3.終端準(zhǔn)入控制功能及方案解析

1、EAD解決方案概述維護網(wǎng)絡(luò)正常秩序，助力企業(yè)核心價值H3C終端準(zhǔn)入控制解決方案(EAD，End user Admissio n Domi nation )是全 球首個推向市場的終端管理解決方案，也是國內(nèi)應(yīng)用最廣、用戶數(shù)最多的終端管 理系列產(chǎn)品。EAD方案為網(wǎng)絡(luò)管理者、網(wǎng)絡(luò)運營者和企業(yè) IT人員提供了一套系 統(tǒng)、有效、易用的管理工具，幫助保護、管理和監(jiān)控網(wǎng)絡(luò)終端，使網(wǎng)絡(luò)能夠為企 業(yè)的核心目標(biāo)和核心業(yè)務(wù)服務(wù)，減少了日益復(fù)雜的網(wǎng)絡(luò)問題和非法使用對網(wǎng)絡(luò)用 戶的牽絆。5 EAD終端準(zhǔn)入控制解決方案EAD解決方案通過多種身份認(rèn)證方式確認(rèn)終端用戶的合法性；通過與微軟和 眾多防病毒廠商的配合聯(lián)動，檢查終端的安

2、全漏洞、終端殺毒軟件的安裝和病毒 庫更新情況；通過黑白軟件管理，約束終端安裝和運行的軟件；通過統(tǒng)一接入策 略和安全策略管理，控制終端用戶的網(wǎng)絡(luò)訪問權(quán)限；通過桌面資產(chǎn)管理，進行桌 面資產(chǎn)注冊和監(jiān)控、外設(shè)管理和軟件分發(fā)；通過iMC UBA用戶行為審計組件，審計終端用戶的網(wǎng)絡(luò)行為；通過iMC智能管理框架基于資源、用戶和業(yè)務(wù)的一體化 管理，實現(xiàn)對整個網(wǎng)絡(luò)的監(jiān)控和智能聯(lián)動。從而形成對終端的事前規(guī)劃、事中監(jiān) 控和事后審計的立體化管理。EAD解決方案對終端用戶的整體控制過程如下圖所示：EAD解決方案組件：EAD解決方案組件包括智能客戶端、聯(lián)動設(shè)備、安全策略服務(wù)器和第三方服務(wù) 器。?智能客戶端：是指安裝了 H

3、3C iNode智能客戶端的用戶接入終端，負責(zé)身份認(rèn)證 的發(fā)起、安全策略的檢查以及和安全策略服務(wù)器配合進行終端控制。?聯(lián)動設(shè)備：聯(lián)動設(shè)備是網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準(zhǔn)入認(rèn)證、隔離 不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，聯(lián)動設(shè)備可 以是交換機、路由器、準(zhǔn)入網(wǎng)關(guān)、VPN或無線設(shè)備，分別實現(xiàn)不同認(rèn)證方式（如802.1X、VPN和Portal等）的終端準(zhǔn)入控制。針對多樣化的網(wǎng)絡(luò)，EAD提供了靈活多樣的組網(wǎng)方案，聯(lián)動設(shè)備可以根據(jù)需要進行靈活部署。?安全策略服務(wù)器：EAD方案的核心是整合與聯(lián)動，而安全策略服務(wù)器是EAD方案中的管理與控制中心，兼具終端用戶管理、安全策略管理

4、、安全狀態(tài)評估、安全聯(lián)動控制以及 安全事件審計等功能。?第三方服務(wù)器：是指補丁服務(wù)器、病毒服務(wù)器等，被部署在隔離區(qū)中。當(dāng)用戶通過身份 認(rèn)證但安全認(rèn)證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服務(wù)器，通過 第三方服務(wù)器進行自身安全修復(fù)，直到滿足安全策略要求。功能特點：支持多種接入方式支持：802.1X接入、Portal接入、L2TP/IPsec VPN 接入方式;適用于：局域網(wǎng)、廣域網(wǎng)、無線網(wǎng)絡(luò)接入、L2TP/IPsec VPN 組網(wǎng)；支持：接入時段限制、接入?yún)^(qū)域限制；?可以部署于由不同廠家設(shè)備構(gòu)成的異構(gòu)網(wǎng)絡(luò)環(huán)境。?豐富的身份認(rèn)證?支持：用戶名/密碼認(rèn)證、智能卡認(rèn)證、數(shù)字證書認(rèn)證、

5、MAC 地址認(rèn)證；?支持綁定：MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口、無線SSID ；?支持從LDAP服務(wù)器獲取用戶信息，可以只同步有認(rèn)證行為的用戶信息，從而節(jié)省用戶的License費用。?精確的終端設(shè)備識別功能?支持識別用戶設(shè)備的類型。該設(shè)備是傳統(tǒng)的PC、筆記本還是智能手機、平板電腦等移動智能設(shè)備。設(shè)備的操作系統(tǒng)、生產(chǎn)廠商、IMEI碼等信息，也是識別設(shè)備類型時必須要確認(rèn)的設(shè)備屬性信息。?支持識別用戶設(shè)備的歸屬。該設(shè)備是屬于公司所有還是屬于員工個人，直接影響企業(yè) 對設(shè)備的管理。對于個人設(shè)備，企業(yè)必須遵守相關(guān)法律法規(guī)，不去觸碰設(shè)備上的員工私人 信息。?廣泛的防病毒廠商配合

6、能力?可配合病毒廠商：瑞星、江民、金山、卡巴斯基、Symantec、Nod32、McAfee、Trend Micro、安博士、 KILL、趨勢、趨勢企業(yè)無憂安全版 css5.0、Vrv、Forfront、Sophos、Avast、Antivirus Professional 、 Avira AntiVir Personal-Free Antivirus 、 ClamWin Free Antivirus 、Comodo AntiVirus Beta 、CA Anti-Virus 、 F-Secure Internet Security 、 FortiClient 、 F- PROT Antivi

7、rus for Windows 、Virus Chaser、Norman Virus Control、SystemSuite 9 Professional 、Vba32 Personal。?豐富的系統(tǒng)安全狀態(tài)評估能力?支持與微軟SMS/WSUS配合進行補丁檢查和安裝；?支持黑白軟件檢查；?支持終端代理檢查及非法外聯(lián)控制；?支持多網(wǎng)卡檢查；?支持注冊表監(jiān)控；?支持操作系統(tǒng)弱密碼檢查；?支持客戶端流量檢查。?豐富的準(zhǔn)入控制?支持基于用戶角色、用戶接入位置、接入終端類型的接入控制策略下發(fā)；?控制手段：向接入設(shè)備下發(fā) VLAN、ACL、QoS、限定用戶的上下行速率、使用客戶端 ACL限制用戶的訪問權(quán)限

8、（控制不受組網(wǎng)限制、并可以禁止內(nèi)網(wǎng)用戶非法連接外網(wǎng)。?靈活方便的執(zhí)行模式?對待不同身份的用戶，定制不同的安全檢查和處理模式；?執(zhí)行模式包括：監(jiān)控模式、VIP模式、隔離模式、下線模式和訪客模式；?用戶可以根據(jù)自己的實際需要，為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。?全面攻擊防御? EAD解決方案通過 ARP網(wǎng)關(guān)地址自動下發(fā)、自動綁定的功能，使終端用戶免受ARP欺騙攻擊的影響；?提供ARP攻擊報文過濾、ARP異常流量檢測等控制措施，杜絕惡意用戶的ARP攻擊行為；?支持對非法DHCP請求報文的過濾，從而有效防止DHCP攻擊。?桌面資產(chǎn)管理?實現(xiàn)：終端資產(chǎn)注冊、終端軟硬

9、件使用情況、變更情況進行監(jiān)控；?支持軟件的統(tǒng)一分發(fā)；?支持綠色節(jié)能策略；?支持遠程協(xié)助、遠程桌面；?可禁止內(nèi)網(wǎng)外聯(lián)或?qū)?nèi)網(wǎng)外聯(lián)行為進行審計。?U盤審計及外設(shè)管理?支持：USB存儲設(shè)備監(jiān)控、外設(shè)違規(guī)使用審計、打印機操作監(jiān)控；?支持禁用：USB存儲設(shè)備、USB非存儲設(shè)備、光驅(qū)、軟驅(qū)、PCMCIA接口、串口、并口、紅外、藍牙、 1394、Modem、3G上網(wǎng)卡；?通過融合TRM可信移動介質(zhì)管理組件對USB移動存儲介質(zhì)（包括 U盤、移動硬盤等）注冊、授權(quán)、使用控制和監(jiān)控功能，對USB存儲介質(zhì)實現(xiàn) 拿不走、進不來”的數(shù)據(jù)泄露防護。?靈活的客戶端部署? EAD解決方案提供了免安裝的易用部署方式，用戶事先不

10、需要安裝客戶端，上網(wǎng)時 EAD系統(tǒng)會自動載入客戶端，對用戶身份和終端安全狀態(tài)進行檢查，用戶不需要改變上網(wǎng)習(xí) 慣的同時，可以享受 EAD帶來的安全保障；?與H3C設(shè)備配合可以支持客戶端快速部署功能。用戶在認(rèn)證前也可以訪問 指定的網(wǎng)絡(luò)資源，用戶的 Web訪問會被重定向到指定服務(wù)器，供終端用戶下載客 戶端軟件，用戶安裝好客戶端并通過認(rèn)證后可以訪問全部網(wǎng)絡(luò)資源。?多種層次的高可用性和擴展性?支持：雙機冷備、雙機熱備、單機故障的逃生方案；? Portal網(wǎng)關(guān)支持網(wǎng)關(guān)雙機備份，單臺 Portal網(wǎng)關(guān)失效后可以切換到備份 Portal網(wǎng)關(guān)上，不影響用戶上網(wǎng)；?支持分級、分布式部署。?融合、擴展與開放的解決方

11、案?基于H3C iMC （開放智能管理中樞）SOA架構(gòu)，EAD解決方案為客戶提供了一個擴展、 開放的結(jié)構(gòu)框架；?融合設(shè)備管理、用戶管理和業(yè)務(wù)管理三大緯度；?廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長；?基于標(biāo)準(zhǔn)、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通；? EAD服務(wù)器支持 Windows與Linux操作系統(tǒng)，iNode客戶端支持 Windows、Mac OS、 Li nux、Apple iOS、An droid 等操作系統(tǒng)。在無線局域網(wǎng)中的部署方案無線局域網(wǎng)（WLAN ）以其安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡(luò)無法 比擬的優(yōu)點，得到越來越廣泛的應(yīng)用，但靈

12、活方便的網(wǎng)絡(luò)接入方式同時也為局域網(wǎng)帶來了巨大 的安全威脅。無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制層面，非授權(quán)或者非安全的客戶一旦接入網(wǎng) 絡(luò)后，將會直接面對核心服務(wù)器，威脅核心業(yè)務(wù)，因此能對無線接入用戶進行身份識別、安全 檢查和網(wǎng)絡(luò)授權(quán)的訪問控制系統(tǒng)必不可少。在無線網(wǎng)絡(luò)中，結(jié)合使用EAD解決方案，可以有效的滿足園區(qū)網(wǎng)的無線安全準(zhǔn)入的需求。H3C EAD解決方案可以在無線局域網(wǎng)環(huán)境下，有效的滿足客戶無線安全準(zhǔn)入的需求，其 組網(wǎng)圖如下：殳Q Q 4如圖所示，EAD可以配合無線 AP和無線控制器，通過認(rèn)證實現(xiàn)對無線接入用戶的終端準(zhǔn)入控制。這種組網(wǎng)方案可以防止采用無線接入的人員訪問內(nèi)網(wǎng)時帶來的安全隱患，同時也有 效的解決了用戶有線、無線接入方式的統(tǒng)一安全控制問題。同時，無線網(wǎng)絡(luò)存在信號覆蓋不穩(wěn)定、無線網(wǎng)卡類型眾多、驅(qū)動廠商對802.11 a/b/g/n等無線技術(shù)標(biāo)準(zhǔn)支持不一致、丟包率較高等問題，而H3C基于Portal技術(shù)的無線用戶準(zhǔn)入控制方案則全面解決了這一問題。其基本流程如下：用戶連接到無線網(wǎng)絡(luò)后，在訪問網(wǎng)絡(luò)的過程中會被強制要求進行身份認(rèn)證和安全檢查。 在整個過程中，擁有合法身份的用戶除了被驗證用戶名、密碼等信息外，還被檢查是否滿足安 全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系