3.终端准入控制功能及方案解析.docx
EAD解决方案概述维护网络正常秩序,助力企业核心价值H3C终端准入限制解决方案(EAD,EndUserAdmissionDomination)是全球首个推向市场的终端管理解决方案,也是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员供应了一套系统、有效、易用的管理工具,帮助爱护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务,削减了日益困难的网络问题和非法运用对网络用户的牵绊。5EAD终端准入限制解决方案EAD解决方案通过多种身份认证方式确认终端用户的合法性;通过与微软和众多防病毒厂商的协作联动,检查终端的平安漏洞、终端杀毒软件的安装和病毒库更新状况;通过黑白软件管理,约束终端安装和运行的软件;通过统一接入策略和平安策略管理,限制终端用户的网络访问权限;通过桌面资产管理,进行桌面资产注册和监控、外设管理和软件分发;通过iMCUBA用户行为审计组件,审计终端用户的网络行为;通过iMC智能管理框架基于资源、用户和业务的一体化管理,实现对整个网络的监控和智能联动。从而形成对终端的事前规划、事中监控和事后审计的立体化管理。EAD解决方案对终端用户的整体限制过程如下图所示:EAD解决方案组件:EAD解决方案组件包括智能客户端、联动设备、平安策略服务器和第三方服务器。智能客户端:是指安装了H3CiNode智能客户端的用户接入终端,负责身份认证的发起、平安策略的检查以及和平安策略服务器协作进行终端限制。联动设备:联动设备是网络中平安策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户供应网络服务的作用。依据应用场合的不同,联动设备可以是交换机、路由器、准入网关、VPN或无线设备,分别实现不同认证方式(如802.1 X.VPN和Portal等)的终端准入限制。针对多样化的网络,EAD供应了敏捷多样的组网方案,联动设备可以依据须要进行敏捷部署。平安策略服务器:EAD方案的核心是整合与联动,而平安策略服务器是EAD方案中的管理与限制中心,兼具终端用户管理、平安策略管理、平安状态评估、平安联动限制以及平安事务审计等功能。第三方服务器:是指补丁服务器、病毒服务器等,被部署在隔离区中。当用户通过身份认证但平安认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身平安修复,直到满意平安策略要求。功能特点:支持多种接入方式 支持:802.1X接入、POrtal接入、1.2TPIPSeCVPN接入方式; 适用于:局域网、广域网、无线网络接入、1.2TPIPSeCVPN组网: 支持:接入时段限制、接入区域限制; 可以部署于由不同厂家设备构成的异构网络环境。 丰富的身份认证 支持:用户名/密码认证、智能卡认证、数字证书认证、MAC地址认证; 支持绑定:MAC地址、IP地址、所在V1.AN、接入设备IP、接入设备端口、无线SSID: 支持从1.DAP服务器获得用户信息,可以只同步有认证行为的用户信息,从而节约用户的1.iCenSe费用。 精确的终端设备识别功能支持识别用户设备的类型。该设备是传统的PC、笔记本还是智能手机、平板电脑等移动智能设备。设备的操作系统、生产厂商、IMEl码等信息,也是识别设备类型时必须要确认的设备属性信息。支持识别用户设备的归属。该设备是属于公司全部还是属于员工个人,干脆影响企业对设备的管理。对于个人设备,企业必需遵守相关法律法规,不去触碰设备上的员工私人信息。广泛的防病毒厂商协作实力可协作病毒厂商:瑞星、江民、金山、卡巴斯基、Symantec.Nod32、McAfee.TrendMicro.安博士、KI1.1.、趋势、趋势企业无忧平安版css5.0.Vrv、Forfront.Sophos、Avast、AntivirusProfessiona1.AviraAntiVirPersonal-FreeAntivirus.CIamWinFreeAntivirus.ComodoAntiVirusBeta.CAAnti-VirusF-SecureInternetSecurity.FortiCIient,F-PROTAntivirusforWindows.VirusChaser.NormanVirusContro1.SystemSuite9Professional.Vba32Personal丰富的系统平安状态评估实力I支持与微软SMS/WSUS协作进行补丁检查和安装; 支持黑白软件检查;J支持终端代理检查及非法外联限制; 支持多网卡检查; 支持注册表监控; 支持操作系统弱密码检查;J支持客户端流量检查。丰富的准入限制支持基于用户角色、用户接入位置、接入终端类型的接入限制策略下发;限制手段:向接入设备下发V1.AN、AC1.QoS、限定用户的上下行速率、运用客户端AC1.限制用户的访问权限(限制不受组网限制、并可以禁止内网用户非法连接外网。敏捷便利的执行模式对待不同身份的用户,定制不同的平安检查和处理模式;执行模式包括:监控模式、VlP模式、隔离模式、下线模式和访客模式;用户可以依据自己的实际须要,为VIP客户、内部员工、外来访客等不同人群,定义不同的平安策略执行方式。全面攻击防卫EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺瞒攻击的影响;供应ARP攻击报文过渡、ARP异样流量检测等限制措施,杜绝恶意用户的ARP攻击行为;支持对非法DHCP恳求报文的过滤,从而有效防止DHCP攻击。桌面资产管理 实现:终端资产注册、终端软硬件运用状况、变更状况进行监控; 支持软件的统一分发: 支持绿色节能策略; 支持远程帮助、远程桌面; 可禁止内网外联或对内网外联行为进行审计。U盘审计及外设管理Zl支持:USB存储设备监控、外设违规运用审计、打印机操作监控;支持禁用:USB存储设备、USB非存储设备、光驱、软驱、PCMClA接口、串口、并口、红外、蓝牙、1394、Modems3G上网卡;通过融合TRM可信移动介质管理组件对USB移动存储介质(包括U盘、移动硬盘等)注册、授权、运用限制和监控功能,对USB存储介质实现“拿不走、进不来”的数据泄露防护。敏捷的客户端部署EAD解决方案供应了免安装的易用部署方式,用户事先不须要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端平安状态进行检查,用户不须要变更上网习惯的同时,可以享受EAD带来的平安保障;:与H3C设备协作可以支持客户端快速部署功能。用户在认证前也可以访问指定的网络资源,用户的Web访问会被重定向到指定服务器,供终端用户下载客户端软件,用户安装好客户端并通过认证后可以访问全部网络资源。 多种层次的高可用性和扩展性 支持:双机冷备、双机热备、单机故障的逃命方案;Portal网关支持网关双机备份,单台Portal网关失效后可以切换到备份Portal网关上,不影响用户上网; 支持分级、分布式部署。 融合、扩展与开放的解决方案基于H3CiMC(开放智能管理中枢)Se)A架构,EAD解决方案为客户供应了一个扩展、开放的结构框架;口融合设备管理、用户管理和业务管理三大纬度;口广泛、深化的和国内外防病毒、操作系统、桌面平安等厂商绽开合作,融合各家所长; 基于标准、开放的协议架构和规范,易于互联互通;EAD服务器支持Windows与1.inUX操作系统,iNode客户端支持WindowsMacOS、1.inux、AppleiOS,Android等操作系统。在无线局域网中的部署方案无线局域网(W1.AN)以其安装便捷、运用敏捷、经济节约、易于扩展等有线网络无法比拟的优点,得到越来越广泛的应用,但敏捷便利的网络接入方式同时也为局域网带来了巨大的平安威逼。无线局域网的平安问题主要体现在访问限制层面,非授权或者非平安的客户一旦接入网络后,将会干脆面对核心服务器,威逼核心业务,因此能对无线接入用户进行身份识别、平安检查和网络授权的访问限制系统必不行少。在无线网络中,结合运用EAD解决方案,可以有效的满意园区网的无线平安准入的需求。H3CEAD解决方案可以在无线局域网环境下,有效的满意客户无线平安准入的需求,其组网图如下:如图所示,EAD可以协作无线AP和无线限制器,通过认证明现对无线接入用户的终端准入限制。这种组网方案可以防止采纳无线接入的人员访问内网时带来的平安隐患,同时也有效的解决了用户有线、无线接入方式的统一平安限制问题。同时,无线网络存在信号覆盖不稳定、无线网卡类型众多、驱动厂商对802.11a/b/g/n等无线技术标准支持不一样、丢包率较高等问题,而H3C基于Portal技术的无线用户准入限制方案则全面解决了这一问题。其基本流程如下:J1“T(2|空«“?行2td用户连接到无线网络后,在访问网络的过程中会被强制要求进行身份认证和平安检查。在整个过程中,拥有合法身份的用户除了被验证用户名、密码等信息外,还被检查是否满意平安策略的要求,包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满意了身份检查和平安检查的用户,EAD会依据预定义的策略为其安排对应的网络访问权限,避开了非授权的网络访问现象。另外,EAD也支持无线方面的中国国家平安标准WAPl认证,运用户在中外无线网络中均可运用同一个用户帐号进行漫游。同时,EAD还支持用户基于SSID的绑定认证,支持基于客户端操作系统类型、SSID、端口组等不同条件的页面推送,充分满意运营商、学校等行业用户的运营收费需求。