EAD终端准入控制解决方案

1、EAD终端访问控制解决方案网络正常秩序裴珉姬和企业核心价值支持H3C终端访问控制解决方案(EAD，End user Admission Domination)是世界上第一个向市场推出的终端管理解决方案，是国内使用最多的终端管理套件。EAD计划为网络管理员、网络操作员和企业IT人员提供一套系统、有效且易于使用的管理工具，帮助保护、管理和监控网络终端，减少网络对企业核心目标和核心业务服务日益复杂的网络问题和非法使用网络用户的影响。EAD解决方案通过多种身份验证方法验证最终用户的正当性。与Microsoft和多个防病毒供应商联系，检查终端的安全漏洞、终端防病毒软件安装和病毒库更新。通过黑白软件管理限

2、制终端安装和运行的软件；通过统一访问策略和安全策略管理控制最终用户的网络访问。通过桌面资产管理添加和监控桌面资产、外围设备管理和软件分发、IMC UBA用户行为审核组件，审核最终用户的网络行为。通过基于资源、用户和业务的统一管理的iMC智能管理框架，实现整个网络的监控和智能联系。因此，将形成对终端的事前计划、四重监控、事后审计的三维管理。EAD解决方案最终用户的总体控制进程如下图所示。EAD解决方案组件：EAD解决方案组件包括智能客户端、关联设备、安全策略服务器和第三方服务器。智能客户端：安装了H3C iNode智能客户端的用户访问终端，负责身份验证启动、安全策略检查和安全策略服务器的终端控制

3、。联动设备：联动设备是网络上安全策略的实施点，其作用是强制验证用户访问、隔离不合格终端，并为合法用户提供网络服务。根据应用程序的不同，连接的设备可以是交换机、路由器、访问网关、VPN或无线设备，并且可以对802.1X、VPN、门户等各种验证方法进行终端访问控制。EAD提供灵活多样的网络解决方案，可以根据需要灵活部署。安全策略服务器：EAD方案的核心是集成，安全策略服务器是EAD方案的管理和控制中心，它结合了最终用户管理、安全策略管理、安全状态评估、安全关联控制和安全事件审核等功能。第三方服务器：补丁程序服务器、病毒服务器等，部署在隔离区。如果用户已验证，但安全身份验证失败，则会将其隔离到隔离区

4、域。在这种情况下，用户只能访问隔离区域中的服务器，并且可以通过第三方服务器执行自己的安全恢复，直到满足安全策略要求。功能特性：支持多种访问方法n支持：802.1X访问、门户访问、L2TP/IPsec VPN访问方法、n适用：LAN、wan、无线网络访问、L2TP/IPsec VPN网络、n支持：访问持续时间限制，访问区域限制；n徐璐可以部署在由其他制造商的设备组成的异构网络环境中。丰富的认证 n支持：用户名/密码验证、智能卡验证、数字证书验证、MAC地址验证； n绑定支持：MAC地址、IP地址、驻留VLAN、访问设备IP、访问设备端口、无线SSID； n支持从LDAP服务器获取用户信息，仅同步

5、具有验证行为的用户信息，从而降低用户的许可证成本。广泛的防病毒供应商协作功能n病毒供应商：ruixing，jiangmin，金山，Avast，Symantec，Nod32，McAfee，Trend Micro，渡边杏博士，KILL，趋势，趋势企业无忧安全丰富的系统安全状态评估功能n支持与Microsoft SMS/WSUS一起检查和安装修补程序。n黑白软件扫描支持；支持n终端代理检查和非法宣传控制；n支持多网卡检查。 n注册表监视支持； n支持操作系统弱密码检查。 n支持客户端通信量检查。丰富的访问控制n支持基于用户角色的访问控制策略传递；n控制方法：可以限制访问设备上的VLAN、ACL、Qo

6、S、用户的上行链路速度；使用客户端ACL限制用户的访问权限(不受网络限制的控制)；禁止内部网用户非法连接到外部网络。灵活便捷的执行模式n处理不同id的用户，自定义各种安全检查和处理模式。n执行模式包括监视模式、pvi模式、隔离模式、脱机模式和来宾模式。n用户可以根据自己的实际需要，徐璐为不同的人口(如VIP客户、内部员工、外来访问者等)定义不同的安全策略执行方式。全面攻击防御N EAD解决方案通过ARP网关地址自动发送、自动绑定功能保护最终用户免受ARP欺骗攻击。提供N ARP攻击消息过滤、ARP异常流量检测等控制手段，消除恶意用户的ARP攻击行为。 n支持筛选非法DHCP请求消息，以有效防止

7、DHCP攻击。桌上型电脑资产管理n实施：添加终端资产、使用终端硬件和软件、监控更改；n支持软件的集成分发。n支持绿色节能战略； n远程支持，远程桌面支持。u盘审核和外围设备管理n支持：USB存储设备监控、外围设备违规使用审核、打印机操作监控；n禁用支持：USB存储设备、USB非存储设备、光驱、软驱、PCMCIA接口、串行端口、并行端口、红外线、蓝牙、1394、调制解调器、3G网卡。灵活的客户端部署N EAD解决方案提供了无需安装的易于使用的部署方法，用户无需预先安装客户端，EAD系统在使用互联网时自动加载客户端，检查用户身份和终端安全状态，用户无需更改互联网使用习惯，并享受EAD带来的安全。n

8、可以与H3C设备配合使用，以支持客户机的快速部署功能。用户在认证前可以访问指定的网络资源，用户的web访问将重定向到指定的服务器，以便最终用户下载客户端软件，用户在安装客户端并获得认证后可以访问所有网络资源。不同级别的高可用性和伸缩性n支持：冗馀系统冷、冗馀系统热备盘、单故障转移方案；N Portal网关支持网关双系统备份，如果单个Portal网关过期，可以切换到备份Portal网关，而不影响用户的internet连接。n层，支持分布式部署。整合、扩展和开放解决方案N EAD解决方案基于H3C开放式智能管理中心(iMC)SOA体系结构，为客户提供可扩展、开放的结构框架。n综合设备管理、用户管理

9、和业务管理三大纬度；n广泛、深入、国内外防病毒、操作系统、台式机安全等供应商协作整合各所长。n基于标准、开放式协议体系结构和规范，易于互操作。N EAD服务器支持Windows和Linux操作系统，iNode客户端支持Windows、Mac OS和Linux操作系统。网络应用程序：局域网安全访问保护在企业网络中，接入终端通常通过交换机访问企业网络，EAD通过与交换机的联系强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫的扩散风险，同时强制实施网络接入用户的安全策略，防止企业内部的安全威胁。存取层802.1x验证方法：严格控制，高安全性Wan安全访问保护这是wan终端控制方案中的典型网络，

10、由分支机构的出口路由器或总部的主干路由器组成，执行基于门户的访问控制、阻止和开放用户网络访问、通过EAD控制访问策略、安全状态检测以及身份和安全认证。使用EAD，您可以徐璐将补丁服务器和防病毒服务器的IP地址分配给其他wan分支办公室，因为wan线路的带宽资源非常昂贵，所以您可以通过应用补丁和升级病毒库来节省wan带宽。对于未经认证的用户，关联设备不允许用户数据通过，要求用户通过智能客户端输入认证信息。门户服务器将用户的身份验证信息传递给关联设备，然后关联设备再与EAD服务器通信以执行身份验证和安全认证，验证通过身份验证并符合用户定义的安全策略，设备打开用户和网络的路径，允许用户访问网络。否则

11、，将根据EAD安全策略中定义的处理模式(VIP、Guest、断开、脱机)执行适合用户的安全管理操作。EAD wan安全访问保护对复杂网络环境中的旧网络转换和升级有很大帮助，客户可以在不更改现有网络的情况下，直接在分支机构出口路由器或总部主干路由器上启用门户身份验证。尤其适用于以下情况：总部管理和监视严格，分支机构内部访问有点松，分支机构网络设备不容易更改。VPN安全访问保护EAD VPN网络方案使小型外部机构和出差人员可以通过iNode智能客户端通过远程公共网络上的加密隧道访问必要的总部资源，在总部对该用户进行授权、验证和审核，从而确保VPN用户访问合法、安全、控制和审核。未经授权的用户不能通

12、过虚拟隧道访问网络内部的资源。此外，如果网络上有很多使用NAT地址转换的访问方案，例如使用ADSL的动态IP地址用户或使用防火墙/UTM等作为internet控制设备的用户，则可以使用VPN EAD管理用户，并在通过NAT查看、控制和恢复用户。无线网络安全接入保护无线LAN (WLAN)是有线网络无法比拟的优点，例如易于安装、使用灵活性、成本降低和轻松扩展，虽然它越来越广泛使用，但灵活便捷的网络访问方式对LAN构成了巨大的安全威胁。无线LAN的安全问题主要发生在访问控制级别，未经授权或不安全的客户访问网络时，将直接暴露在核心服务器上，威胁核心业务，因此，识别无线访问用户、安全检查和网络授权的访

13、问控制系统是必需的。在无线网络中结合使用EAD解决方案，可以有效地满足校园网络的无线安全访问需求。H3C EAD解决方案是以下网络图，有效满足无线LAN环境中客户的无线安全访问需求。EAD可以与无线AP和无线控制器一起通过验证来控制无线接入用户的终端访问，如图所示。此网络解决方案防止了使用无线接入的人访问内部网时可能出现的安全风险，并有效解决了用户有线和无线接入方式的集成安全控制问题。此外，无线网络还解决了信号复盖不稳定性、许多无线卡类型、驱动程序供应商对802.11 a/b/g/n等无线技术标准的支持不一致、高数据包丢失率问题，以及基于H3C Portal技术的无线用户访问控制解决方案等问题。基本过程如下：用户连接到无线网络后，在访问网络时必须进行身份验证和安全验证。在整个过程中，具有合法身份的用户除了验证用户名、密码等信息外，还将检查是否安装了病毒软件、是否升级了病毒库、是否安装了必