H3C EAD端点准入防御组件解决方案.docx

1、H3C智能管理中心EAD安全策略组件解决方案 1 产品简介 目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。 同时，目前市场上常见的用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合，导致管理手段单一、管理力度不足、管理操作复杂。企业迫切需

2、要一种管理方案，使得用户、网络、业务统一管理、互相协同、提升管理效率、满足多种接入场景所需。 H3C端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过iNode智能客户端、EAD安全策略服务器、iMC平台、网络设备以及第三方软件的配合和联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为；同时，在管理上，又能做到用户管理与网络设备管理、网络拓扑管理的融合，并支持与iMC ACL Manager组件的联动，使得H3C 端点准入防御解决方案在有效地加强用户终端的主

3、动防御能力的基础上，为企业网络管理人员更提供了有效、易用、强大的管理工具和手段。 1.1 方案概述 对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示： 1.2 组网模型 如下图所示，EAD组网模型图中包括

4、iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。 iNode智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。 安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。 iMC（EAD）安全策略组件：它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。 第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离

5、区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。 2 产品特点 • 严格的身份认证 除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。 • 完备的安全状态评估 根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等；为了更好的满足客户的需求，EAD客户端支

6、持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、Ahn等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具，由SMS实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。 • 用户管理与网络设备管理的融合 Ø 接入设备列表中可以直接看到用户相关信息，操作简单方便，提高了操作员日常维护的效率。 Ø 可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。 Ø 可在在线用户列表中通过点击接入设备，直接查看

7、当前在线用户所对应的接入设备的详细信息，比如对应的基本信息、告警、性能状况等。操作更友好，全面提升操作员的操作体验。 • 用户管理与网络拓扑管理的融合 在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。 • 基于角色的网络授权 在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

8、• 扩展开放的解决方案 EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。 • 灵活方便的部署方式 EAD方案部署灵活，维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，EAD还支持灵活的旧网改造方案和客户端静默安装等特性。 3 运行环境 属性 参数 硬件平台 服务器端

9、PC服务器：Xeon 2.4 G（及以上）、内存2G（及以上）、硬盘80G（及以上）、48倍速光驱、100M网卡、显卡支持分辩率1024*768、声卡 客户端：PC：主频1.8G（及以上）、内存512MB（及以上）、硬盘20GB（及以上）、48倍速光驱、100M网卡、显卡支持分辩率1024*768、声卡 操作系统 服务器：Windows 2000 Server/Server 2003（简体中文版） 客户端：Windows XP/2000（简体中文版） 浏览器：IE5.5及以上版本、Firefox1.5及以上版本 数据库 SQL Server 2000 Standard简体中文版（SP4） SQL Server 2005 Workgroup简体中文版 4 组网应用 • 局域网安全准入防护 在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。 Ø 802.1x认证方式：控制严格、安全性高 Ø Portal认证方式：部署简单、管理方便