EAD及相关技术解析.docVIP

EAD及相关技术解析 简介 端点准入防御（EAD，Endpoint Admission Defense），是华为3COM公司推出的一套用户安全认证的整体解决方案，具体工作流程如下： 安装华为3com的专用客户端之后，在上网时需要强制进行用户身份认证，无法通过认证的用户将无法接入到网络。 在身份认证之后，由客户端强制检测用户的windows补丁安装、防病毒软件安装、违法软件安装等，将检测信息发送到控制层的安全策略服务器，合格的用户由CAMS服务器根据其身份进行相关的权限设定。 而未能通过安全认证的用户，则被发往隔离区，由第三方的补丁服务器和防病毒服务器进行客户端软件的升级。 EAD技术解析 EAD是华为根据Cisco的NAC（网络准入控制）方案来设计的，基本原理和实施方式和NAC完全一致，主要是利用802.1X技术的扩展信息，在802.1X认证客户端的基础上加入各种控制功能，配合支持802.1X协议的交换机和认证服务器共同实施。 EAD解决方案从设计思想上是比较先进的，但是目前EAD方案存在较多问题，解析如下： EAD中大量使用私有协议 在EAD解决方案中，虽然认证信息是基于802.1X协议，而802.1X协议是标准协议，但是在此方案中，使用了很多802.1X 的扩展特性并非为标准或是公开的。这样就导致一个结果，只要使用EAD解决方案，必须在全网使用华为交换机和认证系统。 数据网络产业变化比较迅速，七八年前的很多网络厂商现在已经退出，而最早做出类似的解决方案，并且商业化比较成熟的凯创公司，现在已经基本退出中国市场，在国内政府的大量类似应用无法得到后续维护，最后只能使用其最简单的交换机功能。Huawei3Com公司目前仍存在很多被收购传言，新浪等网站都发布过Juniper和华为谈判收购的消息，在这个阶段选择一个私有性如此强的解决方案，风险程度比较大。 EAD全部为H3C开发，专业性存在很大问题。 EAD全面仿制Cisco的NAC，而NAC在设计初期也采用全部使用Cisco全部设计所有产品的策略，但是在推进的过程中，逐渐发现在各种主机检测控制软件中，Cisco无法将其设计成和其他专业软件厂商那么专业，例如在桌面控制方面，就远远不如MicroSoft公司设计的产品，在其他方面也是如此，所以Cisco的NAC网络准入控制体系中，包含了很多其他的专业控制软件产品，而Cisco自身只提供网络设备上相关标准协议的支持。Foundry等其他主流交换机厂家，也和Microsoft等公司联合部署此类解决方案，也都有比较成熟的产品。 目前，关于网络终端的安全控制，业界的主要做法开始变为和交换机无关，交换机提供标准802.1X控制协议，而其他专业软件厂商提供功能模块，用户可灵活搭配，灵活更新和替换。EAD目前采用的均非标准协议，认证格式和内容均不公开，其他厂家软件无法配合使用，用户选择性较小。 目前终端安全控制领域尚没有形成成熟产业 虽然凯创、Cisco已经进行了多年的该项目的研发，后续很多如MicroSoft、IBM、Symantec等公司均加入此行列，或推出自己的整体方案或联合其他硬件厂商推出联合解决方案，但是现在都属于未成熟期，整个市场应用较小。而且各厂商之间的技术壁垒并为完全打破，没有像网络一样形成类似TCP/IP的标准协议规范。在这个阶段以实验方式居多，实际商务应用仍旧较少。 EAD解决方案仍未成熟 EAD整体解决方案仍未成熟，尤其缺少大型网络的检验，缺少500以上用户的成功实施的案例，即使华为3com内部，使用的也不是EAD系统，而是仅仅具有用户认证功能的华为的SPE系统。 EAD解决方案不适用于大型网络 由于诸多客观原因，例如网络用户整体水平、服务器维护质量、第三方软件系统支持、网络维护人员人力等等各种原因，造成EAD解决方案主要适用于少于百人的小型网络。大型规模的网络，仅所有用户的终端维护一项，网络中心就需要投入大量的人力。而大学里面，学生本身是最不稳定的团体，好奇和求知欲等都会给这种细度的网络维护产生巨大困难。 EAD解决方案带来另一种安全问题 在EAD网络方案中，网络中心权力过大，能够监管到所有用户的计算机终端的使用情况，而EAD的客户端从根本上说，本身就是一个计算机的后门程序，对于学校的敏感部门的敏感信息保护可能会有影响。 EAD及相关技术解析 - 2 -