EAD解决方案部署.docVIP

部署篇 在园区网中部署EAD解决方案 目前，管理员更多关注外网的防护，包括部署IPS/IDS、防火墙等设备，但是实际中更多的网络安全事件都是由脆弱的用户终端和失控的局域网使用行为引起。在局域网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用禁用软件等行为也比比皆是。失控的用户终端一旦接入网络，就相当于安全威胁绕过了IPS/IDS、防火墙这些，直接面对网络核心业务。因此保证用户终端的安全，对用户的局域网访问行为进行有效的控制，是保证网络安全运行的前提，也是目前局域网安全管理急需解决的问题。 EAD提供了一个全新的安全防御体系，将与网络接入控制相融合，加强了对用户/终端的集中管理，提高了网络终端的主动抵抗能力。EAD方案通过智能客户端、安全策略服务器、接入设备以及第三方服务器的联动，可以将不符合安全要求的终端限制在隔离区内，防止危险终端对局域网安全的损害，避免易感终端受病毒、蠕虫的攻击，从而大幅度提升了局域网抵御新兴安全威胁的能力。 为了确保只有符合安全标准的用户接入网络，EAD通过交换机的配合，强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估，帮助管理员实施安全策略，确保终端病毒库和系统补丁得到及时更新，降低病毒和蠕虫蔓延的风险，阻止来自网络内部的安全威胁。 接入层交换机实施EAD的组网方案 EAD可以配合接入层交换机，通过802.1x认证方式实现对接入用户的控制。在这种组网方案中，策略强制执行点在接入层交换机上，具有对不符合安全策略的用户隔离严格的特点，可以有效防止来自网络内部的安全威胁（注，这种组网方案要求接入交换机支持EAD功能）。如下图： 汇聚层交换机实施EAD的组网方案 如果接入交换机不支持EAD功能，也可以在汇聚交换机上启用EAD功能来执行终端的控制。在这种组网方案中，安全策略的强制执行点在汇聚层交换机上对于接入层交换机内部之间的互访，可以启用端口隔离、PVLAN等安全功能，来防止接入层交换机内部主机的相互影响。如下图： 在广域网中部署EAD解决方案 对于拥有分支或下属机构的单位，由于经常存在对分支机构的管理相对松散的状况，从而存在各种安全漏洞和网络失控行为。当一些不能确保安全的分支机构用户通过广域网访问总部网络时，就会使总部受到非法攻击和病毒感染的几率成倍增加，这样的途径甚至会被黑客利用成为攻击内部网络的帮凶。如何确保分支机构的用户终端安全状态符合安全策略，如何在保证广域网用户能够访问总部的同时，消除广域网带来的安全威胁，这些问题都成为IT管理员不得不面对的挑战。 为解决上述问题，H3C提供EAD广域网终端控制方案，在骨干路由器或BAS设备中强制用户进行Portal认证和安全状态检查，确保用户访问总部时具有符合标准的安全状态。EAD广域网终端控制方案基于Portal协议进行身份认证和安全认证。 广域网终端控制方案中的Portal认证主要涉及到用户PC上运行的iNode智能客户端、联动设备（出口路由器）、EAD Portal服务器、EAD安全策略服务器和DHCP服务器等。以上是Portal主动认证的基本流程图（图中的数字表示流程的顺序）。 典型组网 以上是广域网终端控制方案的典型组网，由出口路由器或交换机完成基于Portal的接入控制，进行用户网络访问的通断与开放，由EAD进行准入策略的控制、安全状态的检测以及身份和安全认证。 对于一个未认证的用户，联动设备不允许用户数据通过，要求用户通过智能客户端输入认证信息。Portal服务器会将用户的认证信息传递给联动设备，然后联动设备再与EAD服务器通信进行身份认证和安全认证，认证通过并验证用户符合定义的安全策略，设备会打开用户与的通路，用户可以访问；否则根据安全策略中定义的处理模式（VIP、Guest、隔离、下线）对用户进行相应的安全管理操作。 EAD广域网解决方案对于网络环境复杂的旧网改造和升级具有很大优势，客户可以对现有网络不做改动的情况下直接在网络出口路由器上启用Portal认证，但是因控制点集中在出口路由器上，广域网用户访问总部之前可以访问分支机构内部的网络资源，所以方案特别适用于总部管理和监控较为严格，分支机构内部访问比较松散的场合。 在VPN网络中部署EAD解决方案 在一些实际应用中，移动用户和家庭办公用户通常采用VPN方式接入到园区网中，这些远程用户的网络访问虽然具有私密性，但IT管理员仍然不能保证这些用户主机的状态是安全的不安全的主机通过VPN接入同样会危害内部网络。通过在VPN组网环境部署 EAD解决方案，可以对远程接入用户强制实施安全策略，严格控制终端用户的网络使用行为，提高网络接入的安全性。 在VPN解决方案中，VPN技术采用标准的IPSec+L2TP应用模式来提供可靠的身份认