HCEAD端点准入防御组件解决方案

H3C智能管理中心EAD安全策略组件解决方案产品简介目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。同时，目前市场上常见的用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合，导致管理手段单一、管理力度不足、管理操作复杂。企业迫切需要一种管理方案，使得用户、网络、业务统一管理、互相协同、提升管理效率、满足多种接入场景所需。H3C端点准入防御（EAD，EndpointAdmissionDefense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过iNode智能客户端、EAD安全策略服务器、iMC平台、网络设备以及第三方软件的配合和联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为；同时，在管理上，又能做到用户管理与网络设备管理、网络拓扑管理的融合，并支持与iMCACLManager组件的联动，使得H3C端点准入防御解决方案在有效地加强用户终端的主动防御能力的基础上，为企业网络管理人员更提供了有效、易用、强大的管理工具和手段。方案概述对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：组网模型如下图所示，EAD组网模型图中包括iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。iNode智能客户端：是指安装了H3CiNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。iMC（EAD）安全策略组件：它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。喂第三拦方服效务器换：是伍指补章丁服长务器衫、病公毒服圾务器撒和安正全代荐理服疤务器年等，户被部些署在或隔离耀区中果。当羽用户梢通过四身份屋认证惧但安舍全认胃证失其败时区，将俭被隔迷离到停隔离烘区，移此时氧用户冰能且捎仅能绩访问露隔离哲区中惯的服桌务器瓶，通军过第漏三方士服务卷器进赵行自叮身安捎全修酬复，席直到津满足紫安全月策略沸要求侵。当产品茄特点窃严格图的身讯份认牌证扫除基全于用保户名伍和密部码的专身份册认证马外，贺EA答D还驾支持姻身份闹与接贸入终霜端的苏MA次C地抚址、零IP痰地址骑、所璃在V名LA壳N、粗接入怀设备氧IP茧、接炒入设斯备端恶口号近等信付息进专行绑弯定，泡支持害智能挨卡、底数字享证书蔬认证汇，增周强身吼份认王证的膛安全惯性。化完备骆的安去全状铜态评改估拳根据亭管理络员配许置的惰安全晨策略撒，用教户可传以进睡行的包安全车认证锄检查衬包括惩终端般病毒何库版围本检倚查、掩终端塔补丁历检查醒、终攀端安戚装的饲应用自软件侮检查酿、是搁否有向代理喷、拨采号配课置等垒；为探了更执好的杜满足贸客户她的武需填求，捞EA寸D客棒户端请支持位和微流软S释MS字、L禾AN玩De眼sk贞、B尤ig纤Fi级x等授业界届桌面肯安全福产品伯的配津合鸽使用照，支锤持和营瑞星古、江石民、竞金山筝、S轰ym绒an抵te禽c、量Ma村cA庆fe验e、托Tr渠en世d婶Mi栋cr修o、片Ah绢n等占国内族外主狸流病取毒厂漫商联恭动。左例如养EA成D可烘充分蜓利用充微软树成熟棕的山桌面鸽管理框工具料，由核SM具S实采现孝各种越Wi渡nd派ow躬s环土境下居用户驾的桌净面管汗理需叛求：认资产枣管理思、补占丁管景理、把软件研分发腐和安聚装等啦。抵用户肠管理青与网吸络设碧备管隆理的咏融合娃接入杨设备笋列表灾中可检以直肾接看蒸到用毕户相碰关信顺息，颠操作希简单桂方便皱，叨提高恨了操匹作员厦日常艘维护雹的效怎率。吉可针纺对选紧定的借接入裕设备纺进行击用户熄操作箩，比俩如，具针对骡某个匆接入略设备蜡，将浅其所爸挂的枯用户驶全部食下线娇处理树等。亭可在殿在线跟用户锁列表牧中通没过点缴击丧接入旱设备席，直霸接查带看当受前在泛线用锹户所扯对应季的接尖入设历备的爷详细歇信息唯，比描如乒对应捐的基味本信柏息、武告警巨、性揭能状水况等戚。操搬作更批友好法，全俭面提须升操烟作员示的操孝作体盐验。臭用户粮管理脚与网拔络拓旷扑管盯理的重融合堵在拓张扑上拔可以旅直观鲁的操椒作接貌入设彼备、访接入斯终端应相关趁的用蹈户管众理功若能。菌比如炼查看闸用户聋信息沫、强粪制用丝户下逝线、宏执行疗安全裳检查字等。郑使终吨端用蚊户的榨管理树更加含直观踏清晰钳。疼基于悠角色恼的网妄络授降权肤在用秧户终伯端通稻过病尺毒、秤补丁腥等安叔全信菜息检司查后芽，E苏AD热可基固于终堵端用栋户的吴角色久，向加安全垫联动嫌设备励下发仔事先笨配置暑的接挑入控营制策坚略，觉按照丙用户婆角色监权限愈规范掩用户件的网壳络使炕用行挂为。角终端餐用户高的所句属V河LA眨N、碑AC沿L访师问策衣略、皇是否额禁止毒使用宏代理级、是阶否禁歌止使祖用双滋网卡诸等安盲全措若施均校可由迷管理拼员统外一配桂置实瓜施。图扩展冠开放贿的解驱决方豆案旺EA文D解迹决方表案为滨客户梳提供葱了一纵个扩沫展、撇开放歼的结霜构框障架，束最大烧限度协的保桥护了术用户玩已有款的投量资。惨EA辅D广伤泛、阀深入猪的和轧国内债外防嗓病毒睡、操询作系犬统、路桌面残安全逃等厂死商展恳开合摄作，虾融合南各家渴所长胀；E电AD到与第字三方彼认证脊服务佳器、悦安全宁联动喝设备突等之撑间的尽交互你基于蒙标准字、开守放的兆协议所架构岂和规秩范，救易于骨互联伯互通始。膜灵活老方便酿的部拣署方喷式纪EA涨D方威案部秩署灵过活，姑维护两方便由。E耗AD膨按照月网络重管理娇员唯配置偿的平安全你策略运区别权对待蠢不同演身份贿的用群户，流定制增不同享的安拼全检霸查和剂处理烘模式部，包寿括监就控模爬式、溉提醒栽模式鸦、隔胖离模雁式和腥下线结模式龟；此钥外，恨EA谷D还泪支持此灵活甘的旧破网改苦造方烦案和尤客户塘端静叠默安社装等币特性却。叶运行榴环境绝属性四参数甜硬件贤平台尝服务往器端优：P慧C服穷务器传：X趋eo听n兽2.认4蚀G（刻及以喜上）草、内旧存2仆G（央及以傅上）采、硬喇盘8乳0G止（及挡以上戏）、踪48女倍速摧光驱坡、1贱00诊M网帝卡、垄显卡汁支持蹈分辩创率1膀02顶4*挠76场8、毅声卡叹客户混端：吓PC丘：主骆频1刊.8仍G（广及以鸽上）谎、内结存5两12娇MB耍（及焰以上晨）、折硬盘偶20肆GB这（及畅以上纱）、桥48榨倍速懂光驱火、1扛00如M网岭卡、睁显卡贫支持探分辩孩率1陕02猪4*症76浙8、补声卡卸操作悟系统现服务督器：皂Wi销nd播ow帅s惯20迷00蛾S哥er避ve埋r/缘Se冷rv职er熄2武00内3（打简体正中文兔版）悲客户戚端：抖Wi慨nd煮ow错s牲XP户/2乒00肯0（凝简体胳中文芝版）鹅浏览洲器：自IE孟5.断5及闭以上累版本踢、F碎ir炼ef亮ox谁1.刚5及消以上威版本阶数据凡库叹SQ躲L续Se麻rv归er放2阵00罩0乓St教an叨da珍rd住简体旨中文厦版（释SP演4）域SQ疯L蹦Se稳rv否er按2衫00咐5下Wo鹿rk沈gr库ou箩p简冬体中打文版肺组网烟应用液局域健网安原全准遮入防三护倘在企模业网售内部选，接梁入终斥端一且般是锅通过去交换知机接陡入企袖业网通络