EAD功能介绍_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
EAD功能介绍
上传于|0|0|文档简介
&&EAD功能介绍
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩2页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢CR16000是H3C自主研发的、基于100G平台的新一代核心路由器，先进的体系架构和强大的路由转发性能能够满足用户现在及未来业务扩展的需求。
按业务需求：
按行业分类：
新一代互联网（NGIP）解决方案——互联网革命的中坚力量
致力于为客户提供最具"温暖感、专业化"的服务。
H3C合作伙伴帮助您针对贵公司的业务寻找最佳解决方案
为贵公司提升价值、巩固经验，拓展机会。
H3C合作伙伴登录
H3C EAD广域网准入技术白皮书
关键词：EAD、VLAN、iMC、广域网摘&&& 要：本文主要介绍H3C公司终端准入控制解决方案（EAD）在广域网络中的部署应用、特点及配套产品等。缩略语清单：EADEnd user Admission Domination终端准入控制VLANVirtual Local Area Network虚拟局域网iMCIntelligent Management Center智能管理中心&&&单位的网络安全，为运营提供可靠的网络保障，已经是每一个决策者不得不关注的问题，也是每一个网络管理员不得不面对的挑战。目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业或单位的网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证网络安全运行的前提，也是目前网络安全管理急需解决的问题。传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。H3C终端准入控制（EAD，End user Admission Domination）解决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。EAD解决方案可以应用在局域网、广域网、VPN、WLAN等多种网络环境中，本技术白皮书主要介绍EAD在广域网中的应用。对于一个企业或单位（尤其大型集团型企业或单位），其内部局域网的管理和监控较为严格，用户终端受到的安全威胁相对较小。而企业或单位往往拥有分支或下属机构，这些分支机构的管理相对来说比较松散，因而也存在各种安全漏洞和失控行为。当这些广域网用户试图访问公司总部网络时，使总部受到非法攻击和病毒感染的几率成倍增加，甚至会被黑客利用，成为攻击内部网络的“帮凶”。如何确保分支机构的用户终端安全状态符合安全策略，在保证广域网用户能够访问总部的同时，消除广域网带来的安全威胁，成为每一个网络管理员不得不面对的挑战。为解决上述问题，H3C提供EAD广域网接入认证方案，在路由器中强制用户进行Portal认证和安全状态检查，确保用户访问总部时具有符合企业或单位标准的安全状态。解决方案基本原理EAD的基本原理是通过智能客户端、智能联动设备（如VPN网关、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如下图所示：图1：EAD原理实现图1、用户终端试图接入网络时，首先通过智能客户端进行用户身份认证，非法用户将被拒绝接入网络；2、合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户帐号预定义的安全策略，包括补丁版本、病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被智能联动设备隔离到隔离区；3、进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格；4、安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由智能联动设备提供基于身份的网络服务。从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御；变单点防御为全面防御；变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。&EAD是一个整合与联动的安全解决方案，主要部件包括安全策略服务器、智能客户端、智能联动设备和第三方服务器。4.1& 安全策略服务器EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。1、安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。2、用户管理。网络中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。3、安全联动控制。安全策略服务器负责评估智能客户端上报的安全状态，控制智能联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，智能客户端、智能联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。4、日志审计。安全策略服务器收集由智能客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。4.2& 智能客户端智能客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：1、提供802.1x、portal、VPN等多种认证方式，可以与交换机、路由器、VPN网关配合实现接入层、汇聚层以及VPN的终端准入控制。2、收集用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行终端准入的判断与控制。3、安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。4、实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。&4.3& 智能联动设备智能联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，智能联动设备可以是交换机、路由器或VPN安全网关，分别实现不同认证方式（如802.1x、VPN和Portal等）的终端准入控制。不论是哪种接入设备或采用哪种认证方式，智能联动设备均具有以下功能：1、强制网络接入终端进行身份认证和安全状态评估。2、隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，可以通过VLAN或ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。3、提供基于身份的网络服务。智能联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的QOS、ACL、VLAN等。&4.4& 第三方服务器在EAD方案中，第三方服务器是指处于隔离区中，用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，当用户终端的系统补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。图2：EAD基本部件广域网方案企业或单位的网络尤其是集团网络的部署范围往往比较广阔，常常是跨地域甚至全球部署，分支机构遍布全国或者世界各地，分支机构通过专线接入总部网络。H3C EAD分支机构接入典型组网如下：图3网络Internet出口典型组网总部由于保存着重要数据信息，其网络管理和安全策略的制定往往比较严格，相对而言，分支机构的网络情况比较复杂，网络管理和安全策略的制定也是由各分支机构自行完成，其网络终端存在漏洞或感染病毒如果能够控制在分支机构范围内则危害相对较小，但是当分支机构通过E1/T1等专线接入总部后，不安全终端带来的威胁就会扩散到总部，对总部的网络和信息安全形成严重威胁。H3C EAD终端安全方案可以在总部的入口路由器部署基于Portal方式的EAD认证，分支机构可以根据自身情况制定网络管理和安全管理的策略，但当分支机构的某一终端用户通过总部入口路由器访问总部资源时，该路由器就会向用户推送WEB界面的要求安装iNode智能客户端，用户在该客户端输入用户名、密码进行身份认证并合法通过后，系统会根据总部自定义的安全策略对用户的主机进行安全检查（系统漏洞情况、病毒感染情况等等），通过安全认证（并通过身份认证）后即可正常访问总部资源，如果安全检查失败，路由会将用户隔离到某一网段，用户在该网段自我修复后再申请访问网络资源。广域网准入方案技术原理EAD广域网方案使用H3C路由器作为终端准入的控制点，使用扩展的Portal协议进行EAD身份认证和安全检查。可以根据用户实际网络需要在H3C路由器的广域网口及以太网口启动扩展Portal协议。H3C路由器可以部署在网络Internet出口或者分支机构对于总部的入口处，控制点集中便于部署和管理，EAD认证流程示意图如下：图4 EAD广域网认证流程示意图H3C EAD广域网方案认证流程详细描述如下：0、分支机构员工访问分支机构内部网络时需遵循本地安全策略；1、分支机构员工在访问总部资源时，在进行Portal认证之前即可访问总部H3C路由器上预先定义的隔离区；2、当需要访问核心资源时，预装在分支机构计算机终端上的智能客户端iNode发起认证请求；3、用户在iMC 服务器上认证成功，通知H3C路由器设备用户上线，并下发代理IP和端口，通知用户进行安全认证；4、用户通过iNode客户端上传登录信息、请求安全检查项；5、EAD安全策略服务器下发用户安全策略（是否检查补丁、杀毒）及其他控制信息；6、iNode客户端与第三方软件或定制插件联动，执行安全策略检查及其他功能；7、iNode收集终端计算机本地安全检查结果并安检结果上报EAD安全策略服务器；8、安全策略服务服务器根据预先设置好的安全策略进行对比，下发对比结果到iNode客户端，显示修复策略以及设置监控任务等；9、设备实施安全策略的处理策略，提醒用户可以正常上网或执行修复任务等；10、EAD安全策略服务器经过分析，如果认为终端用户不满足安全要求，则通知iNode，iNode主动下线，只能访问隔离区的服务器进行自我修复。企业或单位的广域网部署中，由于要租用运营商的专线往往费用非常昂贵，然而得到的带宽且非常有限，在总部和分支机构之间带宽较小时，如果需要升级较大的病毒库或系统补丁则会造成宝贵的占用，影响正常的业务带宽，针对此种情况，建议根据分支机构用户规模分别采用如下两种部署方案：1、分支机构终端数目较多且能够部署升级服务器：由于终端用户数目较多，升级补丁或者病毒库会占用较大广域网带宽，因此建议在分支机构本地部署病毒服务器和系统补丁服务器，用户不满足病毒或者补丁要求则将其进行本地修复，修复之后再进行认证。（如果广域网带宽较小，请注意在路由器广域网口开启QOS，对认证报文进行优先级保证，避免由于认证报文的丢失导致认证失败）其部署方案如下图所示：图5 EAD广域网认证流程示意图2、分支机构终端数目较少或不能部署升级服务器：&&&&&& 对于分支机构终端用户较少或者分支机构不能部署升级服务器的情况，可以考虑在智能管理中心（iMC）为该分支机构的用户实施“提醒”模式，在该模式下，如果终端用户的计算机不满足安全要求，则提醒用户目前的计算机状态和不满足项目，由用户自行链接到Internet（或其它方式）进行升级，升级之后在进行EAD认证。（如果广域网带宽较小，请注意在路由器广域网口开启QOS，对认证报文进行优先级保证，避免由于认证报文的丢失导致认证失败）H3C EAD广域网准入方案部署在网络的H3C路由器上，不需要其它网络设备支持，对原有网络结构影响较小，保护用户现有网络投资；H3C EAD广域网准入方案采用Portal方式进行用户身份认证和安全检查，支持在广域网口上启动Portal认证，可以有效的对分支机构通过专线接入总部的情况进行检查，全面避免安全漏洞；H3C EAD广域网准入方案可以根据终端用户级别向EAD联动路由器下发QOS，实现基于用户的精细化带宽管理，有利于企业或单位充分利用宝贵的带宽资源。H3C EAD广域网方案涉及到的硬件设备为总部入口路由器，因此需要该路由器的WAN接口支持EAD认证，目前包括如下产品：AR28/46、MSR30/50。
如您需进一步了解，请点
杭州华三通信技术有限公司。保留一切权利。【图文】端点准入防御(EAD)解决方案汇报_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
端点准入防御(EAD)解决方案汇报
上传于|0|0|文档简介
&&ead 优点
大小：3.99MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢