H3C推出的終端準(zhǔn)入控制解決方案（EAD）提供了一個(gè)全新的、開放的安全防御體系架構(gòu)，為客戶帶來完整的終端安全和控制方案。作為國(guó)內(nèi)網(wǎng)絡(luò)產(chǎn)品解決方案的主要提供商之一，H3C在自身辦公環(huán)境中首先應(yīng)用了自己開發(fā)并擁有獨(dú)立知識(shí)產(chǎn)權(quán)的EAD解決方案，在企業(yè)網(wǎng)內(nèi)部安全控制和信息安全防范方面取得了較為顯著的成效。

　　案例規(guī)模

　　共6000個(gè)信息點(diǎn)

　　管理需求

• 提供多種接入方式。不管是局域網(wǎng)還是廣域網(wǎng)、VPN和無線，都能夠?qū)�接入的用戶進(jìn)行身份認(rèn)證和安全狀態(tài)控制。
• 身份認(rèn)證。對(duì)登錄網(wǎng)絡(luò)用戶進(jìn)行唯一性身份認(rèn)證，實(shí)現(xiàn)一個(gè)用戶帳號(hào)對(duì)應(yīng)一臺(tái)或者多臺(tái)計(jì)算機(jī)，且與接入公司資產(chǎn)相綁定；
• 信息安全。避免外來計(jì)算機(jī)隨意接入涉密內(nèi)部辦公網(wǎng)絡(luò)，杜絕帳戶盜用、PC機(jī)盜用、MAC地址仿冒等。
• 與Norton殺毒聯(lián)動(dòng)。保證接入網(wǎng)絡(luò)的用戶終端沒有感染病毒，且病毒庫得到及時(shí)更新。
• 軟件黑白名單。規(guī)范接入網(wǎng)絡(luò)的終端必須安裝、運(yùn)行某些特定管理軟件和防病毒客戶端軟件等。
• 訪問權(quán)限。員工需要按照所屬部門、角色劃分工作和業(yè)務(wù)訪問權(quán)限，不同的角色有不同的權(quán)利和責(zé)任。對(duì)于已經(jīng)接入網(wǎng)絡(luò)的用戶，需要規(guī)范用戶的網(wǎng)絡(luò)行為，不同崗位的員工，其網(wǎng)絡(luò)訪問權(quán)限必須明確區(qū)分，嚴(yán)格控制。認(rèn)證可以與公司統(tǒng)一的域控制器相融合，達(dá)到單點(diǎn)登錄到域就可訪問所有受限資源的目的。
• 日志審計(jì)。提供終端訪問網(wǎng)絡(luò)的詳細(xì)上網(wǎng)日志信息和強(qiáng)大的管理查詢功能，便于管理員定位問題和跟蹤終端訪問明細(xì)。

　　解決方案實(shí)施

　　針對(duì)H3C對(duì)于終端的安全防護(hù)和實(shí)際組網(wǎng)規(guī)劃需求，EAD解決方案的綜合組網(wǎng)如下圖所示：全網(wǎng)在終端接入層交換機(jī)（具體設(shè)備型號(hào)見上圖示例）啟用802.1X議認(rèn)證，客戶端PC安裝iNode智能客戶端（以下簡(jiǎn)稱iNode客戶端）以及WSUS補(bǔ)丁管理插件，配合事先部署的Norton防病毒客戶端；“隔離”服務(wù)器區(qū)分別放置了DHCP Server、微軟AD域控制器和WSUS補(bǔ)丁服務(wù)器、Norton防病毒服務(wù)器等。

　　H3C北研所的辦公網(wǎng)絡(luò)拓?fù)涫疽鈭D如下：

　　應(yīng)用效果

• 用戶身份管理及安全控制策略

　　為了嚴(yán)格控制用戶的網(wǎng)絡(luò)接入，北京研發(fā)部門和各地辦事處在接入層設(shè)備處啟用802.1X證，杭州基地則在網(wǎng)關(guān)處啟用Portal認(rèn)證，并且采用用戶名/密碼/多MAC地址綁定的身份驗(yàn)證策略，有效限制了用戶訪問網(wǎng)絡(luò)的區(qū)域，并堅(jiān)決杜絕了外來和未授權(quán)用戶非法使用網(wǎng)絡(luò)；通過EAD策略服務(wù)器系統(tǒng)負(fù)責(zé)同步AD域控制器中的用戶信息，由管理員審核后方可開通權(quán)限。用戶終端通過DHCP動(dòng)態(tài)獲取IP地址上網(wǎng)，設(shè)置接入安全策略為僅限H3C iNode智能客戶端方可認(rèn)證，并限制禁止終端用戶私自修改MAC地址和網(wǎng)卡的IP地址必須使用DHCP動(dòng)態(tài)獲取方式，有效地防止了外來計(jì)算機(jī)入侵、MAC仿冒盜用帳號(hào)和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生。

• 終端安全管理

　　H3C企業(yè)內(nèi)部網(wǎng)使用的防病毒軟件是Symantec的Norton Antivirus企業(yè)版防病毒軟件，為了保證防病毒客戶端的正常運(yùn)行，iNode客戶端在用戶每次登錄網(wǎng)絡(luò)時(shí)，都需要檢查殺毒客戶端是否正常啟動(dòng)、運(yùn)行并且強(qiáng)制檢查防病毒軟件的版本和病毒庫版本，一旦用戶的終端在訪問網(wǎng)絡(luò)時(shí)出現(xiàn)染毒或者Norton防病毒客戶端運(yùn)行異常，iNode客戶端會(huì)立即上報(bào)給安全策略服務(wù)器，用戶終端會(huì)立即收到修復(fù)通知并被聯(lián)動(dòng)接入設(shè)備隔離到“隔離區(qū)”，防止帶毒或者“易感”的終端接入網(wǎng)絡(luò)誘發(fā)安全問題。

　　針對(duì)終端要求必須安裝和運(yùn)行的特定軟件，管理員可以設(shè)置軟件黑白名單，認(rèn)證并實(shí)時(shí)檢查此類軟件的安裝運(yùn)行情況，如果有違規(guī)即刻被限制訪問隔離區(qū)甚至直接斷開終端網(wǎng)絡(luò)連接。

• 員工終端訪問權(quán)限控制

　　員工認(rèn)證通過后，根據(jù)用戶身份和所屬部門，EAD方案將用戶劃分為不同的策略組（如研發(fā)類，非研發(fā)類，會(huì)議室，外來人員及臨時(shí)帳號(hào)等），將其劃分入不同的VLAN，并且授予用戶相應(yīng)的ACL訪問權(quán)限，有效防止越權(quán)訪問資源的發(fā)生。

　　與Windows AD域控制機(jī)制結(jié)合，采用成熟的802.1X與Windows域統(tǒng)一認(rèn)證技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)接入和Windows域的單點(diǎn)統(tǒng)一登錄，使得用戶在登錄Windows時(shí)僅需輸入一次用戶名密碼即可獲得相應(yīng)的受控訪問權(quán)限，方便了使用和業(yè)務(wù)流程整合。

　　EAD安全策略服務(wù)器與智能客戶端配合可以對(duì)各種外聯(lián)或代理進(jìn)行禁止。無論用戶采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進(jìn)行控制，以上的禁止方式，可以進(jìn)行靈活選擇，滿足不同組網(wǎng)需要。

• 豐富的終端審計(jì)手段

　　針對(duì)用戶終端的上網(wǎng)行為，EAD提供的詳細(xì)上網(wǎng)明細(xì)（包括用戶帳號(hào)信息，用戶的IP/MAC地址，接入?yún)^(qū)域的設(shè)備IP/端口號(hào)/VLAN ID，上下線時(shí)間，上下行流量等）、安全日志（違規(guī)安全事件詳細(xì)內(nèi)容/發(fā)生時(shí)間及相應(yīng)處理結(jié)果等）和系統(tǒng)日志為IT部門管理員提供了豐富的定位問題終端、解決終端網(wǎng)絡(luò)接入問題以及系統(tǒng)維護(hù)的手段和方法，上網(wǎng)帳號(hào)與相關(guān)資產(chǎn)信息的綁定也為信息安全提供了事后追溯的必要依據(jù)。