3.终端准入控制功能及方案解析

1、EAD解决方案概述维护网络正常秩序，助力企业核心价值H3C终端准入控制解决方案（EAD，End user Admission Domination）是全球首个推向市场的终端管理解决方案，也是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具，帮助保护、管理和监控网络终端，使网络能够为企业的核心目标和核心业务服务，减少了日益复杂的网络问题和非法使用对网络用户的牵绊。5 EAD终端准入控制解决方案EAD解决方案通过多种身份认证方式确认终端用户的合法性；通过与微软和众多防病毒厂商的配合联动，检查终端的安全漏洞、终端杀毒软件

2、的安装和病毒库更新情况；通过黑白软件管理，约束终端安装和运行的软件；通过统一接入策略和安全策略管理，控制终端用户的网络访问权限；通过桌面资产管理，进行桌面资产注册和监控、外设管理和软件分发；通过iMC UBA用户行为审计组件，审计终端用户的网络行为；通过iMC智能管理框架基于资源、用户和业务的一体化管理，实现对整个网络的监控和智能联动。从而形成对终端的事前规划、事中监控和事后审计的立体化管理。EAD解决方案对终端用户的整体控制过程如下图所示：EAD解决方案组件：EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。 智能客户端：是指安装了H3C iNode智能客户端的用户接

3、入终端，负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。 联动设备：联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，联动设备可以是交换机、路由器、准入网关、VPN或无线设备，分别实现不同认证方式（如802.1X、VPN和Portal等）的终端准入控制。针对多样化的网络，EAD提供了灵活多样的组网方案，联动设备可以根据需要进行灵活部署。 安全策略服务器：EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件

4、审计等功能。 第三方服务器：是指补丁服务器、病毒服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。功能特点： 支持多种接入方式 支持：802.1X接入、Portal接入、L2TP/IPsec VPN接入方式； 适用于：局域网、广域网、无线网络接入、L2TP/IPsec VPN组网； 支持：接入时段限制、接入区域限制； 可以部署于由不同厂家设备构成的异构网络环境。 丰富的身份认证 支持：用户名/密码认证、智能卡认证、数字证书认证、MAC地址认证； 支持绑定：MAC地址、I

5、P地址、所在VLAN、接入设备IP、接入设备端口、无线SSID； 支持从LDAP服务器获取用户信息，可以只同步有认证行为的用户信息，从而节省用户的License费用。 精确的终端设备识别功能 支持识别用户设备的类型。该设备是传统的PC、笔记本还是智能手机、平板电脑等移动智能设备。设备的操作系统、生产厂商、IMEI码等信息，也是识别设备类型时必须要确认的设备属性信息。 支持识别用户设备的归属。该设备是属于公司所有还是属于员工个人，直接影响企业对设备的管理。对于个人设备，企业必须遵守相关法律法规，不去触碰设备上的员工私人信息。 广泛的防病毒厂商配合能力 可配合病毒厂商：瑞星、江民、金山、卡巴斯基、

6、Symantec、Nod32、McAfee、Trend Micro、安博士、KILL、趋势、趋势企业无忧安全版css5.0、Vrv、Forfront、Sophos、Avast、Antivirus Professional、Avira AntiVir Personal-Free Antivirus、ClamWin Free Antivirus、Comodo AntiVirus Beta、CA Anti-Virus、F-Secure Internet Security、FortiClient、F-PROT Antivirus for Windows、Virus Chaser、Norman Viru

7、s Control、SystemSuite 9 Professional、Vba32 Personal。 丰富的系统安全状态评估能力 支持与微软SMS/WSUS配合进行补丁检查和安装； 支持黑白软件检查； 支持终端代理检查及非法外联控制； 支持多网卡检查； 支持注册表监控； 支持操作系统弱密码检查； 支持客户端流量检查。 丰富的准入控制 支持基于用户角色、用户接入位置、接入终端类型的接入控制策略下发； 控制手段：向接入设备下发VLAN、ACL、QoS、限定用户的上下行速率、使用客户端ACL限制用户的访问权限(控制不受组网限制、并可以禁止内网用户非法连接外网。 灵活方便的执行模式 对待不同身份的

8、用户，定制不同的安全检查和处理模式； 执行模式包括：监控模式、VIP模式、隔离模式、下线模式和访客模式； 用户可以根据自己的实际需要，为VIP客户、内部员工、外来访客等不同人群，定义不同的安全策略执行方式。 全面攻击防御 EAD解决方案通过ARP网关地址自动下发、自动绑定的功能，使终端用户免受ARP欺骗攻击的影响； 提供ARP攻击报文过滤、ARP异常流量检测等控制措施，杜绝恶意用户的ARP攻击行为； 支持对非法DHCP请求报文的过滤，从而有效防止DHCP攻击。 桌面资产管理 实现：终端资产注册、终端软硬件使用情况、变更情况进行监控； 支持软件的统一分发； 支持绿色节能策略； 支持远程协助、远程

9、桌面； 可禁止内网外联或对内网外联行为进行审计。 U盘审计及外设管理 支持：USB存储设备监控、外设违规使用审计、打印机操作监控； 支持禁用：USB存储设备、USB非存储设备、光驱、软驱、PCMCIA接口、串口、并口、红外、蓝牙、1394、Modem、3G上网卡； 通过融合TRM可信移动介质管理组件对USB移动存储介质（包括U盘、移动硬盘等）注册、授权、使用控制和监控功能，对USB存储介质实现“拿不走、进不来”的数据泄露防护。 灵活的客户端部署 EAD解决方案提供了免安装的易用部署方式，用户事先不需要安装客户端，上网时EAD系统会自动载入客户端，对用户身份和终端安全状态进行检查，用户不需要改变

10、上网习惯的同时，可以享受EAD带来的安全保障； 与H3C设备配合可以支持客户端快速部署功能。用户在认证前也可以访问指定的网络资源，用户的Web访问会被重定向到指定服务器，供终端用户下载客户端软件，用户安装好客户端并通过认证后可以访问全部网络资源。 多种层次的高可用性和扩展性 支持：双机冷备、双机热备、单机故障的逃生方案； Portal网关支持网关双机备份，单台Portal网关失效后可以切换到备份Portal网关上，不影响用户上网； 支持分级、分布式部署。 融合、扩展与开放的解决方案 基于H3C iMC（开放智能管理中枢）SOA架构，EAD解决方案为客户提供了一个扩展、开放的结构框架； 融合设备

11、管理、用户管理和业务管理三大纬度； 广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长； 基于标准、开放的协议架构和规范，易于互联互通； EAD服务器支持Windows与Linux操作系统，iNode客户端支持Windows、Mac OS、Linux、Apple iOS、Android等操作系统。在无线局域网中的部署方案无线局域网（WLAN）以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，得到越来越广泛的应用，但灵活方便的网络接入方式同时也为局域网带来了巨大的安全威胁。无线局域网的安全问题主要体现在访问控制层面，非授权或者非安全的客户一旦接入网络后，

12、将会直接面对核心服务器，威胁核心业务，因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。在无线网络中，结合使用EAD解决方案，可以有效的满足园区网的无线安全准入的需求。H3C EAD解决方案可以在无线局域网环境下，有效的满足客户无线安全准入的需求，其组网图如下：如图所示，EAD可以配合无线AP和无线控制器，通过认证实现对无线接入用户的终端准入控制。这种组网方案可以防止采用无线接入的人员访问内网时带来的安全隐患，同时也有效的解决了用户有线、无线接入方式的统一安全控制问题。同时，无线网络存在信号覆盖不稳定、无线网卡类型众多、驱动厂商对802.11 a/b/g/n等无线技术标准支持不一致、丢包率较高等问题，而H3C基于Portal技术的无线用户准入控制方案则全面解决了这一问题。其基本流程如下：用户连接到无线网络后，在访问网络的过程中会被强制要求进行身份认证和安全检查。在整个过程中，拥有合法身份的用户除了被验证用户名、密码等信息外，还被检查是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁