终端准入解决专项方案EAD上网资料.docVIP

EAD终端准入控制处理方案 ——中国最专业、布署最广泛网络准入处理方案 现在，在企业网络中，用户终端计算机不立即升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件行为比比皆是，脆弱用户终端一旦接入网络，就等于给潜在安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而造成网络使用行为“失控”。确保用户终端安全、阻止威胁入侵网络，对用户网络访问行为进行有效控制，是确保企业网络安全运行前提，也是现在企业急需处理问题。 网络安全从本质上讲是管理问题。H3C终端准入控制（EAD，End user Admission Domination）处理方案从控制用户终端安全接入网络角度入手，整合网络接入控制和终端安全产品，经过安全用户端、安全策略服务器、网络设备和第三方软件联动，对接入网络用户终端强制实施企业安全策略，严格控制终端用户网络使用行为，有效地加强了用户终端主动防御能力，为企业网络管理人员提供了有效、易用管理工具和手段。 1．方案概述 对于要接入安全网络用户，EAD处理方案首先要对其进行身份认证，经过身份认证用户进行终端安全认证，依据网络管理员定制安全策略进行包含病毒库更新情况、系统补丁安装情况、软件黑白名单、U盘外设使用情况、软硬件资产信息等内容安全检验，依据检验结果，EAD对用户网络准入进行授权和控制。经过安全认证后，用户能够正常使用网络，和此同时，EAD能够对用户终端运行情况和网络使用情况进行审计和监控。EAD处理方案对用户网络准入整体认证过程以下图所表示： 2．组网模型 以下图所表示，EAD组网模型图中包含安全用户端、安全联动设备、EAD安全策略服务器和第三方服务器。 安全用户端：是指安装了H3C iNode智能用户端用户接入终端，负责身份认证提议和安全策略检验。 安全联动设备：是指用户网络中交换机、路由器、VPN网关等设备。EAD提供了灵活多样组网方案，安全联动设备能够依据需要灵活布署在各层比如网络接入层和汇聚层。 EAD安全策略服务器：它要求和安全联动设备路由可达。负责给用户端下发安全策略、接收用户端安全策略检验结果并进行审核，向安全联动设备发送网络访问授权指令。 第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被布署在隔离区中。当用户经过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中服务器，经过第三方服务器进行本身安全修复，直到满足安全策略要求。 3．功效特点 全方位准入控制 EAD处理方案提供完善接入控制，能够支持局域网、广域网、VPN、无线多种接入方法，支持包含HUB在内多种复杂网络、思科等异构网络环境下布署，确保从任何地点、任何方法下接入安全。 严格身份认证 除基于用户名和密码身份认证外，EAD还支持身份和接入终端MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证安全性。 完备安全状态评定 依据管理员配置安全策略，用户能够进行安全认证检验包含终端病毒库版本检验、终端补丁检验、终端安装应用软件检验、是否有代理、拨号配置、U盘外设管理、桌面资产管理等； EAD用户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等中国外主流病毒厂商联动，同时为了愈加好满足用户需求，也支持和微软SMS、LANDesk、BigFix等业界高端桌面安全产品配合使用。比如已经购置微软桌面管理工具SMS用户，EAD能够和SMS配合，由EAD实现终端用户准入控制，由SMS实现多种Windows环境下用户增强型桌面管理需求：资产管理、补丁管理、软件分发和安装等。 精细化权限控制 在用户终端经过病毒、补丁等安全信息检验后，EAD可基于终端用户角色，向安全联动设备下发事先配置接入控制策略，根据用户角色权限规范用户网络使用行为。终端用户所属VLAN、ACL访问策略、是否严禁使用代理、是否严禁使用双网卡等安全方法均可由管理员统一配置实施。 灵活方便用户策略 EAD根据网络管理员配置安全策略区分对待不一样身份用户，定制不一样安全检验和处理模式，包含监控模式、提醒模式、隔离模式和下线模式。用户能够依据自己实际需要，为VIP用户、内部职员、外来访客等不一样人群，定义不一样安全策略实施方法。 桌面资产及外设管理 EAD处理方案提供了对终端资产全方位监控和管理功效，能够对终端软硬件使用情况、变更情况进行监控，同时还支持终端资产配置管理和软件统一分发、远程桌面控制，实现对桌面资产有效管理。EAD处理方案还提供了对U盘和其它外设管理功效，能够对终端用户多种外设进行控制，有效预防关键信息泄密，同时提供U盘文件监控功效，能够查看关键文件经过U盘拷贝时，有没有存在不妥使用行为。 易于布署无用户端