准入控制解决方案.pdfVIP

终端准入控制解决方案（ EAD） 目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、 私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给 潜在的安全威胁敞开了大门， 使安全威胁在更大范围内快速扩散， 进而导致网络使用行为的 “失控”。 保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网 络安全运行的前提，也是目前企业急需解决的问题。 网络安全从本质上讲是管理问题。 H3C终端准入控制（ EAD，End user Admission Domination ） 解决方案从控制用户终端安全接入网络的角度入手， 整合网络接入控制与终端安全产品， 通过智能 客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业 安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网 络管理人员提供了有效、易用的管理工具和手段。 1．方案概述 对于要接入安全网络的用户， EAD解决方案首先要对其进行身份认证， 通过身份认证的用户进 行终端的安全认证， 根据网络管理员定制的安全策略进行包括病毒库更新情况、 系统补丁安装情况、 软件的黑白名单、 U盘外设使用情况、软硬件资产信息等内容的安全检查，根据检查的结果， EAD 对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时， EAD可以 对用户终端运行情况和网络使用情况进行审计和监控。 EAD解决方案对用户网络准入的整体认证过 程如下图所示： 2．组网模型 如下图所示， EAD组网模型图中包括智能客户端、联动设备、 EAD安全策略服务器和第三方服 务器。 智能客户端 ：是指安装了 H3CiNode 智能客户端的用户接入终端，负责身份认证的发起和安全策略的 检查。 联动设备 ：是指用户网络中的交换机、路由器、 VPN网关等设备。 EAD提供了灵活多样的组网方案， 联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。 EAD安全策略服务器 ：它要求和联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策 略检查结果并进行审核，向联动设备发送网络访问的授权指令。 第三方服务器 ：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过 身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方 服务器进行自身安全修复，直到满足安全策略要求。 3．功能特点 全方位准入控制 EAD解决方案提供完善的接入控制，可以支持局域网、广域网、 VPN、无线各种接入方式，支 持包括 HUB在内的各种复杂网络、思科等异构网络环境下的部署，保证从任何地点、任何方式下的 接入安全。 严格的身份认证 除基于用户名和密码的身份认证外， EAD还支持支持智能卡、 数字证书认证， 增强身份认证的 安全性。同时， EAD支持多元素绑定，如帐号、 MAC地址、 IP 地址、所在 VLAN、接入设备 IP 、接 入设备端口、无线 SSID、QinQ 等。 完备的安全状态评估 根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端 补丁检查、终端安装的应用软件检查、代理及拨号配置、多网卡检查、注册表管理、操作系统密码 管理等； EAD 客户端支持和瑞星、江民、金山、 Symantec 、MacAfee、Trend Micro 、安博士、卡 巴斯基