終端準入解決方案EAD(上網(wǎng)資料)

EAD終端準入限制解決方案——中國最專業(yè)、部署最廣泛的網(wǎng)絡準入解決方案目前，在企業(yè)網(wǎng)絡中，用戶的終端計算機不剛好升級系統(tǒng)補丁和病毒庫、私設(shè)代理服務器、私自訪問外部網(wǎng)絡、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡，就等于給潛在的平安威逼放開了大門，使平安威逼在更大范圍內(nèi)快速擴散，進而導致網(wǎng)絡運用行為的“失控”。保證用戶終端的平安、阻擋威逼入侵網(wǎng)絡，對用戶的網(wǎng)絡訪問行為進行有效的限制，是保證企業(yè)網(wǎng)絡平安運行的前提，也是目前企業(yè)急需解決的問題。網(wǎng)絡平安從本質(zhì)上講是管理問題。H3C終端準入限制（EAD，EnduserAdmissionDomination）解決方案從限制用戶終端平安接入網(wǎng)絡的角度入手，整合網(wǎng)絡接入限制與終端平安產(chǎn)品，通過平安客戶端、平安策略服務器、網(wǎng)絡設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施企業(yè)平安策略，嚴格限制終端用戶的網(wǎng)絡運用行為，有效地加強了用戶終端的主動防衛(wèi)實力，為企業(yè)網(wǎng)絡管理人員供應了有效、易用的管理工具和手段。1．方案概述對于要接入平安網(wǎng)絡的用戶，EAD解決方案首先要對其進行身份認證，通過身份認證的用戶進行終端的平安認證，依據(jù)網(wǎng)絡管理員定制的平安策略進行包括病毒庫更新狀況、系統(tǒng)補丁安裝狀況、軟件的黑白名單、U盤外設(shè)運用狀況、軟硬件資產(chǎn)信息等內(nèi)容的平安檢查，依據(jù)檢查的結(jié)果，EAD對用戶網(wǎng)絡準入進行授權(quán)和限制。通過平安認證后，用戶可以正常運用網(wǎng)絡，與此同時，EAD可以對用戶終端運行狀況和網(wǎng)絡運用狀況進行審計和監(jiān)控。EAD解決方案對用戶網(wǎng)絡準入的整體認證過程如下圖所示：2．組網(wǎng)模型如下圖所示，EAD組網(wǎng)模型圖中包括平安客戶端、平安聯(lián)動設(shè)備、EAD平安策略服務器和第三方服務器。平安客戶端：是指安裝了H3CiNode智能客戶端的用戶接入終端，負責身份認證的發(fā)起和平安策略的檢查。平安聯(lián)動設(shè)備：是指用戶網(wǎng)絡中的交換機、路由器、VPN網(wǎng)關(guān)等設(shè)備。EAD供應了敏捷多樣的組網(wǎng)方案，平安聯(lián)動設(shè)備可以依據(jù)須要敏捷部署在各層比如網(wǎng)絡接入層和匯聚層。EAD平安策略服務器：它要求和平安聯(lián)動設(shè)備路由可達。負責給客戶端下發(fā)平安策略、接收客戶端平安策略檢查結(jié)果并進行審核，向平安聯(lián)動設(shè)備發(fā)送網(wǎng)絡訪問的授權(quán)指令。第三方服務器：是指補丁服務器、病毒服務器和平安代理服務器等，被部署在隔離區(qū)中。當用戶通過身份認證但平安認證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服務器，通過第三方服務器進行自身平安修復，直到滿意平安策略要求。3．功能特點全方位準入限制EAD解決方案供應完善的接入限制，可以支持局域網(wǎng)、廣域網(wǎng)、VPN、無線各種接入方式，支持包括HUB在內(nèi)的各種困難網(wǎng)絡、思科等異構(gòu)網(wǎng)絡環(huán)境下的部署，保證從任何地點、任何方式下的接入平安。嚴格的身份認證除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進行綁定，支持智能卡、數(shù)字證書認證，增加身份認證的平安性。完備的平安狀態(tài)評估依據(jù)管理員配置的平安策略，用戶可以進行的平安認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置、U盤外設(shè)管理、桌面資產(chǎn)管理等；EAD客戶端支持和瑞星、江民、金山、Symantec、MacAfee、TrendMicro、安博士、卡巴斯基等國內(nèi)外主流病毒廠商聯(lián)動，同時為了更好的滿意客戶的需求，也支持與微軟SMS、LANDesk、BigFix等業(yè)界高端的桌面平安產(chǎn)品的協(xié)作運用。例如已經(jīng)購買微軟的桌面管理工具SMS的用戶，EAD可以與SMS協(xié)作，由EAD實現(xiàn)終端用戶的準入限制，由SMS實現(xiàn)各種Windows環(huán)境下用戶的增加型桌面管理需求：資產(chǎn)管理、補丁管理、軟件分發(fā)和安裝等。精細化的權(quán)限限制在用戶終端通過病毒、補丁等平安信息檢查后，EAD可基于終端用戶的角色，向平安聯(lián)動設(shè)備下發(fā)事先配置的接入限制策略，依據(jù)用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡運用行為。終端用戶的所屬VLAN、ACL訪問策略、是否禁止運用代理、是否禁止運用雙網(wǎng)卡等平安措施均可由管理員統(tǒng)一配置實施。敏捷便利的用戶策略EAD依據(jù)網(wǎng)絡管理員配置的平安策略區(qū)分對待不同身份的用戶，定制不同的平安檢查和處理模式，包括監(jiān)控模式、提示模式、隔離模式和下線模式。用戶可以依據(jù)自己的實際須要，為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的平安策略執(zhí)行方式。桌面資產(chǎn)及外設(shè)管理EAD解決方案供應了對終端資產(chǎn)全方位的監(jiān)控和管理的功能，可以對終端軟硬件運用狀況、變更狀況進行監(jiān)控，同時還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、遠程桌面限制，實現(xiàn)對桌面資產(chǎn)的有效管理。EAD解決方案還供應了對U盤和其他外設(shè)的管理功能，可以對終端用戶的各種外設(shè)進行限制，有效防止重要信息的泄密，同時供應U盤文件的監(jiān)控功能，可以查看重要文件通過U盤拷貝時，有無存在不當運用行為。易于部署的無客戶端EAD解決方案供應了免安裝的易用部署方式，用戶事先不須要安裝客戶端，上網(wǎng)時EAD系統(tǒng)會自動載入客戶端，對用戶身份和終端平安狀態(tài)進行檢查，用戶不須要變更上網(wǎng)習慣的同時，可以享受EAD帶來的平安保障。多種層次的高可用性EAD解決方案供應了雙機冷備和雙機熱備功能，可以避開單臺EAD服務器當機引起的認證中斷，同時還支持單機故障的逃命方案，臨時允許客戶端不用認證就可以運用網(wǎng)絡，保證了經(jīng)濟敏感用戶的利益。擴綻開放的解決方案EAD解決方案為客戶供應了一個擴展、開放的結(jié)構(gòu)框架，最大限度的愛護了用戶已有的投資。EAD廣泛、深化的和國內(nèi)外防病毒、操作系統(tǒng)、桌面平安等廠商綻開合作，融合各家所長；EAD與第三方認證服務器、平安聯(lián)動設(shè)備等之間的交互基于標準、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。4．典型組網(wǎng)應用局域網(wǎng)平安準入防護在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過交換機接入企業(yè)網(wǎng)絡，EAD通過與交換機的聯(lián)動，強制檢查用戶終端的病毒庫和系統(tǒng)補丁信息，降低病毒和蠕蟲擴散的風險，同時強制實施網(wǎng)絡接入用戶的平安策略，阻擋來自企業(yè)內(nèi)部的平安威逼。廣域網(wǎng)平安準入防護大型企業(yè)往往擁有分支機構(gòu)或合作伙伴，其分支機構(gòu)、合作伙伴也可以通過專線或WAN連接企業(yè)總部。這種組網(wǎng)方式在開放型的商業(yè)企業(yè)中比較普遍，受到的平安威逼也更嚴峻。為了確保接入企業(yè)內(nèi)部網(wǎng)的用戶具有合法身份且符合企業(yè)平安標準，可以在分支機構(gòu)出口路由器、企業(yè)入口路由器或網(wǎng)關(guān)中實施EAD準入限制，保證接入網(wǎng)絡的用戶終端不會對內(nèi)部網(wǎng)絡造成平安威逼。VPN平安準入防護一些企業(yè)和機構(gòu)允許移動辦公員工或外部合作人員通過VPN方式接入企業(yè)內(nèi)部網(wǎng)絡。EAD方案可以通過VPN網(wǎng)關(guān)確保遠程接入用戶在進入企業(yè)內(nèi)部網(wǎng)之前，檢查用戶終端的平安狀態(tài)，并在用戶認證通過后實施企業(yè)平安策略。對于沒有安裝平安客戶端的遠程用戶，管理員可以選擇拒絕其訪問內(nèi)部網(wǎng)絡或限制其訪問權(quán)限。WLA