EAD端點準(zhǔn)入防御項目解決方案介紹

1、某鋼鐵端點準(zhǔn)入防御方案技術(shù)建議書目錄1概述.52EAD端點準(zhǔn)入防御解決方案介紹.62.1方案思路.62.2方案組成部分.72.2.1EAD安全策略服務(wù)器.82.2.2修復(fù)服務(wù)器.92.2.3安全聯(lián)動設(shè)備.92.2.4安全客戶端.103EAD解決方案組網(wǎng)部署.113.1多廠商設(shè)備混合組網(wǎng)部署（Portal方式）.12方案組網(wǎng).13組網(wǎng)設(shè)備.13方案說明.13流程說明.14實施效果.143.2接入層準(zhǔn)入控制組網(wǎng)部署（802.1x）.15方案組網(wǎng).15組網(wǎng)設(shè)備.15方案說明.16流程說明.17實施效果.183.3EAD應(yīng)用模式.183.3.1隔離模式.193.3.2Guest模式.193.3.3VI

2、P模式.193.3.4下線模式.204EAD解決方案應(yīng)用模型及功能特點.214.1端點準(zhǔn)入防御應(yīng)用模型.214.1.1端點準(zhǔn)入防御應(yīng)用模型.214.1.2端點準(zhǔn)入防御工作流程.214.2端點準(zhǔn)入防御功能特點.224.2.1安全狀態(tài)評估.224.2.2用戶權(quán)限管理.234.2.3用戶行為監(jiān)控.244.3桌面資產(chǎn)管理應(yīng)用模型.254.3.1桌面資產(chǎn)管理應(yīng)用模型.254.4桌面資產(chǎn)管理功能特點.274.4.1終端資產(chǎn)管理.274.4.2軟件分發(fā).285系統(tǒng)參數(shù)及環(huán)境要求.295.1EAD系統(tǒng)技術(shù)參數(shù).295.2EAD系統(tǒng)環(huán)境要求.296附1：部署說明.317附2：EAD功能列表.321 概述某鋼鐵（

3、集團(tuán)）有限責(zé)任公司（以下簡稱酒鋼）網(wǎng)絡(luò)信息化建設(shè)目前處于同行業(yè)領(lǐng)先水平，自動化應(yīng)用程度高，信息平臺承載著ERP、OA、MES等眾多系統(tǒng)，因此信息平臺成為企業(yè)正常經(jīng)營生產(chǎn)的基礎(chǔ)平臺之一。多年的系統(tǒng)運(yùn)維與建設(shè)，酒鋼信息化平臺已搭建得比較完善，但同時對安全管理方面提出了較高要求。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)以及對原有網(wǎng)絡(luò)進(jìn)行終端安全準(zhǔn)入的改造已經(jīng)成為酒鋼網(wǎng)絡(luò)建設(shè)的重中之重。目前酒鋼網(wǎng)絡(luò)中存在的典型問題歸納總結(jié)為以下幾大類：（1）終端時刻受到病毒和蠕蟲的威脅，存在安全隱患，更為嚴(yán)重的是由此觸發(fā)一系列問題擴(kuò)散全網(wǎng)，導(dǎo)致全網(wǎng)癱瘓、核心數(shù)據(jù)時刻受到安全威脅，一旦被攻擊，將為企業(yè)造成無法挽回的損失；（2）防護(hù)策略趕

4、不上攻擊方式的更新，被動式防御已不適應(yīng)企業(yè)的發(fā)展，主動式保護(hù)的安全戰(zhàn)略勢在必行；（3）隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器，有意或無意的盜用IP地址情況嚴(yán)重；（4）網(wǎng)絡(luò)采用分散管理模式，終端難以保證其安全狀態(tài)符合企業(yè)安全策略，例如新的補(bǔ)丁發(fā)布了卻無人理會、新的病毒出現(xiàn)了卻不及時升級病毒庫的現(xiàn)象普遍存在，無法有效地從網(wǎng)絡(luò)接入點進(jìn)行安全防范。導(dǎo)致網(wǎng)絡(luò)接入層面管理失控。為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對網(wǎng)絡(luò)安全威脅，甘肅藍(lán)潮世訊通信科技有限責(zé)任公司提供了端點準(zhǔn)入防御（EAD，EndpointAdmissionDefense）解決方案。該方案從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過

5、安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、系統(tǒng)補(bǔ)丁管理產(chǎn)品、資產(chǎn)管理產(chǎn)品、桌面管理產(chǎn)品的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果實施接入控制策略，對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級、系統(tǒng)補(bǔ)丁升級等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過動態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防御能力。EAD同時具有資產(chǎn)

6、管理、外設(shè)監(jiān)控、軟件分發(fā)等功能，提供了企業(yè)內(nèi)網(wǎng)PC集中管理運(yùn)維的方案，以高效率的管理手段和措施，協(xié)助企業(yè)IT部門及時盤點內(nèi)網(wǎng)資產(chǎn)、掌控內(nèi)網(wǎng)資產(chǎn)變更情況。2 EAD端點準(zhǔn)入防御解決方案介紹EAD端點準(zhǔn)入防御方案包括兩個重要功能：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應(yīng)的應(yīng)對措施，實時保障網(wǎng)絡(luò)安全。2.1 方案思路EAD解決方案的實現(xiàn)思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對企

7、業(yè)安全策略的符合度為條件，控制用戶訪問網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對企業(yè)網(wǎng)絡(luò)帶來的危害。為達(dá)到以上目的，甘肅藍(lán)潮提出了包括檢查、隔離、修復(fù)、監(jiān)控的整體解決思路。1. 檢查：檢查網(wǎng)絡(luò)接入用戶的身份；檢查網(wǎng)絡(luò)接入用戶的訪問權(quán)限；檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；2. 隔離：隔離非法用戶終端和越權(quán)訪問；隔離存在重大安全問題或安全隱患的用戶終端；3. 修復(fù)：幫助存在安全問題或安全隱患的用戶終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；4. 監(jiān)控：實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息；對非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計，為網(wǎng)絡(luò)安全管理提供依據(jù)；通過制定新

8、的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。2.2 方案組成部分為了有效實現(xiàn)用戶終端安全準(zhǔn)入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術(shù)手段，對用戶終端存在的安全問題進(jìn)行修復(fù)，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。EAD解決方案的組成部分見下圖：圖1EAD解決方案組成部分如圖1所示，EAD解決方案的基本部件包括EAD安全策略服務(wù)器（EAD服務(wù)器）、防病毒服務(wù)器、補(bǔ)丁服務(wù)器等修復(fù)服務(wù)器、安全聯(lián)動設(shè)備和H3C安全客戶端，各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對網(wǎng)絡(luò)接入終端的安全準(zhǔn)入控制。2.2.1 EAD安全策略服務(wù)器EAD方案的核心

9、是整合與聯(lián)動，而EAD安全策略服務(wù)器（iMCEAD服務(wù)器）是EAD方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。安全策略管理。安全策略服務(wù)器定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補(bǔ)丁檢查項配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài)

10、，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與修復(fù)服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。2.2.2 修復(fù)服務(wù)器在EAD方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進(jìn)行在線升級；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級。2.2.3 安全聯(lián)動設(shè)備安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中

11、安全策略的實施點，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機(jī)或BAS設(shè)備，分別實現(xiàn)不同認(rèn)證方式（如802.1x或Portal）的端點準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪種認(rèn)證方式，安全聯(lián)動設(shè)備均具有以下功能：強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。隔離不符合安全策略的用戶終端。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，目前可以通過動態(tài)ACL方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服

12、務(wù)，如提供不同的ACL、VLAN等。2.2.4 安全客戶端H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：提供802.1x、Portal、VPN、無線等多種認(rèn)證方式，可以與交換機(jī)、BAS網(wǎng)關(guān)等設(shè)備配合實現(xiàn)接入層、匯聚層的端點準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安裝的軟件、已啟動的服務(wù)等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒軟件產(chǎn)品客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到EAD安全策略服務(wù)器，執(zhí)行端點準(zhǔn)入的判

13、斷與控制。安全策略實施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實施（自動或手工升級補(bǔ)丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進(jìn)行安全審計。監(jiān)控終端資產(chǎn)組成和變更情況，監(jiān)控的信息包括：邏輯磁盤、OS登錄名、計算機(jī)名、IP地址、操作系統(tǒng)、屏保、分區(qū)信息、共享信息；CPU、內(nèi)存、主板、磁盤、網(wǎng)卡、光驅(qū)、BIOS；安裝/卸載軟件，包括程序名稱、程序版本、安裝日期；進(jìn)程列表、服務(wù)列表、磁盤可用空間、C

14、PU使用頻率/時鐘頻率、內(nèi)存剩余空間、IP獲取方式等等，并按照分類以報表的形式展示，如果有軟硬件發(fā)生變化也將實時記錄。3 EAD解決方案組網(wǎng)部署目前某鋼鐵的網(wǎng)絡(luò)，主要劃分為燒結(jié)區(qū)、煉鋼區(qū)、宏昌區(qū)、動力區(qū)、交易區(qū)、辦公樓和生產(chǎn)指揮中心共七大區(qū)域，總共4500左右個接入點，大部分采用思科交換機(jī)，少量采用H3C交換機(jī)。其中燒結(jié)區(qū)、煉鋼區(qū)、宏昌區(qū)、動力區(qū)、交易區(qū)均為思科接入設(shè)備匯聚到C6506，辦公區(qū)為H3C的接入交換機(jī)3026/3050C匯聚到思科45上，生產(chǎn)指揮中心為6臺3550接入到6509上。為了便于部署實施，且達(dá)到準(zhǔn)入控制的要求，經(jīng)過論證在燒結(jié)區(qū)等五個區(qū)域在匯聚的6506上旁掛EAD網(wǎng)關(guān)，采

15、取Portal認(rèn)證的方式。由于翼鋼和榆鋼分別在蘭州和山西，為了解決這兩地的內(nèi)部準(zhǔn)入問題分別在他們的網(wǎng)絡(luò)旁掛EAD網(wǎng)關(guān)（要求兩地的網(wǎng)絡(luò)設(shè)備支持策略路由）。對于生產(chǎn)指揮中心的六臺3550，在核心的一臺6509上旁掛一臺EAD網(wǎng)關(guān)實現(xiàn)Portal認(rèn)證，控制該區(qū)域的網(wǎng)絡(luò)準(zhǔn)入問題。在辦公大樓區(qū)域采取802.1x的認(rèn)證方式，解決網(wǎng)絡(luò)準(zhǔn)入控制。圖2某鋼鐵網(wǎng)絡(luò)拓?fù)鋱D3.1 多廠商設(shè)備混合組網(wǎng)部署（Portal方式）通常企業(yè)在建設(shè)自身的辦公網(wǎng)，滿足互聯(lián)互通的要求后，會逐漸意識在內(nèi)部網(wǎng)絡(luò)安全控制的必要性，尤其是內(nèi)網(wǎng)終端的安全問題，這時對于終端的安全準(zhǔn)入控制就顯得尤為重要。而這時的企業(yè)網(wǎng)絡(luò)通常為多廠商設(shè)備共存，很難

16、單獨使用一家廠商的設(shè)備實施網(wǎng)絡(luò)的準(zhǔn)入控制，這種情況下，視網(wǎng)絡(luò)規(guī)模大小，我們推薦使用一臺或多臺網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證控制器，使用基于Portal的認(rèn)證協(xié)議，與iNode客戶端、安全策略服務(wù)器配合完成EAD端點準(zhǔn)入防御。Portal認(rèn)證是一種Web方式的認(rèn)證，Portal認(rèn)證同802.1x認(rèn)證相比，具有應(yīng)用簡單的優(yōu)勢。但在EAD解決方案中，需要使用iNode客戶端來進(jìn)行終端的安全狀態(tài)檢測和控制，因此在Web認(rèn)證的基礎(chǔ)上，擴(kuò)展了Portal協(xié)議，使之不僅能夠處理Http協(xié)議，還可以控制其他協(xié)議的數(shù)據(jù)流，使EAD解決方案也支持Portal認(rèn)證方式下的端點準(zhǔn)入控制。方案組網(wǎng)圖3網(wǎng)關(guān)型EAD解決方案組網(wǎng)應(yīng)用

17、組網(wǎng)設(shè)備在舊網(wǎng)改造中，可以使用MSR、AR28、AR46、S7502E、S5500EI、IAG作為企業(yè)的安全網(wǎng)關(guān)，支持Portal認(rèn)證，并實施EAD方案。方案說明使用AR46/28、MSR、S7502E、S5500EI、IAG設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開啟Portal認(rèn)證功能。在用戶希望對原有網(wǎng)絡(luò)改動最小的情況下，可以將S7502E旁掛在網(wǎng)絡(luò)出口或核心設(shè)備上，提供用戶接入控制功能。EAD服務(wù)器需要安裝Portal認(rèn)證組件，在Portal認(rèn)證頁面上，提供安全客戶端的下載鏈接。用戶可下載并安裝iNode客戶端后，發(fā)起認(rèn)證請求。隔離區(qū)的設(shè)置、第三方服務(wù)器的設(shè)置、EAD自助服務(wù)器

18、和EAD安全代理服務(wù)器的設(shè)置等信息同接入層準(zhǔn)入控制。流程說明在Web認(rèn)證方式下，用戶的身份認(rèn)證、訪問控制和安全認(rèn)證流程同接入層準(zhǔn)入控制基本相同。區(qū)別在于：1. 用戶進(jìn)行網(wǎng)絡(luò)登錄認(rèn)證之前，可以訪問Portal服務(wù)器等URL。2. iNode安全認(rèn)證客戶端可以在認(rèn)證前從Portal認(rèn)證頁面下載并安裝。簡化了客戶端分發(fā)工作。實施效果1. 由于在網(wǎng)絡(luò)出口設(shè)備上部署了Portal認(rèn)證，所有非授權(quán)用戶將不能隨意訪問網(wǎng)絡(luò)。2. 合法用戶通過身份認(rèn)證、安全認(rèn)證后，其訪問權(quán)限受認(rèn)證設(shè)備的ACL控制。用戶的外部訪問權(quán)限受控。3. 通過安全認(rèn)證網(wǎng)關(guān)和策略服務(wù)器、客戶端配合，解決了網(wǎng)絡(luò)上多廠商設(shè)備共存的問題；其余同接

19、入層準(zhǔn)入控制3.2 接入層準(zhǔn)入控制組網(wǎng)部署（802.1x）將接入層設(shè)備作為安全準(zhǔn)入控制點，對試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查，強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等安全威脅在企業(yè)擴(kuò)散的風(fēng)險。方案組網(wǎng)圖4接入層EAD解決方案組網(wǎng)應(yīng)用組網(wǎng)設(shè)備支持H3CS3000以上系列接入層交換機(jī)，主要型號包括：S3050C，S3026E/C/G/T；3100EI，5100EI，S3528P/G，S3526E，S3552G/P/F；S3600系列（原對應(yīng)型號為S3900），S3610；S5500SI方案說明用戶終端必須安裝i

20、Node客戶端，在上網(wǎng)前首先要進(jìn)行802.1x和安全認(rèn)證，否則將不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源。其中，隔離區(qū)是指在S3600系列交換機(jī)中配置的一組ACL，一般包括EAD安全代理服務(wù)器、補(bǔ)丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP地址。在接入交換機(jī)（S36系列交換機(jī)）中要部署802.1x認(rèn)證和安全認(rèn)證，強(qiáng)制進(jìn)行基于用戶的802.1x認(rèn)證和動態(tài)ACL、VLAN控制。EAD服務(wù)器中配置用戶的服務(wù)策略、接入策略、安全策略，用戶進(jìn)行802.1x認(rèn)證時，由EAD服務(wù)器驗證用戶身份的合法性，并基于用戶角色（服務(wù)）向安全客戶端下發(fā)安全評估策略（如檢查病毒庫版本、補(bǔ)丁安裝情況等），完成身份和安

21、全評估后，由EAD服務(wù)器確定用戶的ACL、VLAN以及病毒監(jiān)控策略等。EAD安全代理服務(wù)器必須部署于隔離區(qū)，可以與EAD自助服務(wù)器共用一臺主機(jī)。補(bǔ)丁服務(wù)器（可選）必須部署于隔離區(qū)，可以與EAD安全代理共用一臺主機(jī)。防病毒服務(wù)器（可選）必須部署于隔離區(qū)，可以與補(bǔ)丁服務(wù)器、EAD安全代理共用一臺主機(jī)，可以選擇McAFee防病毒、Norton防病毒、趨勢防病毒、安博士防病毒、CAKill安全甲胄、瑞星殺毒軟件、金山毒霸以及江民KV防病毒軟件。流程說明EAD方案可以依據(jù)角色對網(wǎng)絡(luò)接入用戶實施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問權(quán)限。其原理性的流程如下：1. 用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證，確認(rèn)是合法

22、用戶后，安全客戶端還要檢測病毒軟件和補(bǔ)丁安裝情況，上報EAD。2. EAD檢測補(bǔ)丁安裝、病毒庫版本等是否合格，如果合格進(jìn)入步驟7，如果不合格，進(jìn)入步驟3。3. EAD通知接入設(shè)備（S36系列或其他支持EAD解決方案的交換機(jī)），將該用戶的訪問權(quán)限限制到隔離區(qū)內(nèi)。此時，用戶只能訪問補(bǔ)丁服務(wù)器、防病毒服務(wù)器等安全資源，因此不會受到外部病毒和攻擊的威脅。4. 安全客戶端通知用戶進(jìn)行補(bǔ)丁和病毒庫的升級操作。5. 用戶升級完成后，可重新進(jìn)行安全認(rèn)證。如果合格則解除隔離，進(jìn)入步驟7。6. 如果用戶補(bǔ)丁升級不成功，用戶仍然無法訪問其他網(wǎng)絡(luò)資源，回到步驟47. 用戶可以正常訪問其他授權(quán)（ACL、VLAN）的網(wǎng)絡(luò)

23、資源。實施效果1. 由于接入層交換機(jī)對端口部署了802.1x認(rèn)證，所有非法用戶將不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。并且認(rèn)證通過前，用戶終端之間無法實現(xiàn)互訪。2. 合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受S36系列交換機(jī)中的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問。3. 合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受S36系列交換機(jī)中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪（受組網(wǎng)方式限制）。4. 用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補(bǔ)丁得到及時升級。降低了病毒和遠(yuǎn)程攻擊對企業(yè)網(wǎng)帶來的安全風(fēng)險。5. 通過使用iNode客戶端，可對用戶的終端使用行

24、為進(jìn)行嚴(yán)格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡、禁止撥號等。3.3 EAD應(yīng)用模式EAD解決方案對于每一種安全狀態(tài)的檢測，按照處理模式可分為隔離模式、VIP模式、Guest模式、下線模式。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補(bǔ)丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過Guest模式進(jìn)行提醒。四種模式對于實現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對安全設(shè)備的要求也不相同。3.3.1 隔離模式對于一些關(guān)系比較重大的安全漏洞或補(bǔ)丁，如Windows服務(wù)器的致命安全補(bǔ)丁，需要進(jìn)行比較嚴(yán)厲的控制。具體來說，就是一旦用戶終端安全狀態(tài)不合格，就限制其網(wǎng)絡(luò)訪問區(qū)域為隔離區(qū)，在

25、進(jìn)行修復(fù)操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認(rèn)證，正常接入網(wǎng)絡(luò)。隔離模式要求安全聯(lián)動設(shè)備必須支持動態(tài)ACL特性，能夠?qū)崟r應(yīng)用EAD安全策略服務(wù)器下發(fā)的ACL規(guī)格，并應(yīng)用于用戶連接。3.3.2 Guest模式某些應(yīng)用環(huán)境下，不需要根據(jù)用戶終端的安全狀態(tài)嚴(yán)格控制用戶終端的訪問權(quán)限，比如訪客，可以采用Guest模式來處理不合格的安全狀態(tài)，如對于安全等級略低一些的補(bǔ)丁可以采取這種方式。在Guest模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復(fù)指導(dǎo)和相關(guān)鏈接。用戶的網(wǎng)絡(luò)訪問權(quán)限不因終端安全狀態(tài)不合格而被更改。3.3.3 VIP模式對于一些

26、高級別的領(lǐng)導(dǎo)或網(wǎng)絡(luò)管理者，可以采取級別最低的VIP模式。VIP模式同Guest模式的實現(xiàn)流程基本相同，區(qū)別在于VIP模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項。網(wǎng)絡(luò)管理員可在EAD安全策略服務(wù)器的管理界面中實時對用戶終端安全狀態(tài)進(jìn)行監(jiān)控，了解用戶終端的安全信息。一些相對普通的安全問題，如提示性的補(bǔ)丁安裝，可以在不影響終端用戶工作的情況下，由管理員進(jìn)行定期檢查并通告。Guest模式和VIP模式下，安全聯(lián)動設(shè)備可以不需要支持動態(tài)ACL下發(fā)控制功能。3.3.4 下線模式下線模式實現(xiàn)流程與隔離模式相同，唯一的區(qū)別是對不安全的用戶采取直接下線的處理方式。主要與Portal認(rèn)證相配合，實現(xiàn)網(wǎng)

27、絡(luò)出口或是關(guān)鍵數(shù)據(jù)區(qū)域的認(rèn)證保護(hù)。也可以作為兼容第三方廠商設(shè)備的部署模式，配合接入交換機(jī)GuestVLAN功能實現(xiàn)對不安全用戶的隔離功能。下線模式也是目前友商相似方案的主要實現(xiàn)模式，EAD支持下線模式可以增強(qiáng)方案對設(shè)備的兼容性。與Cisco接入設(shè)備配合部署802.1x認(rèn)證方式下的EAD解決方案，推薦使用下線模式。除上上述幾種策略處理方式以外，EAD解決方案還支持細(xì)致到處一個策略的綜合控制方式，也就是通過以上幾種方式組合出符合您企業(yè)的策略：4 EAD解決方案應(yīng)用模型及功能特點4.1 端點準(zhǔn)入防御應(yīng)用模型4.1.1 端點準(zhǔn)入防御應(yīng)用模型EAD解決方案在準(zhǔn)入上主要是通過身份認(rèn)證和安全策略檢查的方式，

28、對未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。圖5EAD解決方案安全準(zhǔn)入應(yīng)用模型圖4.1.2 端點準(zhǔn)入防御工作流程身份驗證：用戶終端接入網(wǎng)絡(luò)時，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x、Portal、VPN和無線認(rèn)證。安全檢查：身份認(rèn)證通過后進(jìn)行終端安全檢查，由EAD安全策略服務(wù)器驗證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動設(shè)備通過ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù)。安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行

29、補(bǔ)丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動態(tài)授權(quán)：如果用戶身份驗證、安全檢查都通過，則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限等）下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實現(xiàn)按用戶身份的權(quán)限控制。實時監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報安全事件，由EAD安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動設(shè)備隔離用戶。4.2 端點準(zhǔn)入防御功能特點4.2.1 安全狀態(tài)評估終端補(bǔ)丁檢測：評估客

30、戶端的補(bǔ)丁安裝是否合格，可以檢測的補(bǔ)丁包括：操作系統(tǒng)(Windows2000/XP/2003等，不包括Windows98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。安全客戶端版本檢測：可以檢測安全客戶端iNodeClient的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò)，同時支持客戶端自動升級。安全狀態(tài)定時評估：安全客戶端可以定時檢測用戶安全狀態(tài)，防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動補(bǔ)丁管理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協(xié)同的自動補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時，自動安

31、裝補(bǔ)丁。終端運(yùn)行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進(jìn)行實時檢測，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動服務(wù)列表等。防病毒聯(lián)動：主要包含兩個方面，一是端點用戶接入網(wǎng)絡(luò)時，檢查其計算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。當(dāng)前支持的防病毒聯(lián)動軟件有：瑞星、金山、江民、諾頓、趨勢、McAfee、安博士、CA安全甲胄

32、及VRV等。4.2.2 用戶權(quán)限管理強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時，可綁定用戶接入IP、MAC（對用Portal的方式不支持MAC綁定）、接入設(shè)備IP、端口、VLAN和電子證書等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全?！拔ｋU”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權(quán)限（通過ACL隔離），使其只能訪問防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源?！拔ｋU”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時（如感染不能殺除的病毒），EAD可以在線隔離并通知用戶。軟件安裝和運(yùn)行檢測：檢測終端軟件的安裝和運(yùn)行狀態(tài)?？梢韵拗平尤刖W(wǎng)

33、絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。支持匿名認(rèn)證：iNode客戶端與EAD服務(wù)器配合提供用戶匿名認(rèn)證功能，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。接入時間、區(qū)域控制：可以限制用戶只能在允許的時間和地點（接入設(shè)備和端口）上網(wǎng)。限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。4.2.3 用戶行為監(jiān)控終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級，病毒庫升級，補(bǔ)丁安裝；目前只支持手工方式（金山的客

34、戶端可以與系統(tǒng)中心做自動升級）。安全狀態(tài)監(jiān)控：定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。強(qiáng)制用戶下線：管理員可以強(qiáng)制行為“可疑”的用戶下線。4.3 桌面資產(chǎn)管理應(yīng)用模型4.3.1桌面資產(chǎn)管理應(yīng)用模型（注：Radius服務(wù)器、安全策略服務(wù)器、DAM服務(wù)器均由EAD完成）身份驗證及安全認(rèn)證：身份認(rèn)證和安全認(rèn)證不在資產(chǎn)管理流程中。這里提到，主要是在安全認(rèn)證成功之后，在EAD交互報文中給出了DAM（桌面資產(chǎn)管理，內(nèi)含于EAD服務(wù)器）服務(wù)器的地址和端口；可選的

35、，DAM服務(wù)器的地址和端口，也可以采用iNode客戶端管理中心定制指定；資產(chǎn)上線：資產(chǎn)上線分成幾種情況：1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；2、客戶端注冊方式的新資產(chǎn)（該資產(chǎn)由管理員增加）上線：服務(wù)端要求客戶端輸入資產(chǎn)編號，客戶端提交后，服務(wù)端根據(jù)資產(chǎn)編號找到資產(chǎn)信息，發(fā)給客戶端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；3、服務(wù)器自動生成新資產(chǎn)方式的上線：服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號；客戶端彈出資產(chǎn)信息錄入界面并由

36、用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端根據(jù)客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端；客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認(rèn)報文給服務(wù)端；服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動一個操作系統(tǒng)并上線成功后，在另一個操作系統(tǒng)下又發(fā)起上線請求；服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶端可以上線；服務(wù)

37、端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；資產(chǎn)信息上報：客戶端獲取本地資產(chǎn)信息，保存到本地，并上報給服務(wù)端；客戶端定期會掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時將資產(chǎn)變更信息上報給服務(wù)端；USB使用信息上報：客戶端實時監(jiān)測USB插入情況，如果有USB插入、向USB中寫入文件、或者拔出USB，都會寫入文件；客戶端定期上報USB使用信息給服務(wù)端；軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù)；客戶端向服務(wù)端請求資產(chǎn)策略，服務(wù)端回應(yīng)同時，將分發(fā)任務(wù)下達(dá)給客戶端；客戶端連接到分發(fā)服務(wù)器進(jìn)行軟件下載；下載到本地之后可由用戶自行安裝，也可以自動安裝；4.4 桌面資產(chǎn)管理功

38、能特點4.4.1 終端資產(chǎn)管理資產(chǎn)編號處理：針對新資產(chǎn)，支持服務(wù)端自動生成資產(chǎn)編號、也可管理員手工輸入，方式靈活，并豐富了管理手段；支持資產(chǎn)信息的增刪改：管理員可以增加、刪除、修改資產(chǎn)信息；支持資產(chǎn)分組管理：可靈活的將資產(chǎn)對應(yīng)到相應(yīng)分組中，便于管理；終端資產(chǎn)信息自動上報：支持資產(chǎn)信息自動上報；支持資產(chǎn)變更信息自動上報；USB使用信息自動上報；資產(chǎn)信息審計：可對軟硬件資產(chǎn)進(jìn)行查詢，支持按CPU、制造商、型號、操作系統(tǒng)等統(tǒng)計資產(chǎn)，便于管理員分類進(jìn)行企業(yè)資產(chǎn)盤點；資產(chǎn)變更審計：可針對資產(chǎn)變更信息進(jìn)行審計，審計內(nèi)容包含資產(chǎn)名、編號、變更類型、變更內(nèi)容、資產(chǎn)責(zé)任人、變更時間等；便于管理員及時掌握企業(yè)資產(chǎn)

39、變動情況；支持USB使用審計：支持USB使用的審計，審計內(nèi)容包括資產(chǎn)名、文件名、文件大小、操作時間等，幫助管理員追蹤定位非法用戶；支持禁用光驅(qū)、軟驅(qū)、紅外、藍(lán)牙、Modem等外設(shè)：可以禁用USB存儲設(shè)備，光驅(qū)、軟驅(qū)、紅外、藍(lán)牙、Modem、并口、串口等外設(shè)，防止關(guān)鍵機(jī)密信息外泄。4.4.2 軟件分發(fā)分發(fā)任務(wù)管理：支持軟件分發(fā)任務(wù)的增加，修改，查詢和刪除以及關(guān)閉功能；可以按資產(chǎn)分組、選中單個或者多個資產(chǎn)進(jìn)行資產(chǎn)批量分發(fā)；可以自定義分發(fā)操作的時間；支持http，ftp和文件共享三種方式的分發(fā)服務(wù)器的參數(shù)配置功能；軟件分發(fā)查詢：支持按照資產(chǎn)查詢軟件分發(fā)歷史；支持按照分發(fā)任務(wù)查詢每個資產(chǎn)的軟件分發(fā)狀態(tài)

40、；軟件分發(fā)：支持http、ftp和文件共享等三種協(xié)議的軟件分發(fā)，軟件分發(fā)給終端之后，安裝的方式可以根據(jù)管理員指定好的策略進(jìn)行靜默安裝或者普通安裝。5 系統(tǒng)參數(shù)及環(huán)境要求5.1 EAD系統(tǒng)技術(shù)參數(shù)網(wǎng)絡(luò)帶寬占用：用戶終端安全狀態(tài)信息<1K；并發(fā)連接數(shù)：EAD應(yīng)用服務(wù)器可支持5000個并發(fā)連接；雙機(jī)備份：支持24小時主備數(shù)據(jù)自動同步方案；5.2 EAD系統(tǒng)環(huán)境要求iMC平臺服務(wù)器（最大管理500臺設(shè)備）屬性參數(shù)服務(wù)器端：PC服務(wù)器：Xeon2.4G（及以上）、內(nèi)存2G硬件平臺（及以上）、硬盤80G（及以上）、48倍速光驅(qū)、100M網(wǎng)卡、顯卡支持分辯率1024*768、聲卡服務(wù)器：Windows

41、2000Server/Server2003（簡體中文版）操作系統(tǒng)客戶端：WindowsXP/2000/Vista（簡體中文版）瀏覽器：IE5.5及以上版本、Firefox1.5及以上版本SQLServer2000Standard簡體中文版（SP4）數(shù)據(jù)庫SQLServer2005Workgroup簡體中文版EAD安全策略服務(wù)器（最大管理5000用戶）屬性參數(shù)服務(wù)器端：處理器類型：IntelXeonEM64T或更好；處理器主頻：3.0GHz；處理器二級高速緩存：2MB；處理器配置數(shù)目1；硬件平臺內(nèi)存2G；硬盤容量144GB（RAID1）；陣列控制器/Raid卡：配置雙通道Ultra320SCSI

42、卡式陣列控制器或更好，緩存128MB；支持RAID0、1、1+0、5；網(wǎng)卡1塊10/100/1000Mb自適應(yīng)以太網(wǎng)卡；服務(wù)器：Windows2000ServerSP4/Server2003SP1（簡體中文版）操作系統(tǒng)客戶端：WindowsXP/2000/Vista（簡體中文版）瀏覽器：IE5.5及以上版本、Firefox1.5及以上版本屬性參數(shù)數(shù)據(jù)庫SQLServer2000Standard簡體中文版（SP4）SQLServer2005Workgroup簡體中文版iNode客戶端：軟件環(huán)境：Windows2000/XP/2003/Vista；硬件環(huán)境：CPU主頻800MHz以上、128M以上

43、內(nèi)存。6 附1：部署說明Portal網(wǎng)關(guān)設(shè)備性能：設(shè)備型號認(rèn)證性能說明S5500EI28C/PWR/28FPortal512整機(jī)4000(一條規(guī)則占4條資源)52C/PWR-EI1024整機(jī)8000，每芯片4000，限制同上SC單板每板4000(一條規(guī)則占4條資S7502EPortal1500源)，每板1.5K，整機(jī)上限3000(需將用戶平分到單板)酒鋼廠區(qū)PC終端數(shù)量分布：區(qū)域PC數(shù)量建議設(shè)備富余量A辦公406802.1x實現(xiàn)B燒結(jié)329500C煉鋼351500D動力274500E宏昌4921000F交易中8441500心G指揮中200500心榆鋼500翼鋼500由此，交易區(qū)旁掛一臺S750

44、2E，在宏昌區(qū)旁掛一臺S5500-52C-EI，在燒結(jié)區(qū)、煉鋼區(qū)、動力區(qū)、生產(chǎn)指揮中心、翼鋼、榆鋼各旁掛六臺S5500-28C-EI。7 附2：EAD功能列表網(wǎng)絡(luò)與安全統(tǒng)一管理拓?fù)浞绞街庇^顯示網(wǎng)絡(luò)設(shè)備及接入用戶，可通過拓?fù)湔莆杖W(wǎng)用戶安全狀態(tài)，直接對用戶進(jìn)行下線、在線檢查等操作能夠評估客戶端的補(bǔ)丁安裝是否合格，可以檢測的補(bǔ)丁包終端補(bǔ)丁檢測括：操作系統(tǒng)(Windows2000、XP、Server2003等，不包括Windows98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁自動補(bǔ)丁管理支持與微軟WSUS/SMS協(xié)同的自動補(bǔ)丁管理，當(dāng)用戶安全認(rèn)證時，自動檢查、下載、安裝補(bǔ)丁。與廠商防病毒聯(lián)動支持與趨勢科技、瑞星、

45、江民、金山、McAfee、Symentec、Ahn、北信源、CA、Kill等廠商的防病毒軟件聯(lián)動，支持安裝運(yùn)行狀態(tài)等的檢測病毒庫版本檢測支持檢測終端安裝的防病毒軟件和病毒庫的版本是否合格終端病毒感染狀態(tài)檢測用戶上網(wǎng)前的殺毒記錄，可以強(qiáng)制用戶在接入網(wǎng)絡(luò)前首先查殺病毒。ARP網(wǎng)關(guān)綁定支持通過提供用戶網(wǎng)關(guān)IP、MAC地址配置信息防止本地受到假冒網(wǎng)關(guān)方式的ARP欺騙客戶端ARP報文過濾客戶端可對于IP-MAC不對應(yīng)的ARP主動進(jìn)行過濾，防止客戶端主機(jī)發(fā)起ARP攻擊異常流量監(jiān)控支持根據(jù)流量監(jiān)控策略進(jìn)行流量監(jiān)控?？舍槍Ω婢墑e的不同對應(yīng)不同的處理軟件黑白名單控制支持檢測終端應(yīng)用程序、進(jìn)程的運(yùn)行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件；必須運(yùn)行或禁止運(yùn)行其中某些進(jìn)程。終端強(qiáng)制或提醒修復(fù)支持強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級，病毒庫升級，補(bǔ)丁安裝；多種安全模式支持下線模式、Guest模式、VIP模式和隔離模式，以適應(yīng)不同客戶對安全準(zhǔn)入控制的不同要求。安全模式設(shè)置支持基于單一安全檢查項（防病毒軟件、軟件補(bǔ)丁、應(yīng)用軟件、進(jìn)程等）設(shè)置不同的安全模式1、黑名單用戶接入限制