终端准入控制功能及方案解析

EAD解决方案概述解决方案概述 维护网络正常秩序 助力企业核心价值 H3C终终端准入控制解决方案 端准入控制解决方案 EAD End user Admission Domination 是全球首个推向市 是全球首个推向市场场的的终终端管理解决方案 也是国内端管理解决方案 也是国内应应用最广 用用最广 用 户户数最多的数最多的终终端管理系列端管理系列产产品 品 EAD方案方案为为网网络络管理者 网管理者 网络络运运营营者和企者和企业业IT人人员员 提供了一套系提供了一套系统统 有效 易用的管理工具 帮助保 有效 易用的管理工具 帮助保护护 管理和 管理和监监控网控网络终络终端 使网端 使网 络络能能够为够为企企业业的核心目的核心目标标和核心和核心业务业务服服务务 减少了日益复 减少了日益复杂杂的网的网络问题络问题和非法使用和非法使用 对对网网络络用用户户的的牵绊牵绊 5 EAD终终端准入控制解决方案端准入控制解决方案 EAD解决方案通解决方案通过过多种身份多种身份认证认证方式确方式确认终认终端用端用户户的合法性 通的合法性 通过过与微与微软软和和 众多防病毒厂商的配合众多防病毒厂商的配合联动联动 检查终检查终端的安全漏洞 端的安全漏洞 终终端端杀杀毒毒软软件的安装和病毒件的安装和病毒库库 更新情况 通更新情况 通过过黑白黑白软软件管理 件管理 约约束束终终端安装和运行的端安装和运行的软软件 通件 通过统过统一接入策略和一接入策略和 安全策略管理 控制安全策略管理 控制终终端用端用户户的网的网络访问权络访问权限 通限 通过过桌面桌面资产资产管理 管理 进进行桌面行桌面资产资产 注册和注册和监监控 外控 外设设管理和管理和软软件分件分发发 通 通过过iMC UBA用用户户行行为审计组为审计组件 件 审计终审计终端用端用户户的网的网络络行行为为 通 通过过iMC智能管理框架基于智能管理框架基于资资 源 用源 用户户和和业务业务的一体化管理 的一体化管理 实现对实现对整个网整个网络络的的监监控和智能控和智能联动联动 从而形成 从而形成对终对终 端的事前端的事前规规划 事中划 事中监监控和事后控和事后审计审计的立体化管理 的立体化管理 EAD解决方案解决方案对终对终端用端用户户的整体控制的整体控制过过程如下程如下图图所示 所示 EAD解决方案组件 EAD解决方案解决方案组组件包括智能客件包括智能客户户端 端 联动设备联动设备 安全策略服 安全策略服务务器和第三方服器和第三方服务务器器 智能客户端 是指安装了 是指安装了H3C iNode智能客智能客户户端的用端的用户户接入接入终终端 端 负责负责身份身份认证认证的的发发起 安全策略的起 安全策略的检查检查以及和以及和 安全策略服安全策略服务务器配合器配合进进行行终终端控制 端控制 联动设备 联动设备联动设备是网是网络络中安全策略的中安全策略的实实施点 起到施点 起到强强制用制用户户准入准入认证认证 隔离不 隔离不 合格合格终终端 端 为为合法用合法用户户提供网提供网络络服服务务的作用 根据的作用 根据应应用用场场合的不同 合的不同 联动设备联动设备可以可以 是交是交换换机 路由器 准入网关 机 路由器 准入网关 VPN或无或无线设备线设备 分 分别实现别实现不同不同认证认证方式 如方式 如802 1 X VPN和和Portal等 的等 的终终端准入控制 端准入控制 针对针对多多样样化的网化的网络络 EAD提供了灵活多提供了灵活多样样的的 组组网方案 网方案 联动设备联动设备可以根据需要可以根据需要进进行灵活部署 行灵活部署 安全策略服务器 EAD方案的核心是整合与联动 而安全策略服务器是EAD方案中的管理 与控制中心 兼具终端用户管理 安全策略管理 安全状态评估 安全联动控制以及安全事件 审计等功能 第三方服务器 是指补丁服务器 病毒服务器等 被部署在隔离区中 当用户通过身份认证但 安全认证失败时 将被隔离到隔离区 此时用户能且仅能访问隔离区中的服务器 通过第三方 服务器进行自身安全修复 直到满足安全策略要求 功能特点 功能特点 支持多种接入方式 支持 802 1X接入 Portal接入 L2TP IPsec VPN接入方式 适用于 局域网 广域网 无线网络接入 L2TP IPsec VPN组网 支持 接入时段限制 接入区域限制 可以部署于由不同厂家设备构成的异构网络环境 丰富的身份认证 支持 用户名 密码认证 智能卡认证 数字证书认证 MAC地址认证 支持绑定 MAC地址 IP地址 所在VLAN 接入设备IP 接入设备端口 无线 SSID 支持从LDAP服务器获取用户信息 可以只同步有认证行为的用户信息 从而节省用户 的License费用 精确的终端设备识别功能 支持识别用户设备的类型 该设备是传统的PC 笔记本还是智能手机 平板电脑等移动 智能设备 设备的操作系统 生产厂商 IMEI码等信息 也是识别设备类型时必须要确 认的设备属性信息 支持识别用户设备的归属 该设备是属于公司所有还是属于员工个人 直接影响企业对设 备的管理 对于个人设备 企业必须遵守相关法律法规 不去触碰设备上的员工私人信息 广泛的防病毒厂商配合能力 可配合病毒厂商 瑞星 江民 金山 卡巴斯基 Symantec Nod32 McAf ee Trend Micro 安博士 KILL 趋势 趋势企业无忧安全版css5 0 Vrv Forfront Sophos Avast Antivirus Professional Avira AntiVir Personal Free Antivirus ClamWin Free Antivirus Comodo AntiVirus Beta CA Anti Virus F Secure Internet Security FortiClient F PROT Antivirus for Windows Virus Chaser Norman Virus Control SystemSuite 9 Professional Vba32 Personal 丰富的系统安全状态评估能力 支持与微软SMS WSUS配合进行补丁检查和安装 支持黑白软件检查 支持终端代理检查及非法外联控制 支持多网卡检查 支持注册表监控 支持操作系统弱密码检查 支持客户端流量检查 丰富的准入控制 支持基于用户角色 用户接入位置 接入终端类型的接入控制策略下发 控制手段 向接入设备下发VLAN ACL QoS 限定用户的上下行速率 使用客户端ACL限 制用户的访问权限 控制不受组网限制 并可以禁止内网用户非法连接外网 灵活方便的执行模式 对待不同身份的用户 定制不同的安全检查和处理模式 执行模式包括 监控模式 VIP模式 隔离模式 下线模式和访客模式 用户可以根据自己的实际需要 为VIP客户 内部员工 外来访客等不同人群 定义不同的安 全策略执行方式 全面攻击防御 EAD解决方案通过ARP网关地址自动下发 自动绑定的功能 使终端用户免受ARP欺骗攻击 的影响 提供ARP攻击报文过滤 ARP异常流量检测等控制措施 杜绝恶意用户的ARP攻击行为 支持对非法DHCP请求报文的过滤 从而有效防止DHCP攻击 桌面资产管理 实现 终端资产注册 终端软硬件使用情况 变更情况进行监控 支持软件的统一分发 支持绿色节能策略 支持远程协助 远程桌面 可禁止内网外联或对内网外联行为进行审计 U盘审计及外设管理 支持 USB存储设备监控 外设违规使用审计 打印机操作监控 支持禁用 USB存储设备 USB非存储设备 光驱 软驱 PCMCIA接口 串口 并口 红外 蓝牙 1394 Modem 3G上网卡 通过融合TRM可信移动介质管理组件对USB移动存储介质 包括U盘 移动硬盘等 注册 授 权 使用控制和监控功能 对USB存储介质实现 拿不走 进不来 的数据泄露防护 灵活的客户端部署 EAD解决方案提供了免安装的易用部署方式 用户事先不需要安装客户端 上网时EAD系统会 自动载入客户端 对用户身份和终端安全状态进行检查 用户不需要改变上网习惯的同时 可 以享受EAD带来的安全保障 与H3C设备配合可以支持客户端快速部署功能 用户在认证前也可以访问指定的 网络资源 用户的Web访问会被重定向到指定服务器 供终端用户下载客户端软 件 用户安装好客户端并通过认证后可以访问全部网络资源 多种层次的高可用性和扩展性 支持 双机冷备 双机热备 单机故障的逃生方案 Portal网关支持网关双机备份 单台Portal网关失效后可以切换到备份Portal网关上 不影响用户上网 支持分级 分布式部署 融合 融合 扩展与开放的解决方案 基于H3C iMC 开放智能管理中枢 SOA架构 EAD解决方案为客户提供了一个扩展 开放的结构框架 融合设备管理 用户管理和业务管理三大纬度 广泛 深入的和国内外防病毒 操作系统 桌面安全等厂商展开合作 融合各家所长 基于标准 开放的协议架构和规范 易于互联互通 EAD服务器支持Windows与Linux操作系统 iNode客户端支持Windows Mac OS Linux Apple iOS Android等操作系统 在无在无线线局域网中的部署方案局域网中的部署方案 无线局域网 WLAN 以其安装便捷 使用灵活 经济节约 易于扩展等有线网络无法 比拟的优点 得到越来越广泛的应用 但灵活方便的网络接入方式同时也为局域网带来了巨大 的安全威胁 无线局域网的安全问题主要体现在访问控制层面 非授权或者非安全的客户一旦接入网 络后 将会直接面对核心服务器 威胁核心业务 因此能对无线接入用户进行身份识别 安全 检查和网络授权的访问控制系统必不可少 在无线网络中 结合使用EAD解决方案 可以有效 的满足园区网的无线安全准入的需求 H3C EAD解决方案可以在无线局域网环境下 有效的满足客户无线安全准入的需求 其组网图如下 如图所示 EAD可以配合无线AP和无线控制器 通过认证实现对无线接入用户的终端准 入控制 这种组网方案可以防止采用无线接入的人员访问内网时带来的安全隐患 同时也有效 的解决了用户有线 无线接入方式的统一安全控制问题 同时 无线网络存在信号覆盖不稳定 无线网卡类型众多 驱动厂商对802 1 1 a b g n等无线技术标准支持不一致 丢包率较高等问题 而H3C基于Portal技术的 无线用户准入控制方案则全面解决了这一问题 其基本流程如下 用户连接到无线网络后 在访问网络的过程中会被强制要求进行身份认证和安全检查 在整个过程中 拥有合法身份的用户除了被验证用户名 密码等信息外 还被检查是否满足安 全策略的要求