终端准入解决方案ead(上网资料).pdfVIP

EAD 终端准入控制解决方案 —— 中国最专业、部署最广泛的网络准入解决方案 目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒 库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆 是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大 门， 使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证 用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的 控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。 网络安全从本质上 是管理 问题。H3C 终端准入控制（EAD，End user Admission Domination）解决方案从控制用户终端安全接入网络的角度入手， 整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网 络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全 策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动 防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。 1．方案概述 对于要接入安全网络的用户，EAD 解决方案首先要对其进行身份认证， 通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略 进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U 盘外设 使用情况、软硬件资产信息等内容的安全检查，根据检查的结果，EAD 对用 户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与 此同时，EAD 可以对用户终端运行情况和网络使用情况进行审计和监控。 EAD 解决方案对用户网络准入的整体认证过程如下 图所示： 2020-7-13 内部资料，请勿扩散 第 2 页, 共 9 页 2．组网模型 如下 图所示，EAD 组网模型 图中包括安全客户端、安全联动设备、 EAD 安全策略服务器和第三方服务器。 安全客户端 ：是指安装了H3C iNode 智能客户端的用户接入终端，负责身份 认证的发起和安全策略的检查。 安全联动设备 ：是指用户网络中的交换机、路由器、VPN 网关等设备。EAD 提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如 网络接入层和汇聚层。 EAD 安全策略服务器：它要求和安全联动设备路由可达。负责给客户端下发 安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络 访问的授权指令。 2020-7-13 内部资料，请勿扩散 第 3 页, 共 9 页 第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在 隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用 户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到 满足安全策略要求。 3．功能特点 全方位准入控制 EAD 解决方案提供完善的接入控制，可以支持局域网、广域网、VPN 、 无线各种接入方式，支持包括 HUB 在内的各种复杂网络、思科等异构网络 环境下的部署，保证从任何地点、任何方式下的接入安全。 严格的身份认证 除基于用户名和密码的身份认证外，EAD 还支持身份与接入终端的 MAC 地址、IP 地址、所在 VLAN 、接入设备IP、接入设备端口号等信息进行 绑定，支持智能卡、数字证书认证，增强身份认证的安全性。 完备的安全状态评估 根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端 病毒库版本检查、终端补 检查、终端安装的应用软件检查、是否有代理、拨 2020-7-13 内部资料，请勿扩散 第 4 页, 共 9 页 号配置、U 盘外设管理、桌面资产管理等； EAD 客户端支持和瑞星、江民、 金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病 毒厂商联动，同时为了更好的满足客户的需求，也支持与微软 SMS、 LA