EAD终端准入控制解决方案

——维护网络正常秩序,助力企业核心价值

H3C终端准入控制解决方案(EADEnd user Admission Domination)是全球首个推向市场的终端管理解决方案,也是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具,帮助保护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务,减少了日益复杂的网络问题和非法使用对网络用户的牵绊。

EAD解决方案通过多种身份认证方式确认终端用户的合法性;通过与微软和众多防病毒厂商的配合联动,检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况;通过黑白软件管理,约束终端安装和运行的软件;通过统一接入策略和安全策略管理,控制终端用户的网络访问权限;通过桌面资产管理,进行桌面资产注册和监控、外设管理和软件分发;通过iMC UBA用户行为审计组件,审计终端用户的网络行为;通过iMC智能管理框架基于资源、用户和业务的一体化管理,实现对整个网络的监控和智能联动。从而形成对终端的事前规划、事中监控和事后审计的立体化管理。

EAD解决方案对终端用户的整体控制过程如下图所示:

EAD解决方案组件:

EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。

智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。

联动设备联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,联动设备可以是交换机、路由器、准入网关、VPN或无线设备,分别实现不同认证方式(如802.1XVPNPortal等)的终端准入控制。针对多样化的网络,EAD提供了灵活多样的组网方案,联动设备可以根据需要进行灵活部署。

安全策略服务器EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

第三方服务器:是指补丁服务器、病毒服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。

功能特点

支持多种接入方式

n 支持:802.1X接入、Portal接入、L2TP/IPsec VPN接入方式;

n 适用于:局域网、广域网、无线网络接入、L2TP/IPsec VPN组网;

n 支持:接入时段限制、接入区域限制;

n 可以部署于由不同厂家设备构成的异构网络环境。

丰富的身份认证

n 支持:用户名/密码认证、智能卡认证、数字证书认证、MAC地址认证;

n 支持绑定:MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID

n 支持从LDAP服务器获取用户信息,可以只同步有认证行为的用户信息,从而节省用户的License费用。

广泛的防病毒厂商配合能力

n 可配合病毒厂商:瑞星、江民、金山、卡巴斯基SymantecNod32McAfeeTrend Micro、安博士、KILL、趋势、趋势企业无忧安全版css5.0VrvForfrontSophosAvastAntivirus ProfessionalAvira AntiVir Personal-Free AntivirusClamWin Free AntivirusComodo AntiVirus BetaCA Anti-VirusF-Secure Internet SecurityFortiClientF-PROT Antivirus for WindowsVirus ChaserNorman Virus ControlSystemSuite 9 ProfessionalVba32 Personal

丰富的系统安全状态评估能力

n 支持与微软SMS/WSUS配合进行补丁检查和安装;

n 支持黑白软件检查;

n 支持终端代理检查及非法外联控制;

n 支持多网卡检查;

n 支持注册表监控;

n 支持操作系统弱密码检查;

n 支持客户端流量检查。

丰富的准入控制

n 支持基于用户角色的接入控制策略下发

n 控制手段:向接入设备下发VLANACLQoS、限定用户的上下行速率、使用客户端ACL限制用户的访问权限(控制不受组网限制)、并可以禁止内网用户非法连接外网。

灵活方便的执行模式

n 对待不同身份的用户,定制不同的安全检查和处理模式;

n 执行模式包括:监控模式、VIP模式、隔离模式、下线模式和访客模式;

n 用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全策略执行方式。

全面攻击防御

n EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响;

n 提供ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为;

n 支持对非法DHCP请求报文的过滤,从而有效防止DHCP攻击。

桌面资产管理

n 实现:终端资产注册、终端软硬件使用情况、变更情况进行监控;

n 支持软件的统一分发;

n 支持绿色节能策略;

n 支持远程协助、远程桌面。

U盘审计及外设管理

n 支持:USB存储设备监控、外设违规使用审计、打印机操作监控;

n 支持禁用:USB存储设备、USB非存储设备、光驱、软驱、PCMCIA接口、串口、并口、红外、蓝牙、1394Modem3G上网卡。

灵活的客户端部署

n EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障;

n H3C设备配合可以支持客户端快速部署功能。用户在认证前也可以访问指定的网络资源,用户的Web访问会被重定向到指定服务器,供终端用户下载客户端软件,用户安装好客户端并通过认证后可以访问全部网络资源。

多种层次的高可用性和扩展性

n 支持:双机冷备、双机热备、单机故障的逃生方案;

n Portal网关支持网关双机备份,单台Portal网关失效后可以切换到备份Portal网关上,不影响用户上网;

n 支持分级、分布式部署。

融合、扩展与开放的解决方案

n 基于H3C iMC(开放智能管理中枢)SOA架构,EAD解决方案为客户提供了一个扩展、开放的结构框架

n 融合设备管理、用户管理和业务管理三大纬度

n 广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长

n 基于标准、开放的协议架构和规范,易于互联互通

n EAD服务器支持WindowsLinux操作系统,iNode客户端支持WindowsMac OSLinux操作系统

组网应用:

局域网安全准入防护

在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。

◆接入层802.1x认证方式:控制严格、安全性高

广域网安全准入防护

以上是广域网终端控制方案的典型组网,由分支机构的出口路由器或者总部的骨干路由器,完成基于Portal的接入控制,进行用户网络访问的通断与开放,由EAD进行准入策略的控制、安全状态的检测以及身份和安全认证。考虑到广域网线路的带宽资源非常昂贵,EAD还允许用户指定不同广域网分支的补丁服务器和防病毒服务器的IP地址,不需要访问总部就可以实现打补丁、升级病毒库的管理效果,节省广域网带宽。

对于一个未认证的用户,联动设备不允许用户数据通过,要求用户通过智能客户端输入认证信息。Portal服务器会将用户的认证信息传递给联动设备,然后联动设备再与EAD服务器通信进行身份认证和安全认证,认证通过并验证用户符合定义的安全策略,设备会打开用户与网络的通路,用户可以访问网络;否则,根据EAD安全策略中定义的处理模式(VIPGuest、隔离、下线)对用户进行相应的安全管理操作。

EAD广域网安全准入防护对于网络环境复杂的旧网改造和升级具有很大优势,客户可以在不对现有网络做改动的情况下直接在分支机构出口路由器或总部骨干路由器上启用Portal认证,特别适用于总部管理和监控较为严格,分支机构内部访问比较松散,同时不愿意、不方便改动分支机构网络设备的场合。

VPN安全准入防护

EAD VPN 组网方案适用于小型驻外机构和出差人员利用iNode 智能客户端从远程公共网络通过加密隧道实现和总部之间的网络连接,访问所需的总部资源,总部则可以对该用户进行授权、验证和审计,保证VPN用户接入时处于合法、安全、可控、可审计的状态。而公共网络上非授权用户则无法不经许可就穿过虚拟隧道访问网络内部的资源。

此外,网络中存在大量使用采用NAT地址转换的接入场景,如使用ADSL的动态IP地址用户,或者使用防火墙/UTM等作为互联网控制设备的用户等,都可以采用VPN EAD对用户进行管理,在穿越NAT的同时,对用户进行检查、控制和修复。

无线网络安全准入防护

无线局域网(WLAN)以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,得到越来越广泛的应用,但灵活方便的网络接入方式同时也为局域网带来了巨大的安全威胁。

无线局域网的安全问题主要体现在访问控制层面,非授权或者非安全的客户一旦接入网络后,将会直接面对核心服务器,威胁核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。在无线网络中,结合使用EAD解决方案,可以有效的满足园区网的无线安全准入的需求。

H3C EAD解决方案可以在无线局域网环境下,有效的满足客户无线安全准入的需求,其组网图如下:

如图所示,EAD可以配合无线AP和无线控制器,通过认证实现对无线接入用户的终端准入控制。这种组网方案可以防止采用无线接入的人员访问内网时带来的安全隐患,同时也有效的解决了用户有线、无线接入方式的统一安全控制问题。

同时,无线网络存在信号覆盖不稳定、无线网卡类型众多、驱动厂商对802.11 a/b/g/n等无线技术标准支持不一致、丢包率较高等问题,而H3C基于Portal技术的无线用户准入控制方案则全面解决了这一问题。其基本流程如下:

用户连接到无线网络后,在访问网络的过程中会被强制要求进行身份认证和安全检查。在整个过程中,拥有合法身份的用户除了被验证用户名、密码等信息外,还被检查是否满足安全策略的要求,包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户,EAD会根据预定义的策略为其分配对应的网络访问权限,避免了非授权的网络访问现象。

另外,EAD也支持无线方面的中国国家安全标准WAPI认证,使用户在中外无线网络中均可使用同一个用户帐号进行漫游。同时,EAD还支持用户基于SSID的绑定认证,支持基于客户端操作系统类型、SSID、端口组等不同条件的页面推送,充分满足运营商、学校等行业用户的运营收费需求。