EAD方案.doc

技术部分 目 录 第一章 投标产品性能及技术指标 4 1.1 H3C EAD产品详细技术说明 4 1.2 H3C EAD产品性能及指标 7 第二章 投标产品业绩及信誉度 8 2.1 投标产品业绩 8 2.2 投标产品信誉度 8 2.3 研发实力 14 第三章 终端安全访问控制系统集成方案 16 3.1 系统集成方案 16 3.1.1 网络准入系统总体规划 16 3.1.2 网络准入系统部署设计 21 3.1.3 网络准入系统实施效果 30 3.1.4 扩展方案部署建议 32 第四章 系统安装调试及工程实施方案 36 4.1 方案概述 36 4.1.1 总体目标 36 4.1.2 网络规模与拓扑 37 4.2 实施前技术需求确认 38 4.2.1 实施预研调查 38 4.2.2 客户端接入认证方式 41 4.2.3 iMC版本及EAD客户端版本准备 41 4.2.4 对终端用户的接入管理模式 41 4.2.5 防病毒软件与EAD的联动 42 4.2.6 终端操作系统情况 42 4.2.7 终端操作系统的补丁修复方式 42 4.2.8 帐号生成方式 42 4.3 具体实施方案 42 4.3.1 安装服务器操作系统 42 4.3.2 安装数据库 43 4.3.3 安装并部署iMC平台软件、EAD组件 48 4.3.4 安装并配置iNode客户端 55 4.3.5 iMC、EAD服务器双机备份的配置与调整 64 4.3.6 进阶配置1-与微软AD实现终端的域统一认证 68 4.3.7 进阶配置2-与证书配合进行客户端安全认证 70 4.4 EAD部署、推行维护规范及备份操作 74 4.4.1 客户端部署管理规范 74 4.4.2 EAD解决方案推行计划 74 4.4.3 部署初期过渡方案及维护规范 75 4.4.4 备份与恢复操作 77 附录一：H3C EAD产品及解决方案详细介绍 79 1. H3C EAD部署方案 79 A. 在园区网中部署EAD 79 B. 在VPN网络中部署EAD 80 C. 在异构网络中部署EAD 81 2. H3C EAD特色技术介绍 82 A. EAD与iMC融合管理技术 82 B. Windows域统一认证技术 86 C. 基于数字证书认证的准入控制技术 87 D. 基于802.1x的客户端快速部署技术 88 E. EAD可控软件技术 89 F. EAD匿名认证技术 91 G. EAD无客户端技术 92 H. EAD客户端ACL技术 94 I. EAD防ARP攻击技术 95 J. EAD桌面资产管理技术 98 K. EAD外设管理技术 101 投标产品性能及技术指标 H3C EAD产品详细技术说明 H3C终端准入控制解决方案（EAD，End user Admission Domination）从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动，对接入网络的用户终端按需实施灵活的安全策略，并严格控制终端用户的网络使用行为，极大地加强了用户终端的主动防御能力，为IT管理人员提供了高效、易用的管理工具。 对于要接入网络的用户，EAD产品首先要对其进行身份认证，通过身份认证的用户进行终端的安全检查，根据IT管理员制定的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况、网络使用情况和资产情况进行审计和监控。EAD解决方案对终端用户的整体控制过程如下图所示： EAD解决方案组件： EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。 智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。 联动设备：联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，联动设备可以是交换机、路由器、准入网关、VPN或无线设备，分别实现不同认证方式（如802.1x、VPN和Portal等）的终端准入控制。针对多样化的网络，EAD提供了灵活多样的组网方案，联动设备可以根据需要进行灵活部署。 安全策略服务器：EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 第三方服务器：是指补丁服务器、病毒服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离