 管理，實現(xiàn)對整個網(wǎng)絡的監(jiān)控和智能聯(lián)動。從而形成對終端的事前規(guī)劃、事中監(jiān) 控和事后審計的立體化管理。EAD解決方案對終端用戶的整體控制過程如下圖所示：EAD解決方案組件：EAD解決方案組件包括智能客戶端、聯(lián)動設備、安全策略服務器和第三方服務 器。?智能客戶端：是指安裝了 H

3、3C iNode智能客戶端的用戶接入終端，負責身份認證 的發(fā)起、安全策略的檢查以及和安全策略服務器配合進行終端控制。?聯(lián)動設備：聯(lián)動設備是網(wǎng)絡中安全策略的實施點，起到強制用戶準入認證、隔離 不合格終端、為合法用戶提供網(wǎng)絡服務的作用。根據(jù)應用場合的不同，聯(lián)動設備可 以是交換機、路由器、準入網(wǎng)關、VPN或無線設備，分別實現(xiàn)不同認證方式（如802.1X、VPN和Portal等）的終端準入控制。針對多樣化的網(wǎng)絡，EAD提供了靈活多樣的組網(wǎng)方案，聯(lián)動設備可以根據(jù)需要進行靈活部署。?安全策略服務器：EAD方案的核心是整合與聯(lián)動，而安全策略服務器是EAD方案中的管理與控制中心，兼具終端用戶管理、安全策略管理

4、、安全狀態(tài)評估、安全聯(lián)動控制以及 安全事件審計等功能。?第三方服務器：是指補丁服務器、病毒服務器等，被部署在隔離區(qū)中。當用戶通過身份 認證但安全認證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服務器，通過 第三方服務器進行自身安全修復，直到滿足安全策略要求。功能特點：支持多種接入方式支持：802.1X接入、Portal接入、L2TP/IPsec VPN 接入方式;適用于：局域網(wǎng)、廣域網(wǎng)、無線網(wǎng)絡接入、L2TP/IPsec VPN 組網(wǎng)；支持：接入時段限制、接入?yún)^(qū)域限制；?可以部署于由不同廠家設備構成的異構網(wǎng)絡環(huán)境。?豐富的身份認證?支持：用戶名/密碼認證、智能卡認證、數(shù)字證書認證、

5、MAC 地址認證；?支持綁定：MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口、無線SSID ；?支持從LDAP服務器獲取用戶信息，可以只同步有認證行為的用戶信息，從而節(jié)省用戶的License費用。?精確的終端設備識別功能?支持識別用戶設備的類型。該設備是傳統(tǒng)的PC、筆記本還是智能手機、平板電腦等移動智能設備。設備的操作系統(tǒng)、生產(chǎn)廠商、IMEI碼等信息，也是識別設備類型時必須要確認的設備屬性信息。?支持識別用戶設備的歸屬。該設備是屬于公司所有還是屬于員工個人，直接影響企業(yè) 對設備的管理。對于個人設備，企業(yè)必須遵守相關法律法規(guī)，不去觸碰設備上的員工私人 信息。?廣泛的防病毒廠商配合

6、能力?可配合病毒廠商：瑞星、江民、金山、卡巴斯基、Symantec、Nod32、McAfee、Trend Micro、安博士、 KILL、趨勢、趨勢企業(yè)無憂安全版 css5.0、Vrv、Forfront、Sophos、Avast、Antivirus Professional 、 Avira AntiVir Personal-Free Antivirus 、 ClamWin Free Antivirus 、Comodo AntiVirus Beta 、CA Anti-Virus 、 F-Secure Internet Security 、 FortiClient 、 F- PROT Antivi

7、rus for Windows 、Virus Chaser、Norman Virus Control、SystemSuite 9 Professional 、Vba32 Personal。?豐富的系統(tǒng)安全狀態(tài)評估能力?支持與微軟SMS/WSUS配合進行補丁檢查和安裝；?支持黑白軟件檢查；?支持終端代理檢查及非法外聯(lián)控制；?支持多網(wǎng)卡檢查；?支持注冊表監(jiān)控；?支持操作系統(tǒng)弱密碼檢查；?支持客戶端流量檢查。?豐富的準入控制?支持基于用戶角色、用戶接入位置、接入終端類型的接入控制策略下發(fā)；?控制手段：向接入設備下發(fā) VLAN、ACL、QoS、限定用戶的上下行速率、使用客戶端 ACL限制用戶的訪問權限

8、（控制不受組網(wǎng)限制、并可以禁止內(nèi)網(wǎng)用戶非法連接外網(wǎng)。?靈活方便的執(zhí)行模式?對待不同身份的用戶，定制不同的安全檢查和處理模式；?執(zhí)行模式包括：監(jiān)控模式、VIP模式、隔離模式、下線模式和訪客模式；?用戶可以根據(jù)自己的實際需要，為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。?全面攻擊防御? EAD解決方案通過 ARP網(wǎng)關地址自動下發(fā)、自動綁定的功能，使終端用戶免受ARP欺騙攻擊的影響；?提供ARP攻擊報文過濾、ARP異常流量檢測等控制措施，杜絕惡意用戶的ARP攻擊行為；?支持對非法DHCP請求報文的過濾，從而有效防止DHCP攻擊。?桌面資產(chǎn)管理?實現(xiàn)：終端資產(chǎn)注冊、終端軟硬

9、件使用情況、變更情況進行監(jiān)控；?支持軟件的統(tǒng)一分發(fā)；?支持綠色節(jié)能策略；?支持遠程協(xié)助、遠程桌面；?可禁止內(nèi)網(wǎng)外聯(lián)或對內(nèi)網(wǎng)外聯(lián)行為進行審計。?U盤審計及外設管理?支持：USB存儲設備監(jiān)控、外設違規(guī)使用審計、打印機操作監(jiān)控；?支持禁用：USB存儲設備、USB非存儲設備、光驅、軟驅、PCMCIA接口、串口、并口、紅外、藍牙、 1394、Modem、3G上網(wǎng)卡；?通過融合TRM可信移動介質管理組件對USB移動存儲介質（包括 U盤、移動硬盤等）注冊、授權、使用控制和監(jiān)控功能，對USB存儲介質實現(xiàn) 拿不走、進不來”的數(shù)據(jù)泄露防護。?靈活的客戶端部署? EAD解決方案提供了免安裝的易用部署方式，用戶事先不

10、需要安裝客戶端，上網(wǎng)時 EAD系統(tǒng)會自動載入客戶端，對用戶身份和終端安全狀態(tài)進行檢查，用戶不需要改變上網(wǎng)習 慣的同時，可以享受 EAD帶來的安全保障；?與H3C設備配合可以支持客戶端快速部署功能。用戶在認證前也可以訪問 指定的網(wǎng)絡資源，用戶的 Web訪問會被重定向到指定服務器，供終端用戶下載客 戶端軟件，用戶安裝好客戶端并通過認證后可以訪問全部網(wǎng)絡資源。?多種層次的高可用性和擴展性?支持：雙機冷備、雙機熱備、單機故障的逃生方案；? Portal網(wǎng)關支持網(wǎng)關雙機備份，單臺 Portal網(wǎng)關失效后可以切換到備份 Portal網(wǎng)關上，不影響用戶上網(wǎng)；?支持分級、分布式部署。?融合、擴展與開放的解決方

11、案?基于H3C iMC （開放智能管理中樞）SOA架構，EAD解決方案為客戶提供了一個擴展、 開放的結構框架；?融合設備管理、用戶管理和業(yè)務管理三大緯度；?廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長；?基于標準、開放的協(xié)議架構和規(guī)范，易于互聯(lián)互通；? EAD服務器支持 Windows與Linux操作系統(tǒng)，iNode客戶端支持 Windows、Mac OS、 Li nux、Apple iOS、An droid 等操作系統(tǒng)。在無線局域網(wǎng)中的部署方案無線局域網(wǎng)（WLAN ）以其安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡無法 比擬的優(yōu)點，得到越來越廣泛的應用，但靈

12、活方便的網(wǎng)絡接入方式同時也為局域網(wǎng)帶來了巨大 的安全威脅。無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制層面，非授權或者非安全的客戶一旦接入網(wǎng) 絡后，將會直接面對核心服務器，威脅核心業(yè)務，因此能對無線接入用戶進行身份識別、安全 檢查和網(wǎng)絡授權的訪問控制系統(tǒng)必不可少。在無線網(wǎng)絡中，結合使用EAD解決方案，可以有效的滿足園區(qū)網(wǎng)的無線安全準入的需求。H3C EAD解決方案可以在無線局域網(wǎng)環(huán)境下，有效的滿足客戶無線安全準入的需求，其 組網(wǎng)圖如下：殳Q Q 4如圖所示，EAD可以配合無線 AP和無線控制器，通過認證實現(xiàn)對無線接入用戶的終端準入控制。這種組網(wǎng)方案可以防止采用無線接入的人員訪問內(nèi)網(wǎng)時帶來的安全隱患，同時也有 效的解決了用戶有線、無線接入方式的統(tǒng)一安全控制問題。同時，無線網(wǎng)絡存在信號覆蓋不穩(wěn)定、無線網(wǎng)卡類型眾多、驅動廠商對802.11 a/b/g/n等無線技術標準支持不一致、丟包率較高等問題，而H3C基于Portal技術的無線用戶準入控制方案則全面解決了這一問題。其基本流程如下：用戶連接到無線網(wǎng)絡后，在訪問網(wǎng)絡的過程中會被強制要求進行身份認證和安全檢查。 在整個過程中，擁有合法身份的用戶除了被驗證用戶名、密碼等信息外，還被檢查是否滿足安 全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系