H3C推出的終端準(zhǔn)入控制解決方案（EAD）提供了一個全新的、開放的安全防御體系架構(gòu)，為客戶帶來完整的終端安全和控制方案。作為國內(nèi)網(wǎng)絡(luò)產(chǎn)品解決方案的主要提供商之一，H3C在自身辦公環(huán)境中首先應(yīng)用了自己開發(fā)并擁有獨立知識產(chǎn)權(quán)的EAD解決方案，在企業(yè)網(wǎng)內(nèi)部安全控制和信息安全防范方面取得了較為顯著的成效。

　　案例規(guī)模

　　共6000個信息點

　　管理需求

• 提供多種接入方式。不管是局域網(wǎng)還是廣域網(wǎng)、VPN和無線，都能夠?qū)�接入的用戶進行身份認證和安全狀態(tài)控制。
• 身份認證。對登錄網(wǎng)絡(luò)用戶進行唯一性身份認證，實現(xiàn)一個用戶帳號對應(yīng)一臺或者多臺計算機，且與接入公司資產(chǎn)相綁定；
• 信息安全。避免外來計算機隨意接入涉密內(nèi)部辦公網(wǎng)絡(luò)，杜絕帳戶盜用、PC機盜用、MAC地址仿冒等。
• 與Norton殺毒聯(lián)動。保證接入網(wǎng)絡(luò)的用戶終端沒有感染病毒，且病毒庫得到及時更新。
• 軟件黑白名單。規(guī)范接入網(wǎng)絡(luò)的終端必須安裝、運行某些特定管理軟件和防病毒客戶端軟件等。
• 訪問權(quán)限。員工需要按照所屬部門、角色劃分工作和業(yè)務(wù)訪問權(quán)限，不同的角色有不同的權(quán)利和責(zé)任。對于已經(jīng)接入網(wǎng)絡(luò)的用戶，需要規(guī)范用戶的網(wǎng)絡(luò)行為，不同崗位的員工，其網(wǎng)絡(luò)訪問權(quán)限必須明確區(qū)分，嚴(yán)格控制。認證可以與公司統(tǒng)一的域控制器相融合，達到單點登錄到域就可訪問所有受限資源的目的。
• 日志審計。提供終端訪問網(wǎng)絡(luò)的詳細上網(wǎng)日志信息和強大的管理查詢功能，便于管理員定位問題和跟蹤終端訪問明細。

　　解決方案實施

　　針對H3C對于終端的安全防護和實際組網(wǎng)規(guī)劃需求，EAD解決方案的綜合組網(wǎng)如下圖所示：全網(wǎng)在終端接入層交換機（具體設(shè)備型號見上圖示例）啟用802.1X議認證，客戶端PC安裝iNode智能客戶端（以下簡稱iNode客戶端）以及WSUS補丁管理插件，配合事先部署的Norton防病毒客戶端；“隔離”服務(wù)器區(qū)分別放置了DHCP Server、微軟AD域控制器和WSUS補丁服務(wù)器、Norton防病毒服務(wù)器等。

　　H3C北研所的辦公網(wǎng)絡(luò)拓撲示意圖如下：

　　應(yīng)用效果

• 用戶身份管理及安全控制策略

　　為了嚴(yán)格控制用戶的網(wǎng)絡(luò)接入，北京研發(fā)部門和各地辦事處在接入層設(shè)備處啟用802.1X證，杭州基地則在網(wǎng)關(guān)處啟用Portal認證，并且采用用戶名/密碼/多MAC地址綁定的身份驗證策略，有效限制了用戶訪問網(wǎng)絡(luò)的區(qū)域，并堅決杜絕了外來和未授權(quán)用戶非法使用網(wǎng)絡(luò)；通過EAD策略服務(wù)器系統(tǒng)負責(zé)同步AD域控制器中的用戶信息，由管理員審核后方可開通權(quán)限。用戶終端通過DHCP動態(tài)獲取IP地址上網(wǎng)，設(shè)置接入安全策略為僅限H3C iNode智能客戶端方可認證，并限制禁止終端用戶私自修改MAC地址和網(wǎng)卡的IP地址必須使用DHCP動態(tài)獲取方式，有效地防止了外來計算機入侵、MAC仿冒盜用帳號和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生。

• 終端安全管理

　　H3C企業(yè)內(nèi)部網(wǎng)使用的防病毒軟件是Symantec的Norton Antivirus企業(yè)版防病毒軟件，為了保證防病毒客戶端的正常運行，iNode客戶端在用戶每次登錄網(wǎng)絡(luò)時，都需要檢查殺毒客戶端是否正常啟動、運行并且強制檢查防病毒軟件的版本和病毒庫版本，一旦用戶的終端在訪問網(wǎng)絡(luò)時出現(xiàn)染毒或者Norton防病毒客戶端運行異常，iNode客戶端會立即上報給安全策略服務(wù)器，用戶終端會立即收到修復(fù)通知并被聯(lián)動接入設(shè)備隔離到“隔離區(qū)”，防止帶毒或者“易感”的終端接入網(wǎng)絡(luò)誘發(fā)安全問題。

　　針對終端要求必須安裝和運行的特定軟件，管理員可以設(shè)置軟件黑白名單，認證并實時檢查此類軟件的安裝運行情況，如果有違規(guī)即刻被限制訪問隔離區(qū)甚至直接斷開終端網(wǎng)絡(luò)連接。

• 員工終端訪問權(quán)限控制

　　員工認證通過后，根據(jù)用戶身份和所屬部門，EAD方案將用戶劃分為不同的策略組（如研發(fā)類，非研發(fā)類，會議室，外來人員及臨時帳號等），將其劃分入不同的VLAN，并且授予用戶相應(yīng)的ACL訪問權(quán)限，有效防止越權(quán)訪問資源的發(fā)生。

　　與Windows AD域控制機制結(jié)合，采用成熟的802.1X與Windows域統(tǒng)一認證技術(shù)，實現(xiàn)網(wǎng)絡(luò)接入和Windows域的單點統(tǒng)一登錄，使得用戶在登錄Windows時僅需輸入一次用戶名密碼即可獲得相應(yīng)的受控訪問權(quán)限，方便了使用和業(yè)務(wù)流程整合。

　　EAD安全策略服務(wù)器與智能客戶端配合可以對各種外聯(lián)或代理進行禁止。無論用戶采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進行控制，以上的禁止方式，可以進行靈活選擇，滿足不同組網(wǎng)需要。

• 豐富的終端審計手段

　　針對用戶終端的上網(wǎng)行為，EAD提供的詳細上網(wǎng)明細（包括用戶帳號信息，用戶的IP/MAC地址，接入?yún)^(qū)域的設(shè)備IP/端口號/VLAN ID，上下線時間，上下行流量等）、安全日志（違規(guī)安全事件詳細內(nèi)容/發(fā)生時間及相應(yīng)處理結(jié)果等）和系統(tǒng)日志為IT部門管理員提供了豐富的定位問題終端、解決終端網(wǎng)絡(luò)接入問題以及系統(tǒng)維護的手段和方法，上網(wǎng)帳號與相關(guān)資產(chǎn)信息的綁定也為信息安全提供了事后追溯的必要依據(jù)。