终端准入控制功能及专项方案

EAD处理方案概述——维护网络正常秩序，助力企业关键价值H3C终端准入控制处理方案（EAD，EnduserAdmissionDomination）是全球首个推向市场终端管了处理方案，也是中国应用最广、用户数最多终端管理系列产品。EAD方案为网络管理者、网络运行者和企业IT人员提供了一套系统、有效、易用管理工具，帮助保护、管理和监控网络终端，使网络能够为企业关键目标和关键业务服务，降低了日益复杂网络问题和非法使用对网络用户牵绊。5EAD终端准入控制处理方案EAD处理方案经过多个身份认证方法确定终端用户正当性；经过和微软和众多防病毒厂商配合联动，检验终端安全漏洞、终端杀毒软件安装和病毒库更新情况；经过黑白软件管理，约束终端安装和运行软件；经过统一接入策略和安全策略管理，控制终端用户网络访问权限；经过桌面资产管理，进行桌面资产注册和监控、外设管理和软件分发；经过iMCUBA用户行为审计组件，审计终端用户网络行为；经过iMC智能管理框架基于资源、用户和业务一体化管理，实现对整个网络监控和智能联动。从而形成对终端事前计划、事中监控和事后审计立体化管理。EAD处理方案对终端用户整体控制过程以下图所表示：EAD处理方案组件：EAD处理方案组件包含智能用户端、联动设备、安全策略服务器和第三方服务器。智能用户端：是指安装了H3CiNode智能用户端用户接入终端，负责身份认证提议、安全策略检验和和安全策略服务器配合进行终端控制。联动设备：联动设备是网络中安全策略实施点，起到强制用户准入认证、隔离不合格终端、为正当用户提供网络服务作用。依据应用场所不一样，联动设备能够是交换机、路由器、准入网关、VPN或无线设备，分别实现不一样认证方法（如802.1X、VPN和Portal等）终端准入控制。针对多样化网络，EAD提供了灵活多样组网方案，联动设备能够依据需要进行灵活布署。安全策略服务器：EAD方案关键是整合和联动，而安全策略服务器是EAD方案中管理和控制中心，兼具终端用户管理、安全策略管理、安全状态评定、安全联动控制和安全事件审计等功效。第三方服务器：是指补丁服务器、病毒服务器等，被布署在隔离区中。当用户经过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中服务器，经过第三方服务器进行本身安全修复，直到满足安全策略要求。功效特点：支持多个接入方法支持：802.1X接入、Portal接入、L2TP/IPsecVPN接入方法；适适用于：局域网、广域网、无线网络接入、L2TP/IPsecVPN组网；支持：接入时段限制、接入区域限制；能够布署于由不一样厂家设备组成异构网络环境。丰富身份认证支持：用户名/密码认证、智能卡认证、数字证书认证、MAC地址认证；支持绑定：MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID；支持从LDAP服务器获取用户信息，能够只同时有认证行为用户信息，从而节省用户License费用。正确终端设备识别功效支持识别用户设备类型。该设备是传统PC、笔记本还是智能手机、平板电脑等移动智能设备。设备操作系统、生产厂商、IMEI码等信息，也是识别设备类型时必需要确定设备属性信息。支持识别用户设备归属。该设备是属于企业全部还是属于职员个人，直接影响企业对设备管理。对于个人设备，企业必需遵守相关法律法规，不去触碰设备上职员私人信息。广泛防病毒厂商配合能力可配合病毒厂商：瑞星、江民、金山、卡巴斯基、Symantec、Nod32、McAfee、TrendMicro、安博士、KILL、趋势、趋势企业无忧安全版css5.0、Vrv、Forfront、Sophos、Avast、AntivirusProfessional、AviraAntiVirPersonal-FreeAntivirus、ClamWinFreeAntivirus、ComodoAntiVirusBeta、CAAnti-Virus、F-SecureInternetSecurity、FortiClient、F-PROTAntivirusforWindows、VirusChaser、NormanVirusControl、SystemSuite9Professional、Vba32Personal。丰富系统安全状态评定能力支持和微软SMS/WSUS配合进行补丁检验和安装；支持黑白软件检验；支持终端代理检验及非法外联控制；支持多网卡检验；支持注册表监控；支持操作系统弱密码检验；支持用户端流量检验。丰富准入控制支持基于用户角色、用户接入位置、接入终端类型接入控制策略下发；控制手段：向接入设备下发VLAN、ACL、QoS、限定用户上下行速率、使用用户端ACL限制用户访问权限(控制不受组网限制)、并能够严禁内网用户非法连接外网。灵活方便实施模式对待不一样身份用户，定制不一样安全检验和处理模式；实施模式包含：监控模式、VIP模式、隔离模式、下线模式和访客模式；用户能够依据自己实际需要，为VIP用户、内部职员、外来访客等不一样人群，定义不一样安全策略实施方法。全方面攻击防御EAD处理方案经过ARP网关地址自动下发、自动绑定功效，使终端用户免受ARP欺骗攻击影响；提供ARP攻击报文过滤、ARP异常流量检测等控制方法，杜绝恶意用户ARP攻击行为；支持对非法DHCP请求报文过滤，从而有效预防DHCP攻击。桌面资产管理实现：终端资产注册、终端软硬件使用情况、变更情况进行监控；支持软件统一分发；支持绿色节能策略；支持远程帮助、远程桌面；可严禁内网外联或对内网外联行为进行审计。U盘审计及外设管理支持：USB存放设备监控、外设违规使用审计、打印机操作监控；支持禁用：USB存放设备、USB非存放设备、光驱、软驱、PCMCIA接口、串口、并口、红外、蓝牙、1394、Modem、3G上网卡；经过融合TRM可信移动介质管理组件对USB移动存放介质（包含U盘、移动硬盘等）注册、授权、使用控制和监控功效，对USB存放介质实现“拿不走、进不来”数据泄露防护。灵活用户端布署EAD处理方案提供了免安装易用布署方法，用户事先不需要安装用户端，上网时EAD系统会自动载入用户端，对用户身份和终端安全状态进行检验，用户不需要改变上网习惯同时，能够享受EAD带来安全保障；和H3C设备配合能够支持用户端快速布署功效。用户在认证前也能够访问指定网络资源，用户Web访问会被重定向到指定服务器，供终端用户下载用户端软件，用户安装好用户端并经过认证后能够访问全部网络资源。多个层次高可用性和扩展性支持：双机冷备、双机热备、单机故障逃生方案；Portal网关支持网关双机备份，单台Portal网关失效后能够切换到备份Portal网关上，不影响用户上网；支持分级、分布式布署。融合、扩展和开放处理方案基于H3CiMC（开放智能管理中枢）SOA架构，EAD处理方案为用户提供了一个扩展、开放结构框架；融合设备管理、用户管理和业务管理三大纬度；广泛、深入和中国外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；基于标准、开放协议架构和规范，易于互联互通；EAD服务器支持Windows和Linux操作系统，iNode用户端支持Windows、MacOS、Linux、AppleiOS、Android等操作系统。在无线局域网中布署方案无线局域网（WLAN）以其安装便捷、使用灵活、经济节省、易于扩展等有线网络无法比拟优点，得到越来越广泛应用，但灵活方便网络接入方法同时也为局域网带来了巨大安全威胁。无线局域网安全问题关键表现在访问控制层面，非授权或非安全用户一旦接入网络后，将会直接面对关键服务器，威胁关键业务，所以能对无线接入用户进行身份识别、安全检验和网络授权访问控制系统必不可少。在无线网络中，结合使用EAD处理方案，能够有效满足园区网无线安全准入需求。H3CEAD处理方案能够在无线局域网环境下，有效满足用户无线安全准入需求，其组网图以下：图所表示，EAD能够配合无线AP和无线控制器，经过认证实现对无线接入用户终端准入控制。这种组网方案能够预防采取无线接入人员访问内网时带来安全隐患，同时也有效处理了用户有线、无线接入方法统一安全控制问题。同时，无线网络存在信号覆盖不稳定、无线网卡类型众多、驱动厂商对802.11a/b/g/n等无线技术标准支持不一致、丢包率较高等问题，而H3C基于Portal技术无线用户准入控制方案则全方面处理了这一问题。其基础步骤以下：用户连接到无线网络后，在访问网络过程中会被强制要求进行身份认证和安全检验。在整个过程中，拥有正当身份用户除了被验证用户名、密码等信息外，还被检验是否满足安全策略要求，包含病毒软件是否安装、病毒库是否升级、是否安装了必需系统补丁